Dog's Life 2.0

查看Windows的System log, 找尋 Event ID: 1074

用Powershell 可以這樣下

Get-WinEvent -FilterHashtable @{logname = 'System'; id = 1074} -MaxEvents 1 | Format-Table -wrap

理論上, Message 裡面就會有, 執行關機或重開的帳戶名

如果這個帳戶是   NT AUTHORITY\SYSTEM 代表是某個 service 把 Windows 關機或重啟. 像是 windows update 後重新啟動

對以上全是抄來的, 我只是寫成中文筆記給自己看, 順便分享有緣人.

以下是出處, 裡面有更多說明, 還有更多相關的 Powershell 範例 

https://woshub.com/check-shutdown-reboot-logs-windows/

https://www.whatsupgold.com/blog/how-to-find-restart-info-for-machines-on-your-network-using-powershell-and-windows-event-logs