PCSUPPORTHUB

So finden Sie heraus, wann ein Computer in Windows ein- und ausgeschaltet wurde

Nutzen Sie Ereignisanzeige, PowerShell, Eingabeaufforderung und Zuverlässigkeitsüberwachung, um Start-, Herunterfahr-, Neustart-, Energiespar-, Aufwach- und unerwartete Ausschaltzeiten zu prüfen.

Windows 10 Windows 11 Ereignisanzeige PowerShell
Inhalt

Windows-Start- und Herunterfahrverlauf anzeigen

  1. Kurzantwort: Welche Windows-Protokolle zeigen Energieereignisse?
  2. Methode 1: Start- und Herunterfahrzeiten in der Ereignisanzeige prüfen
  3. Methode 2: Windows-Protokolle nach wichtigen Ereignis-IDs filtern
  4. Methode 3: Start- und Herunterfahrverlauf mit PowerShell anzeigen
  5. Methode 4: Letzte Startzeit über die Eingabeaufforderung prüfen
  6. Methode 5: Unerwartete Herunterfahrvorgänge in der Zuverlässigkeitsüberwachung prüfen
  7. Energiespar- und Aufwachverlauf prüfen
  8. Ergebnisse für die Fehlerdiagnose exportieren
  9. Warum Start- oder Herunterfahrereignisse fehlen können
  10. FAQ
Überblick

Kurzantwort: Welche Windows-Protokolle zeigen Energieereignisse?

Windows protokolliert die meisten Ereignisse zu Start, Herunterfahren, Neustart, Energiesparmodus, Aufwachen und Stromausfall in der Ereignisanzeige. Das wichtigste Protokoll ist meistens Windows-Protokolle → System. Für einen schnellen Verlauf suchen Sie nach diesen Ereignis-IDs:

6005 Der Ereignisprotokolldienst wurde gestartet. Dies deutet in der Regel darauf hin, dass Windows gestartet wurde.
6006 Der Ereignisprotokolldienst wurde beendet. Dies weist normalerweise auf ein reguläres Herunterfahren hin.
6008 Das vorherige Herunterfahren war unerwartet. Das kann auf Absturz, erzwungenes Ausschalten oder Stromausfall hinweisen.
1074 Ein Benutzer oder Prozess hat einen Neustart oder ein Herunterfahren ausgelöst. Häufig werden Grund und verantwortlicher Prozess angezeigt.
41 Kernel-Power-Ereignis. Windows hat erkannt, dass das System ohne sauberes Herunterfahren neu gestartet wurde.
1 Power-Troubleshooter-Ereignis. Der Computer wurde aus dem Energiesparmodus oder Ruhezustand fortgesetzt.
ℹ️
Wichtig

Ereignis-IDs können zeigen, wann Windows gestartet und beendet wurde, beweisen aber nicht immer den exakten Zeitpunkt, an dem der physische Netzschalter gedrückt wurde. Schnellstart, Energiesparmodus, Ruhezustand, Abstürze und Stromausfälle können beeinflussen, wie Ereignisse im Protokoll erscheinen.

Methode 1

Start- und Herunterfahrzeiten des Computers in der Ereignisanzeige prüfen

Die Ereignisanzeige ist das beste integrierte Werkzeug, um zu prüfen, wann ein Windows-Computer eingeschaltet, neu gestartet oder heruntergefahren wurde. Sie funktioniert sowohl in Windows 10 als auch in Windows 11.

  1. Drücken Sie Win + R, geben Sie eventvwr.msc ein und drücken Sie Enter.
  2. Öffnen Sie im linken Bereich Windows-Protokolle.
  3. Wählen Sie System.
  4. Klicken Sie im rechten Bereich auf Aktuelles Protokoll filtern.
  5. Geben Sie im Feld Ereignis-IDs Folgendes ein: 6005, 6006, 6008, 1074, 41.
  6. Klicken Sie auf OK.
  7. Prüfen Sie die Spalte Datum und Uhrzeit für jedes Ereignis.

Doppelklicken Sie auf ein Ereignis, um weitere Details zu sehen. Ereignis-ID 1074 kann zum Beispiel anzeigen, welcher Prozess oder Benutzer das Herunterfahren oder den Neustart ausgelöst hat. Ereignis-ID 6008 bedeutet, dass Windows ein unerwartetes Herunterfahren erkannt hat.

Am besten für die meisten Nutzer

Verwenden Sie die Ereignisanzeige, wenn Sie eine zuverlässige Zeitachse der Windows-Start- und Herunterfahraktivitäten benötigen, ohne zusätzliche Software zu installieren.

Methode 2

Die wichtigsten Ereignis-IDs, um zu sehen, wann Windows ein- oder ausgeschaltet wurde

Wenn Sie das Systemprotokoll nach Ereignis-ID filtern, werden die Ergebnisse deutlich übersichtlicher. Die folgende Tabelle erklärt die nützlichsten Ereignisse zur Prüfung des Windows-Energieverlaufs.

