Когда-то давно (три года назад, если быть точным) была у меня на работе проблема - рабочие станции под управлением Windows XP грузились при авторизации в домене просто безумное количество времени. В особо тяжких случаях до 20 минут доходило. На какие только ухищрения я ни шел, чтобы узнать, в чем проблема. Точнее, даже не одна проблема. Ясно, что там и сетевая производительность, и набор групповых политик (политик было много), и ПО, стартующее вместе с ОС... В общем, много чего пришлось ворочать. И "полевое" логирование приходилось включать, наверное, это уже крайняя мера.
Что характерно, семерки в той же среде не особо сильно страдали.
А вот недавно, шастал по сайтам в поисках информации на какую-то совсем отвлеченную от производительности тему (то ли Масс Эффект, то ли виртуальные машины Hyper-V), а попалась весьма любопытная статейка, в которой рассказано, как настроить слежку за процессом старта ОС прямо в Event Log. Делается просто - вот так:

В результате можем получить вот такие интересные сообщения:

Как бы это пригодилось раньше. Впрочем, и сейчас знать не помешает.
Ну а чтобы уж следовать своему новозаведенному правилу:

get-winevent -LogName Microsoft-Windows-Diagnostics-Performance/Operational | where {($_.ID -ge "100") -and ($_.ID -le "110")}

Форматировать - по вкусу