一、使用事件查看器(推荐)
查看系统事件 - 按 `Win + R` 打开运行窗口,输入 `eventvwr.msc`,导航到 Windows 日志
→ 系统,可查看开机/关机时间、服务启动记录等。
- 通过事件ID筛选,例如开机记录(ID 6005)、关机记录(ID 6006)等。
查看安全日志
- 在事件查看器中切换到 安全日志,查找事件ID 4624(成功登录)和4634(用户注销),可追踪用户活动。
二、使用任务管理器
实时监控进程
- 按 `Ctrl + Shift + Esc` 打开任务管理器,切换到 进程选项卡,查看当前运行的程序及资源占用情况。
- 在 应用历史记录(仅限Windows 10)中,可查看每个程序的历史资源使用情况。
查看启动项
- 在任务管理器中,通过 启动选项卡可查看系统及用户自定义的启动程序。
三、文件系统与临时文件分析
检查最近修改文件
- 在资源管理器中,右键文件夹选择 属性,查看 修改时间,可追踪文件最新变更。
- 使用 `temp` 文件夹,若修改时间断档(如周末无新文件),可能表明系统未正常运行。
分析系统临时文件
- 通过 `temp` 文件夹中的 `.tmp` 文件和 `.dbi` 文件,可判断系统是否被频繁访问。
四、使用命令行工具
Recent命令
- 打开命令提示符(Win + R 输入 `cmd`),输入 `recent` 并回车,可查看最近访问的文件和文件夹。
PowerShell查询
- 输入 `Get-Process -Activity` 可查看当前进程活动,或 `Get-History`(需启用命令历史记录)查看历史命令。
五、第三方工具辅助
LastActivityView: 提供直观的图形化界面,显示最近文件访问和程序使用情况。 安全软件
注意事项
日志文件(如 `System.log`、`Security.log`)可能包含大量冗余信息,建议结合时间戳和事件类型筛选。
部分第三方工具可能存在隐私风险或与系统冲突,建议优先使用系统内置工具。
通过以上方法,可全面了解电脑的操作记录,包括用户行为、程序运行及系统事件等。