Ereignis-ID Quelle Bedeutung Wobei es hilft
6005 EventLog Der Ereignisprotokolldienst wurde gestartet. Ungefähre Windows-Startzeit.
6006 EventLog Der Ereignisprotokolldienst wurde beendet. Ungefähre Zeit eines regulären Herunterfahrens.
6008 EventLog Das vorherige Herunterfahren war unerwartet. Stromausfall, Absturz, erzwungenes Ausschalten oder Systemstillstand.
1074 User32 Ein Prozess oder Benutzer hat Herunterfahren oder Neustart ausgelöst. Wer oder was einen geplanten Neustart oder ein Herunterfahren verursacht hat.
41 Kernel-Power Das System wurde neu gestartet, ohne vorher sauber herunterzufahren. Unerwarteter Neustart, Stromausfall, Hardwareproblem oder erzwungenes Ausschalten.
1 Power-Troubleshooter Das System wurde aus dem Energiesparmodus fortgesetzt. Aufwachzeit und manchmal die Aufwachquelle.

Für normale tägliche Aktivität reichen die Ereignis-IDs 6005 und 6006 meist aus. Bei Abstürzen oder plötzlichem Stromverlust prüfen Sie 6008 und 41. Für geplante Neustarts prüfen Sie 1074.

Methode 3

Windows-Start- und Herunterfahrverlauf mit PowerShell anzeigen

PowerShell ist hilfreich, wenn Sie eine schnelle Liste der Start- und Herunterfahrereignisse benötigen, ohne die Ereignisanzeige manuell zu durchsuchen.

Aktuelle Start-, Herunterfahr-, Neustart- und Absturzereignisse anzeigen

Klicken Sie mit der rechten Maustaste auf Start, wählen Sie Terminal oder Windows PowerShell und führen Sie aus:

PowerShellGet-WinEvent -FilterHashtable @{
    LogName = 'System'
    Id = 6005,6006,6008,1074,41
} -MaxEvents 50 | Select-Object TimeCreated, Id, ProviderName, Message | Format-List

Dieser Befehl zeigt die neuesten passenden Ereignisse aus dem Systemprotokoll an. Das Feld TimeCreated zeigt, wann das Ereignis aufgezeichnet wurde.

Nur Startereignisse anzeigen

PowerShellGet-WinEvent -FilterHashtable @{LogName='System'; Id=6005} -MaxEvents 20 |
Select-Object TimeCreated, Id, ProviderName

Nur normale Herunterfahrereignisse anzeigen

PowerShellGet-WinEvent -FilterHashtable @{LogName='System'; Id=6006} -MaxEvents 20 |
Select-Object TimeCreated, Id, ProviderName

Unerwartete Herunterfahrvorgänge und Stromausfälle anzeigen

PowerShellGet-WinEvent -FilterHashtable @{LogName='System'; Id=6008,41} -MaxEvents 30 |
Select-Object TimeCreated, Id, ProviderName, Message | Format-List
⚠️
Tipp

Wenn PowerShell meldet, dass keine Ereignisse gefunden wurden, wurde das Ereignisprotokoll möglicherweise gelöscht, überschrieben oder durch die Protokollgröße begrenzt. Erhöhen Sie bei Bedarf die Größe des Systemprotokolls in der Ereignisanzeige, wenn Sie einen längeren Verlauf benötigen.

Methode 4

Letzte Windows-Startzeit mit der Eingabeaufforderung prüfen

Wenn Sie nur die letzte Startzeit benötigen, verwenden Sie die Eingabeaufforderung oder PowerShell mit systeminfo. Das zeigt nicht den vollständigen Herunterfahrverlauf, ist aber schnell.

  1. Drücken Sie Win + R, geben Sie cmd ein und drücken Sie Enter.
  2. Führen Sie diesen Befehl aus:
Eingabeaufforderungsysteminfo | find "System Boot Time"

Bei einigen nicht englischen Windows-Installationen kann der Text lokalisiert sein. Führen Sie in diesem Fall aus:

Eingabeaufforderungsysteminfo

Suchen Sie anschließend nach der Zeile, die die Startzeit des Systems anzeigt. In PowerShell können Sie auch Folgendes verwenden:

PowerShell(Get-CimInstance Win32_OperatingSystem).LastBootUpTime
Methode 5

Unerwartete Herunterfahrvorgänge in der Windows-Zuverlässigkeitsüberwachung prüfen

Die Zuverlässigkeitsüberwachung bietet eine visuelle Zeitachse von Abstürzen, fehlgeschlagenen Updates, Anwendungsfehlern und unerwarteten Herunterfahrvorgängen. Sie ist leichter zu lesen als die Ereignisanzeige, enthält aber weniger technische Details.

  1. Drücken Sie Win + R.
  2. Geben Sie perfmon /rel ein und drücken Sie Enter.
  3. Suchen Sie nach Tagen, die mit einem roten Fehlersymbol markiert sind.
  4. Klicken Sie auf einen Tag und prüfen Sie Einträge wie Windows wurde nicht ordnungsgemäß heruntergefahren.

Die Zuverlässigkeitsüberwachung ist besonders nützlich, wenn Sie wissen möchten, ob der Computer an einem bestimmten Tag abgestürzt ist, unerwartet neu gestartet wurde oder die Stromversorgung verloren hat.

