Einschaltzeit und Ausschaltzeit von einem Windows Rechner ermitteln

Vor kurzem kam ein Arbeitskollege zu mir und berichtete mir von einer Misere mit der Telekom.

Auf seiner Monatsrechnung war auf einmal eine „Premium Download“- Position in Höhe von 160 EUR enthalten.
Als er bei der TKom nachfragte begründeten sie diese Position damit, dass er sich an Tag „X“ insgesamt 5 Spiele aus dem Premium Angebot von T-Online heruntergeladen hätte.
Sie nannten ihm sogar die Zeit, wann er dies angeblich getan haben sollte. Laut Telekom wurden die Spiele zwischen 6:38 und 6:42 heruntergeladen… oder wie die Telekom es sagte „Der Download wurde angestoßen“ .
Mein Arbeitskollege war sich nun aber ziemlich sicher, dass er diese Spiele nirgends auf seinem Rechner hat und er oder seine Kinder zu diesem Zeitpunkt gar nicht am PC waren.
Der freundliche Service der Telekom begegnete ihm nur sehr patzig und sagte, dass er doch dann Strafanzeige bei der Polizei gegen Unbekannt erstatten solle… Alter, wo kommen wir denn dahin? Der Telekom ist es wohl sehr einfach möglich, zu schauen ob und mit welcher IP derjenige am besagten Tag zur besagten Uhrzeit online war. Nun gut… jetzt komm ich ins Spiel :-).

Nachdem ich mir die Story angehört habe dachte ich sofort daran, erstmal zu Beweisen, dass der PC gar nicht hochgefahren oder online war. Folgendes HowTo gab ich dem Kollegen an die Hand, damit er prüft, wann seine Einschaltzeiten und Ausschaltzeiten am PC war. Hier für die Allgemeinheit aufgeschrieben. Hoffe es nützt mal irgendwem :-).

  1. Klickt auf Start und anschließend auf Ausführen.
    (Bei Windows Vista einfach auf Start klicken und in den Suchschlitz Punkt 2 eingeben)
  2. Jetzt tippt „eventvwr“ ein und drückt Enter.
  3. Es öffnet sich ein neues Fenster. Dies ist das Eventlog des Rechners, wo alle möglichen Ereignisse, Fehler usw. protokolliert werden.
    Für unseren Fall suchen wir hier die Start- und Endzeit des Rechners. Diese finden wir im Eventlog „System„. Klickt also auf der rechten Seite auf System (bei Windows XP).
    eventlog1
    Bei Windows Vista klickt zuerst auf Windows Protokolle und anschließend auf „System“ (siehe Screenshot).
    eventlog2
  4. Das Eventlog kann schon mal ziemlich vollgelaufen sein, deshalb gibt es eine Möglichkeit, das Eventlog zu Filtern.
    Bei Windows XP geht dazu in dem Fenster auf „Ansicht / Filter“. Nun öffnet sich ein neues Fenster. Dort tippt bei Ereigniskennung die Nummer 6006 ein und die Liste zeigt alle Shutdowns. Tippt die Nummer 6005 ein und ihr bekommt alle Boots des Rechners angezeigt.
    eventlog3
    Bei Windows Vista ist das ein wenig anders. Klickt auf der rechten Seite auf „Aktuelle Protokoll filtern“. Nun könnt ihr bei Ereignis-ID „6005,6006“ eintippen.
    eventlog4Kurze Erklärung:
    eventlog 6005 = Anschalten, Hochfahren des Rechners
    eventlog 6006 =Ausschalten, Herunterfahren des Rechners

Zurück zu meinem Kollegen:

Anhand der Anleitung hat er bei sich mal nachgeschaut und siehe da, sein Rechner wurde an dem besagten Tag erst gegen 9:30 eingeschaltet.
Wenn das mal nicht ein nützlicher Beweis ist, dass er es gar nicht war. Mal sehen, was der Kollege so weiter berichtet.

Wem das HowTo gefallen/geholfen hat, kann ja mal nen Kommentar schreiben.

PS: Es lässt sich so auch die eigenen Kinder mal überwachen, wie lange der PC denn wirklich an ist. Das Eventlog löscht eigentlich kaum jemand mal.
Eine nützliche Sache, wenn man mal wissen will, wie lange der PC denn so am Tag lief.

Vielleicht schreibe ich dafür mal ne kleine Batch, welche die Daten schön in Excel exportiert… aber nur, wenn ich mal Zeit habe :-/.

4 Gedanken zu „Einschaltzeit und Ausschaltzeit von einem Windows Rechner ermitteln

  1. Super, das hat mir echt geholfen meine Arbeitszeiten zu protokollieren. Ich hoffe du schreibst noch ein entsprechendes Script. Mal sehen vielleicht bin ich auch schneller und schicks dir!

    Gruß
    Manuel

  2. Bei den Zeitangaben im Ereignisprotokoll wird die »lokale Uhrzeit« verwendet. Das ist aber nur die halbe Wahrheit!
    Windows (ode nur XP?) berechnet diese Uhrzeiten offenbar dynamisch beim Abruf nach aktuell geltender Zeitkorrektur.
    In meinem konkreten Fall, es ist Sommerzeit: Die Hochfahr-Uhrzeiten sind, wenn ich in die vergangenen Monate schaue nur korrekt bis April. Im März werden mir Uhrzeiten angezeigt, die definitiv falsch sind (10 Uhr stimmt nicht, richtig wäre 9 Uhr).
    Der ungekehrten Effekt wird sich zeigen, wenn man sich im Winter die Uhrzeiten der Sommermonate anschaut.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.