iT邦幫忙

2021 iThome 鐵人賽

DAY 29
0
Security

成為工具人應有的工具包系列 第 29

成為工具人應有的工具包-29 TurnedOnTimesView

TurnedOnTimesView

今天來認識看看這個看名字我也不清楚是啥?
打開時間線? 喔!用時間線排列出每個動作的工具嗎?

TurnedOnTimesView 是可以分析 Windows 作業系統的 event log 的工具,並檢查電腦開啟的時間範圍。對於電腦開啟的每個時間段,都會顯示資訊如下:

  • 啟動時間
  • 關機時間
  • 持續時間
  • 關機原因
  • 關機類型
  • 關機過程
  • 關機代碼
    TurnedOnTimesView 可從本機取得以上資訊,如果有足夠的權限從遠端讀取 Windows 的 event log 的話,則可以從網絡上遠端蒐集這些資訊。

這工具在 windows 都可以執行,不過為了確保資料蒐集順利,最好右鍵用管理員權限執行這個小工具。

已知限制:

  • TurnedOnTimesView 基於 Windows event log 上的幾種類型的事件來檢查電腦何時開關機。通常執行順利,但也有可能出現誤報,這意思是 TurnedOnTimesView 顯示電腦重新啟動,但實際上電腦沒有關機又啟動。
  • 當電腦沒有正常關機時(例如停電),TurnedOnTimesView 會無法吃到到關機時間,這個項目的圖標就會變紅色而不是綠色
  • 如果刪除系統事件 log,TurnedOnTimesView 會無法檢測開關機時間
  • 在 Windows Vista 以前的系統版本上,關機原因、關機類型和關機 process 的字串通常是空值

這工具用以下事件來確定開關機的時間:

  • EventID 41 (Microsoft-Windows-Kernel-Power):系統已重新啟動,前面沒有先正確關機。如果系統停止回應、crash 或意外斷電,就可能會出此錯誤。
  • EventID 42 (Microsoft-Windows-Kernel-Power): 系統進入睡眠
  • EventID 1 (Microsoft-Windows-Power-Troubleshooter): 系統從睡眠中醒來
  • EventID 1074 (USER32): process xxx 代表 user xxx 起了電腦 xxx 的xxx,原因如下:xxx
  • EventID 6005 (EventLog): 已啟動 Event log service
  • EventID 6006 (EventLog): 已停止 Event log service

開始使用本工具:
點兩下執行 TurnedOnTimesView.exe 後,TurnedOnTimesView 的主視窗會顯示電腦打開的所有時間區間。
可以使用“Save Selected Items”選項來將列表導出到 html/xml/tab-delimited/comma-delimited 檔案。還可以將所選項目複製貼上。

簡單的介紹就到這兒~
倒數第二天啦!


上一篇
成為工具人應有的工具包-28 LastActivityView
下一篇
成為工具人應有的工具包-30 WinLogOnView
系列文
成為工具人應有的工具包30

尚未有邦友留言

立即登入留言