Cách xem lịch sử khởi động và tắt máy trong Windows 10

Đôi khi trong quá trình sử dụng máy tính, bạn sẽ phải cần đến những thông tin dạng như lịch sử khởi động và tắt hệ thống. Chẳng hạn, nếu bạn là quản trị viên hệ thống, dữ liệu lịch sử bật tắt máy có thể đóng vai trò hữu ích trong các quy trình khắc phục sự cố. Hay đôi khi bạn cũng muốn biết lịch sử bật, tắt hệ thống để xem liệu máy tính của mình có bị truy cập trái phép không.

Trong bài viết này, chúng ta sẽ cùng tìm hiểu hai cách để theo dõi thời gian tắt và khởi động PC Windows 10 một cách chính xác.

Sử dụng Event Viewer để trích xuất thời gian khởi động và tắt máy

Windows Event Viewer là một công cụ tuyệt vời giúp lưu lại tất cả các hoạt động đang diễn ra trên máy tính. Đối với mỗi một sự kiện diễn ra trên hệ thống, Event Viewer sẽ ghi lại một mục nhập (entry). Event Viewer được xử lý bởi dịch vụ nhật ký sự kiện (eventlog service) mà không thể dừng hoặc tắt theo cách thủ công, vì đây là dịch vụ cốt lõi của Windows. Ngoài ra, Event Viewer cũng sẽ ghi lại nhật ký lịch sử khởi động và tắt của eventlog service. Do đó, bạn có thể tận dụng dữ liệu này để biết thời điểm máy tính của mình được khởi động hoặc tắt.

Các sự kiện eventlog service được ghi lại bằng 2 mã sự kiện (Event ID). ID 6005 cho biết rằng eventlog service đã được bắt đầu, trong khi ID 6009 chỉ ra rằng các eventlog service đã bị dừng. Hãy xem toàn bộ quá trình trích xuất thông tin này từ Event Viewer.

1. Mở Event Viewer (bằng cách nhấn Win + R và nhập từ khóa eventvwr).

2. Nhìn trong ngăn bên trái, mở “Windows Logs -> System”.

3. Trong ngăn giữa, bạn sẽ thấy một danh sách các sự kiện đã xảy ra khi Windows đang chạy. Trước tiên, hãy sắp xếp nhật ký sự kiện với ID tương ứng bằng cách nhấp vào nhãn Event ID. Dữ liệu liên quan đến cột Event ID sẽ được sắp xếp lại.

4. Nếu nhật ký sự kiện của bạn quá lớn, việc sắp xếp sẽ không khả dụng. Lúc này, bạn có thể tạo một bộ lọc

ngăn tác vụ ở phía bên phải. Chỉ cần nhấp vào “Filter current log”.

5. Nhập 6005, 6006 vào trường Event ID có nhãn <All Event IDs>. Bạn cũng có thể chỉ định khoảng thời gian trong mục Logged.

• Event ID 6005 sẽ được gắn nhãn là “The event log service was started”. Điều này đồng nghĩa với việc một phiên khởi động hệ thống đã được thực hiện.
• Event ID 6006 sẽ được gắn nhãn là “The event log service was stopped”, tương ứng với một lần tắt hệ thống.

Nếu bạn muốn điều tra sâu hơn, có thể xem qua Event ID 6013, hiển thị thời gian hoạt động của máy tính, và Event ID 6009 cho biết thông tin bộ xử lý được phát hiện trong thời gian khởi động. Event ID 6008 sẽ cho bạn biết rằng hệ thống đã khởi động sau khi không được tắt đúng cách.

Sử dụng tiện ích TurnedOnTimesView

TurnedOnTimesView là một công cụ đơn giản mà bạn có thể sử dụng để kiểm tra lịch sử khởi động và tắt máy. Tiện ích này có thể được sử dụng để xem danh sách thời gian tắt và khởi động của các máy tính cục bộ hoặc bất kỳ máy tính từ xa nào được kết nối mạng.

Để sử dụng, bạn sẽ chỉ cần giải nén và thực thi tệp TurnedOnTimesView.exe. Ứng dụng sẽ lập tức liệt kê cho bạn thời gian khởi động, thời gian tắt máy, khoảng thời gian hoạt động giữa mỗi lần bật và tắt máy, cũng như lý do tắt máy.

Để xem thời gian khởi động và tắt của một máy tính từ xa, hãy điều hướng tới “Options -> Advanced Options” và chọn “Data source as Remote Computer”. Chỉ định địa chỉ IP hoặc tên của máy tính trong trường Computer Name, sau đó nhấn OK. Lập tức, sẽ có một danh sách hiển thị thông tin chi tiết của máy tính tương ứng, trong đó có dữ liệu về thời gian bật, tắt như đã nêu trên.

Mặc dù bạn luôn có thể sử dụng Event Viewer để phân tích chi tiết thời gian khởi động và tắt máy, nhưng TurnedOnTimesView lại có lợi thế ở giao diện rất đơn giản và đặc biệt dễ sử dụng. Sử dụng phương pháp nào tùy thuộc vào sở thích của bạn.