Win11怎么查看开机记录_Win11事件查看器查询开机时间【日志】

Windows 11开机时间可通过五种方法获取：一、事件查看器筛选ID 6005日志；二、筛选winlogon事件源定位用户登录时间；三、PowerShell批量提取格式化记录；四、systeminfo命令快速查最近一次；五、WMIC获取原始LastBootUpTime时间戳。

如果您希望确认 Windows 11 系统最近一次或历史多次的开机时间，系统已自动记录相关事件，其中最权威、最精确的来源是事件查看器中的特定日志条目。以下是获取这些开机记录的具体操作步骤：

一、筛选事件ID为6005的系统日志

事件ID 6005由Windows事件日志服务生成，表示“事件日志服务已启动”，该事件在系统内核及所有关键服务加载完毕后立即触发，因此被公认为标识系统完成开机过程的最准确技术信号。

1、按下 Win + R 组合键打开“运行”窗口，输入 eventvwr.msc 并按回车，启动事件查看器。

2、在左侧导航窗格中，依次展开 “Windows 日志” → “系统”。

3、在右侧“操作”面板中，点击 “筛选当前日志”。

4、在弹出窗口的“包括事件ID”文本框中，输入 6005，其他字段保持默认或清空。

5、点击“确定”。日志列表将仅显示所有开机事件，每条记录的“日期和时间”即为对应开机时刻。

6、双击任意一条事件，可在“常规”选项卡中确认描述是否为 “事件日志服务已启动”，以验证其有效性。

二、结合winlogon事件源定位用户会话启动时间

winlogon.exe 是负责用户登录流程的核心进程，其日志虽不等同于内核级开机，但能反映用户实际开始使用系统的时刻，适用于判断设备唤醒或交互式启动时间。

1、在事件查看器“系统”日志页面，再次点击右侧的 “筛选当前日志”。

2、清空“事件ID”字段，在“事件来源”下拉菜单中选择 winlogon。

3、点击“确定”后，日志列表将仅显示 winlogon 相关事件。

4、查找任务类别为 “工作站解锁” 或 “用户登录” 的条目，其发生时间可视为用户级开机或唤醒时间点。

5、注意：若系统启用了自动登录，该时间可能与6005事件高度接近；若需区分锁屏唤醒与冷启动，应交叉比对6005与winlogon事件的时间差。

三、使用PowerShell命令批量提取并格式化开机记录

PowerShell可绕过图形界面直接调用系统日志API，支持高精度筛选、时间排序与结构化输出，特别适合快速获取多条开机记录或进行时间序列分析。

1、右键点击“开始”按钮，选择 “终端（管理员）”。

2、执行以下命令，列出全部6005事件及其时间戳：

比话降AI

清除AIGC痕迹，AI率降低至15%

下载

Get-WinEvent -LogName System -FilterXPath "*[System[(EventID=6005)]]" | Select-Object TimeCreated | Format-Table -AutoSize

3、如需同时显示事件描述，改用此命令：

Get-WinEvent -LogName System -FilterXPath "*[System[(EventID=6005)]]" | Select-Object TimeCreated, Message | Format-Table -Wrap

4、命令执行后，终端将立即输出按时间升序排列的完整开机时间列表，最新记录位于底部。

四、通过命令提示符快速获取最近一次开机时间

systeminfo 命令可直接读取系统摘要信息，其中包含由内核维护的“系统启动时间”字段，响应快、无需权限提升，适用于快速核查。

1、按下 Win + R，输入 cmd 并回车，打开命令提示符。

2、输入以下命令并回车：

systeminfo | findstr "系统启动时间"

3、输出结果中将明确显示类似 “系统启动时间: 2025/12/31, 8:42:17” 的字符串，该时间为最近一次开机的确切时刻。

4、注意：该命令仅返回单次时间，不提供历史记录；若系统时间被手动修改，该字段可能失真，建议与事件ID 6005交叉验证。

五、使用WMIC命令读取LastBootUpTime原始时间戳

WMIC 调用 Win32_OperatingSystem 类的 LastBootUpTime 属性，返回的是兼容WMI标准的14位数字时间戳（YYYYMMDDHHMMSS.MMMMMM+UUU格式），具有高一致性，常用于脚本集成。

1、打开“运行”对话框（Win + R），输入 cmd 并回车。

2、执行以下命令：

wmic path Win32_OperatingSystem get LastBootUpTime

3、输出示例为：20251231084217.123456+480，其中前8位“20251231”表示年月日，“084217”表示时分秒。

4、该时间戳不受区域设置影响，可直接用于自动化脚本解析，也可粘贴至在线WMI时间转换工具获取可读格式。