TurnedOnTimesView

今天来认识看看这个看名字我也不清楚是啥?
打开时间线? 喔！用时间线排列出每个动作的工具吗?

TurnedOnTimesView 是可以分析 Windows 作业系统的 event log 的工具，并检查电脑开启的时间范围。对於电脑开启的每个时间段，都会显示资讯如下：

• 启动时间
• 关机时间
• 持续时间
• 关机原因
• 关机类型
• 关机过程
• 关机代码
  TurnedOnTimesView 可从本机取得以上资讯，如果有足够的权限从远端读取 Windows 的 event log 的话，则可以从网络上远端蒐集这些资讯。

这工具在 windows 都可以执行，不过为了确保资料蒐集顺利，最好右键用管理员权限执行这个小工具。

已知限制：

• TurnedOnTimesView 基於 Windows event log 上的几种类型的事件来检查电脑何时开关机。通常执行顺利，但也有可能出现误报，这意思是 TurnedOnTimesView 显示电脑重新启动，但实际上电脑没有关机又启动。
• 当电脑没有正常关机时（例如停电），TurnedOnTimesView 会无法吃到到关机时间，这个项目的图标就会变红色而不是绿色
• 如果删除系统事件 log，TurnedOnTimesView 会无法检测开关机时间
• 在 Windows Vista 以前的系统版本上，关机原因、关机类型和关机 process 的字串通常是空值

这工具用以下事件来确定开关机的时间：

• EventID 41 (Microsoft-Windows-Kernel-Power):系统已重新启动，前面没有先正确关机。如果系统停止回应、crash 或意外断电，就可能会出此错误。
• EventID 42 (Microsoft-Windows-Kernel-Power): 系统进入睡眠
• EventID 1 (Microsoft-Windows-Power-Troubleshooter): 系统从睡眠中醒来
• EventID 1074 (USER32): process xxx 代表 user xxx 起了电脑 xxx 的xxx，原因如下：xxx
• EventID 6005 (EventLog): 已启动 Event log service
• EventID 6006 (EventLog): 已停止 Event log service

开始使用本工具：
点两下执行 TurnedOnTimesView.exe 後，TurnedOnTimesView 的主视窗会显示电脑打开的所有时间区间。
可以使用“Save Selected Items”选项来将列表导出到 html/xml/tab-delimited/comma-delimited 档案。还可以将所选项目复制贴上。

简单的介绍就到这儿～
倒数第二天啦！