Jak zdekodować „Czas uruchomienia aplikacji powodującej błąd” we wpisie dziennika zdarzeń systemu Windows?

6

Uruchomiona aplikacja uległa awarii i chciałem wiedzieć, kiedy to się stało, więc otworzyłem przeglądarkę zdarzeń Windows i szukałem wpisu. Znalazłem wpis, a potem zauważyłem, że jednym z jego szczegółów jest:

Faulting application start time: 0x01ccfe1e3e206d42

Fajnie, pomyślałem, ponieważ chciałem też wiedzieć, jak długo trwa aplikacja. Jak rozszyfrować ten ciąg szesnastkowy i przekonwertować go na datę i godzinę?

kruk
źródło

Odpowiedzi:

2
  1. W PowerShell można wydać następujące polecenie:

    get-date 0x01ccfe1e3e206d42    
    

    zastąp 0x01ccfe1e3e206d42 wartością znalezioną w dzienniku zdarzeń.

  2. Alternatywnie możesz przejść do karty Szczegóły właściwości zdarzenia, w której znajdziesz CreationTime w formacie czytelnym dla człowieka. Np. 2012-01-12T13: 33: 38.171Z

jon Z
źródło
Metoda 1 jest niepoprawna, przedział czasu wynosi 1601 lat. W metodzie 2 „CreationTime” to czas, w którym rejestrowane jest zdarzenie, ale w czasie Utc nie jest to czas rozpoczęcia aplikacji, czas, w którym rejestrowane jest zdarzenie, jest wyświetlany w kolumnie „Data i godzina”, mierzony w czasie lokalnym .
zhaorufei
2

W Powershell wydaj następujące polecenie, zastępując sekwencję szesnastkową:

[datetime]::FromFileTime(0x01ccfe1e3e206d42)

9 March 2012, 19:58:33

Odpowiedź jest w czasie lokalnym, aby dopasować czasy w Podglądzie zdarzeń (tutaj w Finlandii jesteśmy 2 godziny na wschód od UTC w marcu). Aby pokazać to w czasie UTC, dodaj UTCdo nazwy metody:

[datetime]::FromFileTimeUTC(0x01ccfe1e3e206d42)

9 March 2012, 17:58:33
stevek_mcc
źródło