Có những lúc người dùng muốn biết lịch sử khởi động và tắt máy tính. Chủ yếu, các quản trị viên hệ thống cần biết về lịch sử cho các mục đích khắc phục sự cố. Nếu nhiều người dùng sử dụng máy tính, nó có thể là một biện pháp bảo mật tốt để kiểm tra thời gian khởi động và tắt máy tính để đảm bảo rằng máy tính đang được sử dụng hợp pháp. Trong bài này, chúng tôi sẽ thảo luận hai cách để theo dõi thời gian tắt máy và khởi động máy tính của bạn.

Sử dụng nhật ký sự kiện để trích xuất thời gian khởi động và tắt máy

Windows Event Viewer là một công cụ tuyệt vời giúp tiết kiệm mọi thứ xảy ra trong máy tính. Tại mỗi sự kiện, trình xem sự kiện ghi lại một mục nhập. Trình xem sự kiện được xử lý bởi dịch vụ eventlog không thể bị ngừng hoặc vô hiệu hóa theo cách thủ công vì nó là một dịch vụ cốt lõi của Windows. Trình xem sự kiện cũng ghi lại thời gian bắt đầu và dừng của dịch vụ sự kiện. Chúng tôi có thể tận dụng những thời gian đó để có ý tưởng về thời điểm máy tính của chúng tôi được khởi động hoặc tắt.

Các sự kiện dịch vụ sự kiện được ghi lại với hai mã sự kiện. ID sự kiện 6005 cho biết dịch vụ bản ghi sự kiện đã được bắt đầu và ID sự kiện 6009 cho biết các dịch vụ bản ghi sự kiện đã bị dừng. Hãy xem qua toàn bộ quá trình trích xuất thông tin này từ trình xem sự kiện.

1. Mở Event Viewer (nhấn “Ctrl + R” và gõ “ eventvwr.msc “). Nếu bạn đang sử dụng Windows 8, bạn có thể chạy Trình xem sự kiện bằng phím tắt "Windows Key + X + V".

2. Trong khung bên trái, mở Windows Logs -> System.

3. Trong khung bên phải, bạn sẽ nhận được một danh sách các sự kiện đã xảy ra trong khi Windows đang chạy. Mối quan tâm của chúng tôi là chỉ thấy ba sự kiện. Trước tiên, hãy sắp xếp nhật ký sự kiện với ID sự kiện. Nhấp vào nhãn ID sự kiện để sắp xếp dữ liệu liên quan đến cột ID sự kiện.

4. Nếu bản ghi sự kiện của bạn là rất lớn, sau đó sắp xếp sẽ không hoạt động. Bạn cũng có thể tạo bộ lọc từ ngăn tác vụ ở phía bên tay phải. Chỉ cần nhấp vào "Lọc nhật ký hiện tại".

5. Viết 6005, 6006 vào trường ID sự kiện có nhãn là. Bạn cũng có thể chỉ định khoảng thời gian trong phần Ghi nhật ký.

ID sự kiện 6005 sẽ được gắn nhãn là "Dịch vụ nhật ký sự kiện đã được bắt đầu". Điều này đồng nghĩa với việc khởi động hệ thống.

ID sự kiện 6006 sẽ được gắn nhãn là "Dịch vụ nhật ký sự kiện đã bị dừng". Điều này đồng nghĩa với việc tắt hệ thống.

Nếu bạn muốn điều tra bản ghi sự kiện thêm, bạn có thể đi qua Event ID 6013 sẽ hiển thị thời gian hoạt động của máy tính và ID sự kiện 6009 cho biết thông tin bộ xử lý được phát hiện trong thời gian khởi động. Tổ chức sự kiện ID 6008 sẽ cho bạn biết rằng hệ thống bắt đầu sau khi nó không được tắt đúng cách.

Sử dụng TurnedOnTimesView

TurnedOnTimesView là một công cụ di động đơn giản để phân tích nhật ký sự kiện cho thời gian khởi động và tắt máy. Tiện ích này có thể được sử dụng để xem danh sách thời gian tắt máy và khởi động của máy tính cục bộ hoặc bất kỳ máy tính từ xa nào được kết nối với mạng. Vì nó là một công cụ di động, bạn sẽ chỉ cần giải nén và thực thi tệp TurnedOnTimesView.exe. Nó sẽ ngay lập tức liệt kê thời gian khởi động, thời gian tắt máy, thời gian hoạt động giữa mỗi lần khởi động và tắt máy, lý do tắt máy và mã tắt máy.

Lý do tắt máy thường được kết hợp với máy chủ Windows Server, nơi chúng tôi phải đưa ra lý do nếu chúng tôi tắt máy chủ.

Để xem thời gian khởi động và tắt máy của một máy tính từ xa, vào "Options -> Advanced Options" và chọn "Data source as Remote Computer". Chỉ định địa chỉ IP hoặc tên của máy tính trong trường Tên máy tính và nhấn nút OK. Bây giờ danh sách sẽ hiển thị các chi tiết của máy tính từ xa.

Trong khi bạn luôn có thể sử dụng trình xem sự kiện để phân tích chi tiết thời gian khởi động và tắt máy, TurnedOnTimesView phục vụ mục đích với giao diện rất đơn giản và dữ liệu điểm. Vì mục đích gì bạn giám sát thời gian khởi động và tắt máy tính của bạn? Bạn thích phương pháp nào để theo dõi?