1. Toegang tot Logboeken:

* Methode 1 (Zoeken): Typ 'Event Viewer' in de Windows-zoekbalk (naast de Start-knop) en druk op Enter.

* Methode 2 (Configuratiescherm): Open het Configuratiescherm (zoek ernaar of klik met de rechtermuisknop op de knop Start), ga naar 'Systeem en beveiliging', vervolgens naar 'Systeembeheer' en dubbelklik vervolgens op 'Gebeurtenisviewer'.

2. Afsluit-/opstartgebeurtenissen vinden:

* Windows-logboeken: Vouw in het venster Logboeken in het linkerdeelvenster 'Windows-logboeken' uit.

* Systeem: Klik op "Systeem". Dit logboek bevat gebeurtenissen op systeemniveau, waaronder opstart-, afsluit- en hardwaregerelateerde gebeurtenissen.

3. Gebeurtenissen filteren (Belangrijk! Er staan ​​veel gebeurtenissen in het systeemlogboek):

* Huidig ​​logboek filteren...: Klik in het rechterdeelvenster op "Huidig ​​logboek filteren...". Hierdoor wordt het venster "Huidig ​​logboek filteren" geopend.

* Gebeurtenis-ID's: Gebruik deze gebeurtenis-ID's om te filteren op specifieke afsluit- en opstartgebeurtenissen:

* 6005: De gebeurtenislogboekservice is gestart. Dit betekent meestal een opstart/start (hoewel het *kan* ook betekenen dat alleen de Event Log-service opnieuw is opgestart).

* 6006: De gebeurtenislogboekservice is gestopt. Dit duidt meestal op een juiste afsluiting.

* 6008: Er heeft zich een onverwachte afsluiting voorgedaan. Dit is handig voor het vinden van crashes of stroomstoringen waardoor Windows niet correct kon worden afgesloten.

* 41: Kernel-kracht. Een kritieke gebeurtenis die aangeeft dat het systeem opnieuw is opgestart zonder een schone afsluiting. Vaak gerelateerd aan stroomuitval of een crash. (Bekijk het detail 'BugcheckCode' op het tabblad Details voor meer specifieke crashinformatie.)

* 1074: Vastgelegd wanneer een toepassing ervoor zorgt dat het systeem opnieuw opstart of afsluit (bijvoorbeeld Windows Update). De logboekvermelding bevat doorgaans de naam van de toepassing die het afsluiten of opnieuw opstarten heeft gestart.

* Het filter toepassen:

1. Voer in het venster "Huidig ​​logboek filteren" in het veld "Gebeurtenis-ID's" de gebeurtenis-ID's in die u wilt vinden (bijvoorbeeld `6005,6006,6008,41,1074`). Scheid meerdere ID's van elkaar met komma's.

2. Klik op "OK".

4. De gefilterde logboeken bekijken:

Het hoofdvenster van de Logboeken toont nu alleen gebeurtenissen die overeenkomen met uw filter. Kijk naar de kolom 'Datum en tijd' om te zien wanneer de gebeurtenissen plaatsvonden.

* De resultaten interpreteren:

* 6005 gevolgd door 6006: Deze reeks geeft een normale opstart- en afsluitcyclus aan. De tijdstempels vertellen u de duur.

* 6008 of 41: Deze gebeurtenissen duiden op een abnormale uitschakeling (crash, stroomstoring). Onderzoek andere gebeurtenissen rond dezelfde tijd op aanwijzingen. De 41 gebeurtenissen hebben vaak een 'BugcheckCode' op het tabblad Details, die de reden van de crash aangeeft.

* 1074: Controleer het tabblad Details voor de applicatie die om opnieuw opstarten of afsluiten heeft verzocht.

5. Inactieve tijd vinden:

Dit is complexer en minder betrouwbaar met behulp van Event Viewer. Inactieve tijd wordt niet rechtstreeks geregistreerd als een specifieke gebeurtenis. Je zult dit moeten afleiden op basis van de afwezigheid van andere gebeurtenissen en de aanwezigheid van gebruikersactiviteit (die ook niet in alle gevallen direct wordt geregistreerd).

