Savoir les dates de démarrage et d’arrêt d’un PC en Windows (historique)

Il arrive qu’un utilisateur souhaite connaître l’historique des démarrages et des arrêts d’un ordinateur. Le plus souvent, les administrateurs système ont besoin de connaître l’historique à des fins de dépannage. Si plusieurs personnes utilisent l’ordinateur, il peut s’agir d’une bonne mesure de sécurité que de vérifier les heures de démarrage et d’extinction de l’ordinateur pour s’assurer qu’il est utilisé de manière légitime.

Dans ce tutoriel, nous allons voir comment connaître facilement la date et l’heure de l’arrêt ou de redémarrage de votre PC.

Savoir les dates de démarrage et d'arrêt d'un PC en Windows (historique)

Comment voir l’historique des démarrages et des arrêts du PC dans Windows

Dans l’observateur d’évènements

Lorsque vous enquêtez sur l’arrêt ou redémarrage de votre PC, vous devez vérifier plusieurs ID d’événement importants, notamment :

L’ID d’évènements 12 – Kernel-Power “Le système d’exploitation a démarré à l’heure système”
L’ID d’évènements 13 – Kernel-Power “Le système d’exploitation s’est arrêté à l’heure système”
L’ID d’événement 41 devrait indiquer “Le système a redémarré sans s’éteindre au préalable”. Vous verrez ce message si votre PC redémarre sans avoir été correctement éteint
L’ID d’évènements 577 – Kernel-Power “Le système s’est préparé pour qu’un redémarrage du système”
L’événement ID 1074 peut avoir des messages différents en fonction de la façon dont le PC a été arrêté. Cependant, il se produit toujours lorsqu’un programme ou l’utilisateur initie un arrêt
L’ID d’événement 1076 vous permet de savoir pourquoi l’ordinateur a été arrêté ou redémarré. Il peut vous permettre de mieux comprendre pourquoi quelque chose s’est produit
L’ID d’événement 6008 devrait indiquer “Le précédent arrêt du système à [heure] le [date] était inattendu”. C’est le signe que votre PC a démarré après un arrêt inapproprié
L’événement ID 6009 a des messages différents en fonction de votre processeur. Cependant, il signifie que votre processeur a été détecté à un moment précis
L’ID d’événement 6013 devrait indiquer “Le temps de fonctionnement du système est de [heure]” Cela indique depuis combien de temps votre PC est allumé. Il s’agit du temps en secondes

Pour cela, vous pouvez faire une recherche et filtrer sur ces types d’évènements depuis l’observateur d’évènements.
Voici comment faire :

Faites un clic droit sur le menu Démarrer puis Observateur d’évènements. Pour plus de méthodes : Comment ouvrir l’observateur d’évènements de Windows 10, 11
Dans le volet de droite, cliquez sur créer une vue personnalisée

Créer une vue personnalisée dans l'observateur d'évènements pour filtrer les évènements

Dans Par journal, cochez Système

Comment voir l'historique des démarrages et des arrêts du PC dans Windows

Puis dans ID d’évènements, copiez/collez : 12,13,41,577,1074,1076,6008,6009
Validez par OK

Saisissez un nom de vue comme Arrêt, redémarrage du PC

La vue personnalisée avec les évènements filtrés est créée. Il ne vous reste plus qu’à inspecter les évènements pour connaître les dates d’arrêt ou de redémarrage du PC

Rechercher et filtrer le journal d’évènements de Windows (11, 10, 8 et 7)

En PowerShell

PowerShell permet de lister des évènements du journal d’évènements sur des ID spécifiques.
Il est alors très simple de connaître les moments des arrêts ou redémarrages de votre PC.

Appuyez sur le raccourci clavier + X ou cliquez avec le bouton droit de la souris sur le menu Démarrer puis sélectionnez “Terminal Windows (admin)“. Plus d’informations : Comment ouvrir Windows Terminal
Puis copiez/collez la commande Get-EventLog suivante :

Get-EventLog -LogName System |? {$_.EventID -in (12,13,41,577,1074,1076,6008,6009)} | ft TimeGenerated,EventId,Message -AutoSize -wrap

Vérifiez l’historique d’arrêt ou de redémarrage du système

Avec TurnedOnTimesView

TurnedOnTimesView est un outil gratuit et simple de NirSoft qui analyse le journal des événements de Windows et détecte les plages horaires pendant lesquelles votre ordinateur a été allumé.
Pour chaque période pendant laquelle l’ordinateur a été allumé, les informations suivantes sont affichées : Heure de démarrage, Heure d’arrêt, Durée, Raison de l’arrêt, Type d’arrêt, Processus d’arrêt et Code d’arrêt.

Téléchargez l’utilitaire depuis ce lien :

TurnedOnTimesView

Téléchargez le fichier ZIP et le fichier de traduction

Décompressez ensuite tout cela, par exemple avec 7-zip dans le même emplacement
Puis exécutez TurnedOnTimesView
Il énumère immédiatement l’heure de démarrage, l’heure d’arrêt, la durée de fonctionnement entre chaque démarrage et arrêt, la raison de l’arrêt et le code d’arrêt.

TurnedOnTimesView vous permet d’obtenir ces informations à partir de votre ordinateur local et d’un ordinateur distant sur votre réseau si vous avez suffisamment de privilèges pour lire le journal des événements de Windows à distance.

Appuyez sur F9 pour accéder aux Options avancées
Sélectionnez “Ordinateur distant” dans Source de données
Passage à l’option Ordinateur distant dans Source de données
Spécifiez l’adresse IP ou le nom de l’ordinateur dans le champ Nom de l’ordinateur et appuyez sur le bouton OK
La liste affiche maintenant les détails de l’ordinateur distant

Comme alternative, vous avez l’utilitaire WinLog O nView qui permet de visualiser lorsqu’un utilisateur se connecte et se déconnecte.
Enfin, il existe aussi du même éditeur LastActivityView qui permet de visualiser les dernières activités de son PC.

Avec Shutdown Logger

Cet outil vous permet de connaître facilement la date et l’heure de l’arrêt du PC, ainsi que la liste des utilisateurs connectés et le temps de fonctionnement du PC.

Shutdown Logger