интересует запись в event's
 

сложилась ситуация, что надо выяснить в определенный день (скажем 10 августа) в какое время включили компьютер.
Система - Windows XP SP3 (32 bit)

система слетела, но я снял образ диска и монтировал, чтоб искать время вклчения.. но не знаю точно в каком файле этот лог и как в этом логе найти мне интересующий запись.

подскажите пожалуйста.

Запускаете «eventvwr.exe». В меню «Действие» выбираете «Открыть файл журнала…». В диалоговом окне указываете путь к файлу «%SystemRoot%\system32\config\SysEvent.Evt» для исследуемой машины (не для той, на которой Вы запустили «eventvwr.exe»!), с которой сняли образ диска. Тип журнала указываете «Система». Далее, выделив открытый журнал в дереве, указываете в диалоговом окне, открытом посредством меню \Вид\Фильтр…, следующее:
Если полученный список событий окажется пустым — расширяйте область дат в фильтре.

Iska, спасибо боьлшое.. но почему как вы написали, т.е. по моей дате ничего не нашел, вообще отключил по дате и удивился... логирование почему то с 06.10.2012г. :(
поставил общее отображение лога , а там самый старый запись от 05.10.2012.


Может есть какая то другая "зацепка" ?

krec, причины могут быть разные, начиная с самых банальных: журнал событий системы был очищен вручную 05.10.2012, журнал событий системы был переполнен и очищен самой службой событий в соответствии с настройками автоматически, журнал событий системы был повреждён и восстановлен.

Вы точно «цепляете» к «eventvwr.exe» файл журнала с подключённого образа, а не с локальной системы? Образ когда снимался?

Iska,

да , да.. там точно НЕ мои event_ы :) в эвентах не имя моего компьютера.

вот смотри мои - у меня с 03.10.2012 до 19.10.2012(сегодня).. значит сбразывается логи :( плохо это...

Никак нельзя восстановить или иными способами узнать когда был включен компьютер в определенную дату?