Esse pequeno script vai fazer a coleta do usuario de forma remota ou local com o powershell.

execute: Get-WinEvent -LogName system -ComputerName localhost | where {($_.ID -eq 1074) -or ($_.ID -eq 6008) -or ($_.ID -eq 41 )} | select -First 3 | fl

onde localhost é o nome do computador

O resultado será os três últimos eventos de reboot com os Event IDs 1074, 6008 e 41.

Caso deseje adicionar outros IDs, basta incluir uma cláusula dentro do Where, ou alterar o número “3” para quantos eventos deseja coletar

Até a proxima.