Molto utili per individuare quando il sistema è stato avviato o spento,
sono la consultazione dei seguenti eventi presenti nel registo di sistema di Windows:
Avvio
Event 6009: Il sistema è up e riporta le indicazioni del sistema.
Event 6005: Il servizio eventlog è up, parte sempre dopo uno startup del sistema.
Spegnimento
Event 6006: Il servizio eventlog è down, si chiude prima di uno shutdown corretto.
Event 6008: Il sistema ha subito uno spegnimento anomalo. In questo log si può desumere sia quando il sistema è di nuovo up e a che orario è avvenuto lo spegnimento imprevisto.
http://support.microsoft.com/kb/326564
http://support.microsoft.com/kb/196452