* Beveiligingslogboek (potentieel): Het 'Beveiligingslogboek' *kan* aan- en afmeldgebeurtenissen bevatten (gebeurtenis-ID 4624 voor aanmelden, 4634 voor afmelden), als auditing is ingeschakeld. Als u een afmeldingsgebeurtenis ziet, gevolgd door een aanzienlijke periode zonder andere gebeurtenissen, *kan* dit duiden op inactieve tijd, vooral als de computer is ingesteld op vergrendeling na een bepaalde inactieve periode. Dit is echter geen gegarandeerde methode.

* Systeemlogboek (indirect): Zoek naar perioden in het 'Systeem'-logboek waarin er *zeer weinig* gebeurtenissen zijn gerelateerd aan gebruikersactiviteit of applicatieprocessen. Dit is zeer subjectief en foutgevoelig. Het is moeilijk om onderscheid te maken tussen echte nietsdoen en achtergrondprocessen die gewoon rustig draaien.

Belangrijke overwegingen bij inactieve tijd:

* Auditvereisten: Mogelijk moet u de controle van aanmeldings-/afmeldingsgebeurtenissen inschakelen in het lokale beveiligingsbeleid voordat het 'Beveiligingslogboek' nuttig is. Hierdoor kan de loggrootte toenemen. (Zoek naar "Lokaal beveiligingsbeleid" in het Startmenu). Navigeer naar 'Beveiligingsinstellingen -> Lokaal beleid -> Auditbeleid'. Schakel 'Audit-aanmeldingsgebeurtenissen' en 'Audit-afmeldingsgebeurtenissen' in (zowel geslaagd als mislukt).

* Systeemconfiguratie: De betrouwbaarheid van het gebruik van Event Viewer voor inactieve tijd hangt in grote mate af van de manier waarop het systeem is geconfigureerd. Als er veel achtergrondtaken of geplande processen zijn, zal het moeilijker zijn om perioden van echte inactiviteit van de gebruiker te identificeren.

* Instellingen voor energiebeheer: De instellingen voor energiebeheer van Windows (slaapstand, slaapstand) kunnen de zaken ingewikkelder maken. Een periode van inactiviteit kan ertoe leiden dat het systeem in een slaapstand terechtkomt. Dit kan worden geregistreerd, maar dit betekent niet noodzakelijkerwijs dat de gebruiker weg was.

* Hulpprogramma's van derden: Voor een nauwkeuriger tracking van de inactieve tijd kunt u overwegen monitoringtools van derden te gebruiken. Deze tools zijn specifiek ontworpen om gebruikersactiviteit en -inactiviteit bij te houden en bieden vaak gedetailleerdere rapporten. Ze zullen echter een privacy-afweging maken.

Voorbeeldscenario:

Stel dat u de volgende gebeurtenissen ziet in het `Systeem`-logboek (na filteren op ID's 6005, 6006, 6008, 41, 1074):

* 08:00 uur: Gebeurtenis-ID 6005 (gebeurtenislogboekservice gestart) - Waarschijnlijk een opstart.

* 17:00 uur: Gebeurtenis-ID 6006 (Gebeurtenislogboekservice gestopt) - Waarschijnlijk een normale afsluiting.

Dit duidt erop dat de computer tussen 08.00 en 17.00 uur was ingeschakeld en in gebruik was (tenminste af en toe). Als u wilt weten of het gedurende die 9 uur inactief was, moet u de gebeurtenissen *tussen* deze twee gebeurtenissen onderzoeken en proberen de activiteit af te leiden uit de geregistreerde gebeurtenissen. Zoals hierboven uitgelegd, is dat moeilijk en onbetrouwbaar.

Samengevat:

* Gebruik Event Viewer om eenvoudig afsluitingen en opstarten te vinden.

* Wees *zeer* voorzichtig als u op Event Viewer vertrouwt voor het nauwkeurig bijhouden van inactieve uren. Tools van derden zijn over het algemeen beter geschikt voor dit doel.