Windows 11, il trucco nascosto per vedere spegnimenti e riavvii del PC

La capacità di ricostruire con precisione quando e perché un computer Windows 11 è stato spento o riavviato rappresenta un elemento fondamentale. In ambienti professionali, ma anche in scenari domestici evoluti, la lettura dei log di sistema consente di identificare anomalie, crash, interventi manuali o automatismi legati agli aggiornamenti di sistema.

Il Visualizzatore eventi di Windows 11 offre uno strumento che permette di accedere al registro che annota ogni evento significativo verificatosi sulla macchina: dalle operazioni di avvio fino agli arresti imprevisti. Comprendere come interrogare e interpretare questi log significa trasformare dati grezzi in informazioni diagnostiche concrete.

Per fare luce su avvii, riavvii e spegnimenti di Windows 11 non è neppure necessario avvalersi di un tool avanzato come Sysmon perché tutte le informazioni sono già registrate di default dal sistema operativo.

Log dei riavvii e spegnimenti di Windows 11: come accedervi

Premendo la combinazione di tasti Windows+R quindi digitando eventvwr.msc, si accede al Visualizzatore eventi di Windows. Cliccando su Registri di Windows quindi su Sistema, si può filtrare quanto registrato per andare alla ricerca degli Event ID d’interesse.

C’è però un modo ancora più semplice per procedere: basta premere Windows+X quindi scegliere Terminale o Windows Powershell incollando quindi quanto segue:

Get-WinEvent -FilterHashtable @{
    LogName='System'
    Id=41,1074,6006,6008
} -MaxEvents 20 |
Sort-Object TimeCreated |
Select-Object TimeCreated, Id, ProviderName, Message |
Format-Table -Wrap -AutoSize

Il comando PowerShell estrae gli ultimi 20 Event ID relativi a spegnimenti, riavvii e operazioni correlate. Nella risposta, si potranno leggere riferimenti ai seguenti:

• Event ID 1074. Arresto o riavvio intenzionale. L’evento segnala che lo spegnimento o il riavvio è stato richiesto in modo esplicito. Può essere generato da un utente, da un processo di sistema oppure da un aggiornamento di Windows. Include dettagli fondamentali come il processo responsabile, l’account che ha eseguito l’operazione e la motivazione dichiarata. È il punto di riferimento principale per verificare azioni legittime.
• Event ID 6006. Arresto corretto. Segnala che il sistema è stato spento in modo regolare, senza errori o interruzioni improvvise. Quando compare dopo un 1074, conferma che l’operazione si è conclusa correttamente.
• Event ID 6008. Arresto inatteso. Questo evento indica che il sistema è stato spento in modo anomalo. Le cause più comuni includono interruzioni di corrente, crash del sistema, blocchi hardware o riavvii forzati. Non fornisce la causa precisa, ma rappresenta un segnale di anomalia da approfondire.
• Event ID 41 (Kernel-Power). Riavvio senza spegnimento pulito. È uno degli eventi più critici. Indica che il sistema si è riavviato senza passare da una procedura di spegnimento corretta. È spesso associato a problemi hardware (alimentazione, RAM), driver instabili o crash di sistema. Va sempre analizzato in correlazione con altri eventi.

Come sapere quando è stato avviato Windows 11

Sempre in tema di gestione delle operazioni di riavvio e spegnimento di Windows 11, esiste un semplice comando che permette di stabilire la data e l’ora di avvio del sistema.

Basta premere Windows+X, scegliere Terminale o Windows Powershell quindi digitare quanto segue nella finestra del terminale:

(Get-CimInstance -ClassName Win32_OperatingSystem).LastBootUpTime

Lo stesso dato è recuperabile anche accedendo al Task Manager (finestra Gestione attività) di Windows 11: basta premere la combinazione di tasti CTRL+MAIUSC+ESC quindi cliccare su Prestazioni, CPU. In basso, in corrispondenza di Tempo di attività, si può leggere il numero di giorni, ore, minuti e secondi trascorsi dall’ultimo avvio di Windows 11.

Come identificare il tipo di avvio del sistema: Avvio rapido, spegnimento completo e ibernazione

Una delle analisi più sottovalutate nella diagnostica di Windows 11 riguarda la distinzione tra le diverse modalità di avvio del sistema.

Non tutti i boot sono uguali: un riavvio, uno spegnimento completo o un avvio tramite Avvio rapido producono comportamenti differenti, con implicazioni dirette su prestazioni, risoluzione dei problemi e persistenza dello stato.

Avvio rapido e ibernazione

Windows 10 e Windows 11 supportano un meccanismo chiamato Avvio rapido (Fast Startup, in inglese) e noto anche come hybrid shutdown o hiberboot. Attivo di default, combina elementi dello spegnimento tradizionale con l’ibernazione. In pratica, durante lo spegnimento del PC, lo stato del kernel non è in questo caso completamente azzerato, ma salvato su disco per velocizzare l’avvio successivo. Questo spiega perché uno spegnimento non equivale sempre a un riavvio del sistema, sia su Windows 10 che su Windows 11.

Accanto a questa modalità troviamo l’ibernazione classica, pensata soprattutto per dispositivi portatili (ma noi la utilizziamo con soddisfazione anche su desktop): il contenuto della memoria è salvato su disco e ripristinato al successivo avvio, consentendo di riprendere il lavoro esattamente laddove era stato interrotto. Il consumo energetico è minimo, ma i tempi di ripresa risultano superiori rispetto alla sospensione.

Riavvio del sistema

Diverso ancora è il comportamento del riavvio: forza la chiusura di tutte le sessioni, arresta completamente il sistema e avvia un nuovo ciclo di boot pulito. In presenza di alcune impostazioni attive, Windows 10 e Windows 11 possono ripristinare automaticamente le applicazioni compatibili, ma il kernel viene comunque reinizializzato.

Spegnimento completo

Infine, lo spegnimento completo (full shutdown) rappresenta la modalità di arresto più “pulita”: tutte le applicazioni sono chiuse, gli utenti disconnessi e il sistema completamente spento senza mantenere alcuno stato intermedio. È la modalità più indicata quando si desidera eliminare eventuali condizioni residue o preparare la macchina a interventi hardware.

Recuperare l’ultima modalità di avvio

Per ottenere uno spegnimento completo, come spiegato nell’articolo citato in precedenza, si può tenere premuto il tasto MAIUSC mentre si fa clic su Arresta il sistema oppure usare il comando shutdown /s /f /t 0 (ne parliamo anche nell’articolo dedicato a shutdown).

È possibile determinare con precisione quale tipo di avvio è stato eseguito interrogando, ancora una volta, i log di sistema. Il comando PowerShell da usare in questo caso, è il seguente:

Get-WinEvent -ProviderName Microsoft-Windows-Kernel-boot -MaxEvents 10 | where-object -Property id -eq "27"

L’output restituisce un campo denominato Boot Type, che assume valori specifici:

0x0 Riavvio o avvio da spegnimento completo.

0x1 Avvio tramite Fast Startup (hybrid boot o Avvio rapido in italiano).

0x2 Ripresa da ibernazione.

Una simile informazione, apparentemente marginale, è in realtà cruciale in fase di analisi. Ad esempio, un problema che persiste dopo uno “spegnimento” potrebbe derivare dal fatto che il sistema non è stato realmente inizializzato da zero, ma ha utilizzato uno stato salvato. In questi casi, distinguere tra hybrid boot e full shutdown consente di evitare diagnosi errate e di intervenire in modo mirato.