事件管理器查看系统活动

1、Windows 10里的GPS——使用事件管理器查看系统活动很多时候我们经常要查看系统活动，比如为了监控孩子使用电脑时间，我们要看看电脑是什么时候开机、关机；为了看看用户有没有运行网络游戏，我们需要查看用户是否访问游戏目录。其实这些系统活动就像是我们日常的出行，GPS可以记录我们的运行轨迹，Windows 10自带的事件查看器同样会在后台记录系统的活动。

2、如上所述，为了监控孩子使用电脑时间，我们经常要看看电脑是什么时候开机、关机，以找到他们深夜还在使用电脑的证据。对于系统这类活动，进入Windows 10后在搜索框输入“事件查看器”，启动该组件后展开“Windows日志→系统”，在右侧日志窗格点击“筛选当前日志”，在打开的窗口事件级别勾选“信息”，事件来源选择“Winlogon”，其他选择默认设置（图1）。

4、系统里还有很多记录的事件可以让我们查看运行轨迹，比如出现非正常关机或其它磁盘错误时，Windows 10重启后磁盘扫描过程只会显示一个正在扫描和修复驱动器的提示，以及扫描的进度百分比，而不再显示详细的磁盘扫描结果。此时就可以事件查看器查看ID号26226的事件即可看到详细的扫描结果。其他ID事件的说明请查看系统帮助文档。

5、如果要查看用户对某个目录的访问，则可以先进入组策略编辑器，展开“计算机配置→Windows设置→审核策略→审核对象访问”，将其设置为开启成功和失败的审核（图3）。

7、完成上述的操作后，只要当前登录账户访问上述指定的目录，系统的事件查看器就会自动记录。同上启动事件查看器后展开“Windows日志→安全”，在右侧找到任务类别为“文件系统”，其中审核成功的事件就表示用户成功访问该目录，这样通过事件记录就可以知道用户是否访问该目录（图5）。

10、如果要查看花在某个程序上的具体时间，只要在右侧窗格勾选程序名称，这样在时间轴上会显示什么时间段在使用哪个程序，每次使用的时间等等信息。当然很多朋友会在电脑上执行很多操作如上网浏览、聊QQ、微信、收发邮件、玩网游等，这样图示内容就较多。如果需要精确查看某一项目所花的时间则可以使用过滤功能。比如现在需要查看电脑上操作持续时间超过5分钟的事件，那么只要在过滤器输入“duration>5m”即可，这样浪费时间的程序可以很快查找出来（图7）。

12、这样返回程序窗口后，只要程序标题包含“淘宝”字样的时间就会被ManicTime自动统计，我们可以随时在时间线上切换到“自动标签”，这样即可在程序主界面上看到ManicTime为我们统计在所有淘宝网上花费的时间了（图9）。