Acest lucru se poate face folosind un instrument de sistem numit Windows Logs, din interiorul caruia se urmează apoi ramificația System Tools - Event Viewer - Windows Logs - Security, și se caută rapoartele despre data la care s-a facut logon (pornirea calculatorului) si logoff (stingerea calculatorului sau deconectarea de la sistem). Pentru a ușura acest proces se poate opta pentru o filtrare în funcție de timp a rapoartelor apasând butonul 'Filter current log' și specificând data sau intervalul de timp pentru care se dorește vizualizarea.
O alternativă mult mai simplistă este folosind un program care va face automat analizarea jurnalului si va afișa doar rapoartele legate de timpul in care calculatorul a rulat. Programul se numește WinLogOnView și face parte dintr-o suită de programe simple, de dimensiuni foarte mici, dar foarte utile în același timp, disponibile în multiple limbi - printre care și limba română - și care pot fi rulate direct din sursa de download, fără să fie nevoie de a instala programul pe calculator.
Interfață WinLogOnView în care este afișat jurnalul aprinderilor și stingerilor calculatorului (click pentru marire). |
- ID-ul intern al unei sesiuni de lucru pe calculator, care poate fi folosită ulterior în decursul altor investigații legate de modul în care este folosit sau funcționeaza sistemul de operare, folosind unealta de sistem Windows Logs;
- numele contului de utilizator de pe care s-a utilizat calculatorul;
- domeniul și numele PC-ului;
- Logon Time - data și ora la care un utilizator s-a logat în sistem, fie a pornit calculatorul și s-a autentificat în sistem, fie revine la calculator după o perioadă de deconectare (când calculatorul intră în starea de stand by, hibernare, sau deconectare de la contul de utilizator);
- Logoff Time - data și ora la care s-a inițiat operația de stingere a calculatorului - dacă aceasta nu există pentru o înregistrare din listă înseamnă că fie calculatorul s-a întrerupt forțat din funcționare, fie calculatorul a intrat în stand by sau hibernare;
- Durata de funcționare - timpul cât calculatorul a stat aprins (afișarea acesteia este dependentă de existenta timpului la care s-a efectuat logoff, adica Logoff Time).