Как мне декодировать "Время запуска ошибочного приложения" в записи журнала событий Windows?

Question

Как мне декодировать "Время запуска ошибочного приложения" в записи журнала событий Windows?

Приложение, которое я запускал, зависло, и я хотел знать, когда это произошло, поэтому я открыл окно просмотра событий Windows и искал запись. Я нашел запись, а затем заметил одну из деталей записи:

Faulting application start time: 0x01ccfe1e3e206d42

Круто, подумал я, потому что я также хотел знать, как долго приложение работает. Как мне расшифровать эту строку в шестнадцатеричном формате и преобразовать ее в дату и время?

11

windows time event-log event-viewer

Источник

raven 09 мар '12 в 21:39

2 ответа

Другие вопросы по тегам windows time event-log event-viewer

stevek_mcc 23 авг '16 в 09:24 2016-08-23 09:24 · Answer 1 · 2016-08-23 09:24

В Powershell введите следующую команду, заменив шестнадцатеричную последовательность:

[datetime]::FromFileTime(0x01ccfe1e3e206d42)

9 March 2012, 19:58:33

Ответ по местному времени, чтобы соответствовать времени в Event Viewer (здесь, в Финляндии, мы на 2 часа восточнее UTC в марте). Чтобы показать это в UTC время, добавьте UTC на имя метода:

[datetime]::FromFileTimeUTC(0x01ccfe1e3e206d42)

9 March 2012, 17:58:33

jon Z 25 июн '12 в 12:06 2012-06-25 12:06 · Answer 2 · 2012-06-25 12:06

В Powershell вы можете выполнить следующую команду:
```
get-date 0x01ccfe1e3e206d42    
```
замените 0x01ccfe1e3e206d42 значением, найденным в вашем журнале событий.
В качестве альтернативы вы можете переключиться на вкладку Details в свойствах события, где вы найдете CreationTime в удобочитаемом формате. Например, 2012-01-12T13:33:38.171Z