[Iska]

Запускаете «eventvwr.exe». В меню «Действие» выбираете «Открыть файл журнала…». В диалоговом окне указываете путь к файлу «%SystemRoot%\system32\config\SysEvent.Evt» для исследуемой машины (не для той, на которой Вы запустили «eventvwr.exe»!), с которой сняли образ диска. Тип журнала указываете «Система». Далее, выделив открытый журнал в дереве, указываете в диалоговом окне, открытом посредством меню \Вид\Фильтр…, следующее:

Код:

Тип события:		Уведомление
Источник события:	EventLog
Код события:		6005
С момента:		10.08.2012 00:00:00
До момента:		10.08.2012 23:59:59

Если полученный список событий окажется пустым — расширяйте область дат в фильтре.

[krec]

Iska, спасибо боьлшое.. но почему как вы написали, т.е. по моей дате ничего не нашел, вообще отключил по дате и удивился... логирование почему то с 06.10.2012г.
поставил общее отображение лога , а там самый старый запись от 05.10.2012.


Может есть какая то другая "зацепка" ?

[Iska]

krec, причины могут быть разные, начиная с самых банальных: журнал событий системы был очищен вручную 05.10.2012, журнал событий системы был переполнен и очищен самой службой событий в соответствии с настройками автоматически, журнал событий системы был повреждён и восстановлен.

Вы точно «цепляете» к «eventvwr.exe» файл журнала с подключённого образа, а не с локальной системы? Образ когда снимался?

[krec]

Iska,

Цитата Iska:

Вы точно «цепляете» к «eventvwr.exe» файл журнала с подключённого образа, а не с локальной системы? Образ когда снимался? »

да , да.. там точно НЕ мои event_ы в эвентах не имя моего компьютера.

вот смотри мои - у меня с 03.10.2012 до 19.10.2012(сегодня).. значит сбразывается логи плохо это...

Никак нельзя восстановить или иными способами узнать когда был включен компьютер в определенную дату?