一、通过事件查看器查看系统日志
打开事件查看器 按 `Win + R` 打开运行窗口,输入 `eventvwr.msc` 并回车,或通过控制面板的“管理工具”-“事件查看器”进入。
筛选系统事件
- 在左侧导航栏选择“Windows 日志”→“系统”,查看开机/关机记录(ID 6005/6006);
- 通过右键筛选功能输入关键词(如程序名、文件路径)查找异常操作。
二、使用“Recent”命令查看文件访问记录
基本用法
按 `Win + R` 输入 `recent` 回车,可查看最近访问的文件、文件夹及快捷方式;
高级功能
- 该命令仅显示用户权限范围内的访问记录,需注意隐私。
三、检查最近运行程序
通过系统目录
导航至 `C:\Windows\Prefetch`,查看以 `.exe` 结尾的文件,文件名前部分即为程序名称;
使用命令行
输入 `tasklist /FI "IMAGENAME eq 程序名.exe"`(如 `notepad.exe`)实时查看运行程序。
四、浏览器历史记录
本地浏览器
- Chrome:`Ctrl + H` → “历史记录”;
- Firefox:`Ctrl + H` → “最近访问”;
- Edge:`Ctrl + H` → “历史记录”;
IE浏览器
通过“历史记录”标签页查看网页访问轨迹。
五、查看计划任务(适用于管理员权限)
任务计划程序
按 `Win + R` 输入 `taskschd.msc`,查看“任务计划程序服务已退出于”日志,分析异常任务。
六、第三方工具辅助
LastActivityView: 轻量级软件,可快速检索特定软件使用记录,支持关键词搜索; 鲁大师
注意事项
隐私保护:
文件访问记录可能包含敏感信息,请谨慎查看他人设备;
权限管理:
部分功能需管理员权限,普通用户可能无法访问完整日志;
系统差异:
Mac/Linux系统需使用不同工具(如 `last` 命令、`Activity Monitor`),此处未展开。
通过以上方法,可全面了解电脑使用情况,发现异常行为时及时排查。
