Como descobrir se o Windows estava sendo executado em um determinado momento?

Você pode usar o Windows Event Viewer para fazer isso.

Para iniciar o Visualizador de Eventos no Windows 7:

• Clique no botão Iniciar
• Clique no Painel de controle
• Clique em Sistema e Manutenção
• Clique em Ferramentas administrativas
• Clique duas vezes em Visualizar eventos

No Windows 8 e 10 você pode executar o Visualizador de Eventos com o atalho Chave do Windows + X + V . Você também pode abri-lo através do menu Executar. Ou seja, pressione Tecla Windows + R para abrir a caixa de diálogo Executar, digite eventvwr e clique em OK.

Depois de abrir o Visualizador de Eventos, siga estas etapas:

1. No painel esquerdo, vá para Logs do Windows > Sistema
2. No painel direito, você verá uma lista de eventos que ocorreram enquanto o Windows estava sendo executado
3. Clique no rótulo da ID do evento para classificar os dados pela coluna "ID do evento"
4. É possível que seu log de eventos seja extremamente longo, por isso você precisará criar um filtro.
5. No painel Ações, no lado direito, clique em "Filtrar registro atual"
6. Digite 6005, 6006 no campo não marcado (veja a captura de tela abaixo):

Observe que os serviços não param quando o computador entra em suspensão, mas a fonte de evento Kernel-Power menciona todas as transições de estado de energia. Para consultar o log de eventos na linha de comando, você pode usar o PowerShell!

Get-WinEvent -LogName System | ? {$_.ProviderName -eq 'Microsoft-Windows-Kernel-Power'}

No meu laptop, isso produz uma listagem como esta:

TimeCreated                     Id LevelDisplayName Message
-----------                     -- ---------------- -------
10/21/2016 1:20:43 PM          130 Information      Firmware S3 times. SuspendStart: 31954205, SuspendEnd: 31954215
10/21/2016 1:20:43 PM          131 Information      Firmware S3 times. ResumeCount: 11, FullResume: 498, AverageResu...
10/21/2016 1:16:54 PM          107 Information      The system has resumed from sleep.
10/21/2016 1:16:53 PM           42 Information      The system is entering sleep....
10/21/2016 1:06:05 PM          130 Information      Firmware S3 times. SuspendStart: 31305142, SuspendEnd: 31305152
10/21/2016 1:06:05 PM          131 Information      Firmware S3 times. ResumeCount: 10, FullResume: 498, AverageResu...
10/21/2016 12:29:30 PM         107 Information      The system has resumed from sleep.
10/21/2016 12:29:29 PM          42 Information      The system is entering sleep....

Por incrível que pareça, às vezes o tempo no evento 107 está incorreto (este laptop perde a noção do tempo ao retomar), mas os próximos eventos "firmware S3 times" acertam.

É claro que, se o computador desligar inesperadamente, você não receberá um evento no momento exato do desligamento - o próximo Kernel-Power será quando o sistema perceber que a energia foi perdida. Portanto, uma abordagem diferente seria encontrar o evento mais recente de qualquer tipo registrado antes da hora em questão.

Get-WinEvent -LogName Application | ? {$_.TimeCreated -le '10/19/2016 12:45 PM'} | select -First 1

Você substituiria 10/19/2016 12:45 PM pelo tempo em que estava interessado. Eu escolhi o log do Aplicativo para essa consulta porque geralmente é muito ativo. Se o TimeCreated do evento produzido for mais de uma hora antes do horário fornecido, é provável que o computador não esteja totalmente em execução.

Visualizaçãodahoraativada link

Praticamente fazemos o mesmo e apresentamos uma GUI para você.

Ou, se você quiser apenas ver se há uma reinicialização antes de sua sessão atual. Você pode querer verificar o tempo de funcionamento.

net statistics server