интересует запись в event's [Версия для КПК] - Компьютерный форум OSzone.net

Показать полную графическую версию : интересует запись в event's

krec

18-10-2012, 01:31

сложилась ситуация, что надо выяснить в определенный день (скажем 10 августа) в какое время включили компьютер.
Система - Windows XP SP3 (32 bit)

система слетела, но я снял образ диска и монтировал, чтоб искать время вклчения.. но не знаю точно в каком файле этот лог и как в этом логе найти мне интересующий запись.

подскажите пожалуйста.

Iska

18-10-2012, 05:43

Запускаете «eventvwr.exe». В меню «Действие» выбираете «Открыть файл журнала…». В диалоговом окне указываете путь к файлу «%SystemRoot%\system32\config\SysEvent.Evt» для исследуемой машины (не для той, на которой Вы запустили «eventvwr.exe»!), с которой сняли образ диска. Тип журнала указываете «Система». Далее, выделив открытый журнал в дереве, указываете в диалоговом окне, открытом посредством меню \Вид\Фильтр…, следующее:
Тип события: Уведомление
Источник события: EventLog
Код события: 6005
С момента: 10.08.2012 00:00:00
До момента: 10.08.2012 23:59:59
Если полученный список событий окажется пустым — расширяйте область дат в фильтре.

krec

19-10-2012, 00:58

Iska, спасибо боьлшое.. но почему как вы написали, т.е. по моей дате ничего не нашел, вообще отключил по дате и удивился... логирование почему то с 06.10.2012г. :(
поставил общее отображение лога , а там самый старый запись от 05.10.2012.

Может есть какая то другая "зацепка" ?

Iska

19-10-2012, 03:39

krec, причины могут быть разные, начиная с самых банальных: журнал событий системы был очищен вручную 05.10.2012, журнал событий системы был переполнен и очищен самой службой событий в соответствии с настройками автоматически, журнал событий системы был повреждён и восстановлен.

Вы точно «цепляете» к «eventvwr.exe» файл журнала с подключённого образа, а не с локальной системы? Образ когда снимался?

krec

19-10-2012, 04:37

Iska,

Вы точно «цепляете» к «eventvwr.exe» файл журнала с подключённого образа, а не с локальной системы? Образ когда снимался? »
да , да.. там точно НЕ мои event_ы :) в эвентах не имя моего компьютера.

вот смотри мои - у меня с 03.10.2012 до 19.10.2012(сегодня).. значит сбразывается логи :( плохо это...

Никак нельзя восстановить или иными способами узнать когда был включен компьютер в определенную дату?