Energiesparmodus und Aufwachen

Prüfen, wann ein Windows-Computer aus dem Energiesparmodus aufgewacht ist

Wenn der Computer nicht vollständig heruntergefahren wurde, sondern nur im Energiesparmodus oder Ruhezustand war, zeigen die Start- und Herunterfahrereignis-IDs möglicherweise nicht die komplette Geschichte. Prüfen Sie Aufwachereignisse in der Ereignisanzeige:

  1. Öffnen Sie die Ereignisanzeige.
  2. Gehen Sie zu Windows-Protokolle → System.
  3. Klicken Sie auf Aktuelles Protokoll filtern.
  4. Wählen Sie unter Ereignisquellen die Quelle Power-Troubleshooter.
  5. Suchen Sie nach Ereignis-ID 1.

Sie können auch PowerShell verwenden:

PowerShellGet-WinEvent -FilterHashtable @{LogName='System'; ProviderName='Microsoft-Windows-Power-Troubleshooter'} -MaxEvents 20 |
Select-Object TimeCreated, Id, Message | Format-List

Um zu sehen, wodurch der Computer zuletzt geweckt wurde, führen Sie diesen Befehl in der Eingabeaufforderung oder im Terminal aus:

Eingabeaufforderungpowercfg /lastwake

Um Geräte aufzulisten, die den Computer aufwecken dürfen, führen Sie aus:

Eingabeaufforderungpowercfg /devicequery wake_armed
Export

Windows-Start- und Herunterfahrverlauf exportieren

Wenn Sie das Protokoll an einen Techniker senden oder für später speichern möchten, exportieren Sie die gefilterten Ergebnisse aus der Ereignisanzeige oder aus PowerShell.

Export aus der Ereignisanzeige

  1. Öffnen Sie die Ereignisanzeige.
  2. Filtern Sie das System-Protokoll nach den Ereignis-IDs 6005, 6006, 6008, 1074, 41.
  3. Klicken Sie im rechten Bereich auf Gefilterte Protokolldatei speichern unter.
  4. Speichern Sie die Datei als .evtx.

Export als CSV mit PowerShell

PowerShellGet-WinEvent -FilterHashtable @{
    LogName = 'System'
    Id = 6005,6006,6008,1074,41
} -MaxEvents 200 |
Select-Object TimeCreated, Id, ProviderName, Message |
Export-Csv "$env:USERPROFILE\Desktop\windows-power-history.csv" -NoTypeInformation -Encoding UTF8

Die exportierte CSV-Datei erscheint auf dem Desktop und kann in Excel, LibreOffice Calc oder einem beliebigen Texteditor geöffnet werden.

Fehlerbehebung

Warum Start- oder Herunterfahrereignisse in Windows fehlen können

Manchmal zeigt das Protokoll nicht genau das Ereignis, das Sie erwarten. Häufige Ursachen sind:

🔎
Empfohlene Prüfung

Für die klarste Zeitachse vergleichen Sie die Ereignis-IDs 6005, 6006, 6008, 1074 und 41 gemeinsam, statt sich nur auf einen Ereignistyp zu verlassen.

FAQ

FAQ: Einschalt- und Ausschaltzeiten eines Windows-Computers prüfen

Kann ich die genaue Uhrzeit sehen, zu der der PC eingeschaltet wurde?

Meistens sehen Sie die ungefähre Windows-Startzeit über Ereignis-ID 6005 oder den Wert LastBootUpTime. Das zeigt, wann Windows gestartet wurde, aber nicht unbedingt die exakte Sekunde, in der der physische Netzschalter gedrückt wurde.

Kann ich sehen, wer den Computer heruntergefahren oder neu gestartet hat?

Manchmal. Ereignis-ID 1074 kann das Benutzerkonto und den Prozess anzeigen, der ein geplantes Herunterfahren oder einen Neustart ausgelöst hat. Das hilft jedoch nicht, wenn der PC die Stromversorgung verloren hat oder mit dem Netzschalter erzwungen ausgeschaltet wurde.

Wie prüfe ich, ob der Computer unerwartet heruntergefahren wurde?

Suchen Sie im Systemprotokoll nach Ereignis-ID 6008 und Kernel-Power-Ereignis-ID 41. Alternativ öffnen Sie die Zuverlässigkeitsüberwachung mit perfmon /rel und suchen nach Windows wurde nicht ordnungsgemäß heruntergefahren.

Speichert Windows den Start- und Herunterfahrverlauf dauerhaft?

Nein. Ereignisprotokolle haben eine maximale Größe. Wenn das Protokoll voll wird, können ältere Ereignisse je nach Protokolleinstellungen überschrieben werden.

Gibt es im Protokoll einen Unterschied zwischen Herunterfahren, Energiesparmodus und Ruhezustand?

Ja. Ein vollständiges Herunterfahren erzeugt normalerweise Ereignisse zu Herunterfahren und Start. Energiespar- und Aufwachaktivitäten werden meist über Power-Troubleshooter- und Energieverwaltungsereignisse angezeigt.