Le moyen le plus simple de déterminer la dernière date et heure d'arrêt est de consulter les journaux des événements. Lorsque vous arrêtez un ordinateur, l'ID d'événement 1074 est écrit dans le journal des événements, ce qui indique un arrêt net. Les instructions suivantes s'appliquent à toutes les versions de Windows, y compris Windows 10.

Déterminer la date et l'heure du dernier arrêt ou redémarrage dans Windows

Pour savoir quand un ordinateur a été arrêté pour la dernière fois, consultez l'Observateur d'événements pour l'ID d'événement le plus récent 1074.

1. Exécutez eventvwr.msc pour démarrer l' Observateur d'événements.
2. Dans l'Observateur d'événements, développez Journaux Windows → Système
3. Trier le journal par date (décroissant)
4. Cliquez sur Filtrer le journal actuel… dans le volet droit.
5. Ajoutez l'ID d'événement: 1074 dans la liste Inclut et activez tous les types d'événements.
   

6. Cliquez sur OK.

Voici un exemple d'événement d'arrêt:

 Nom du journal: Source système: User32 Date: 2019-06-25T00: 15: 05.230 ID d'événement: 1074 Tâche: N / A Niveau: Information Opcode: N / A Mot-clé: Nom d'utilisateur classique: DESKTOP-JKJ4G5Q \ ramesh Ordinateur: DESKTOP- JKJ4G5Q Description: Le processus C: \ Windows \ System32 \ RuntimeBroker.exe (DESKTOP-JKJ4G5Q) a déclenché la mise hors tension de l'ordinateur DESKTOP-JKJ4G5Q au nom de l'utilisateur DESKTOP-JKJ4G5Q \ ramesh pour la raison suivante: Autre (non planifié) Code de motif : 0x0 Type d'arrêt: mise hors tension 

Rechercher la dernière heure d'arrêt à l'aide de la ligne de commande

Pour récupérer l'événement d'arrêt le plus récent (ID d'événement 1074) à partir du journal des événements système à l' aide de la ligne de commande, exécutez cette commande:

$config[ads_text6] not found

 wevtutil qe system "/ q: * [System [(EventID = 1074)]]" / rd: true / f: text / c: 1 

Pour afficher uniquement la date (horodatage) de l'événement sans autres détails, exécutez:

 wevtutil qe system "/ q: * [System [(EventID = 1074)]]" / rd: true / f: text / c: 1 | findstr / i "date" 

CONNEXES: Différentes façons de trouver la disponibilité dans Windows

ID d'événement 6005 et 6006

Vous pouvez également rechercher l'ID d'événement 6006 «Le service du journal des événements a été arrêté.» et 6005 "Le service du journal des événements a été démarré." ce qui indique qu'un événement d'arrêt ou de redémarrage s'est produit à l'heure spécifiée.

CONNEXES: Comment trouver la date et l'heure d'installation de Windows

Utilisation du script et du registre Windows

Windows stocke également la dernière date et heure d'arrêt dans une valeur REG_BINARY nommée ShutdownTime dans la branche suivante:

 HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Windows 

Remarque: Cette méthode affiche la dernière heure d'arrêt correcte uniquement si le démarrage rapide n'est pas utilisé.

Pour convertir les données binaires sous forme lisible, vous pouvez utiliser le VBScript suivant.

 'Déterminez la dernière heure et date d'arrêt dans Windows 10 et versions antérieures strValueName = "HKLM \ SYSTEM \ CurrentControlSet \ Control \ Windows \" _ & "ShutdownTime" Set oShell = CreateObject ("WScript.Shell") Ar = oShell.RegRead (strValueName ) Terme = Ar (7) * (2 ^ 56) + Ar (6) * (2 ^ 48) + Ar (5) * (2 ^ 40) + Ar (4) * (2 ^ 32) _ + Ar ( 3) * (2 ^ 24) + Ar (2) * (2 ^ 16) + Ar (1) * (2 ^ 8) + Ar (0) Jours = Terme / (1E7 * 86400) WScript.Echo "ShutdownTime = "& CDate (DateSerial (1601, 1, 1) + Jours) _ &" UTC " 

Copiez le code ci-dessus dans le Bloc-notes et enregistrez le fichier avec l'extension .vbs . Double-cliquez sur le script pour l'exécuter.

Une autre façon consiste à utiliser l'Éditeur du Registre pour exporter la clé de Registre suivante vers un fichier dans un fichier .txt (au lieu de .reg).

 HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Windows 

L'exportation de la clé vers un fichier .txt indique la dernière heure d'écriture de la clé. Lorsque Windows met à jour la valeur de Registre ShutdownTime, la dernière heure d'écriture de la clé est mise à jour.