Cách xem lịch sử khởi động và tắt máy Windows

Việc kiểm tra lịch sử khởi động và tắt máy Windows có thể giúp bạn tìm ra các vấn đề tiềm ẩn và khắc phục chúng hiệu quả hơn. Bên cạnh đó bạn cũng có thể giám sát thời gian sử dụng máy tính với gia đình có trẻ nhỏ. Dưới đây là một số cách xem lịch sử khởi động và tắt máy Windows.

Thông tin Event ID bạn cần chú ý

Trước khi kiểm tra lịch sử khởi động và tắt máy Windows, điều quan trọng là bạn phải biết mã Event ID thể hiện nội dung gì.

Event ID 6005: Đây là mã định danh khởi động. Nếu mã này xuất hiện, nghĩa là hệ thống đang khởi động.

Event ID 6006: Sự kiện này được sử dụng để xác định thời điểm hệ thống tắt.

Event ID 6008: Đây cũng là mã định danh tắt hệ thống, nhưng nó biểu thị máy tính bị tắt đột ngột.

Event ID 6013: ID sự kiện này hiển thị thời gian hoạt động của hệ thống tính bằng giây.

Event ID 41: Máy tính khởi động nhưng không tắt hoàn toàn.

Event ID 1074: Ứng dụng buộc hệ thống khởi động lại hoặc khi người dùng khởi động lại/tắt máy thông qua Start menu.

Event ID 1076:Chi tiết lý do hệ thống được khởi động lại hoặc tắt.

Cách xem lịch sử khởi động tắt máy qua Command Prompt

Bước 1:

Bạn nhập từ khóa Command Prompt vào thanh tìm kiếm rồi chọn Run as administrator.

Bước 2:

Trong giao diện mới bạn nhập lệnh dưới đây rồi nhấn Enter.

wevtutil qe system “/q:*[System [(EventID=6006)]]” /rd:true /f:text /c:1

Kết quả bạn sẽ thấy lịch sử hoạt động tắt máy.

Bước 3:

Để xem hoạt động khởi động, bạn nhập lệnh dưới đây rồi nhấn Enter.

wevtutil qe system “/q:*[System [(EventID=6005)]]” /rd:true /f:text /c:1

Xem lịch sử khởi động tắt máy Windows bằng PowerShell

Bước 1:

Chúng ta nhập PowerShell vào thanh tìm kiếm và cũng nhấn Run as administrator để khởi chạy.

Bước 2:

Trong giao diện mới bạn nhập lệnh dưới đây và nhấn Enter.

Get-EventLog -LogName System |? {$_.EventID -in (6005,6006,6008,6009,1074,1076)} | ft TimeGenerated,EventId,Message -AutoSize -wrap

Lúc này bạn sẽ thấy thông tin chi tiết về Event ID bạn đã nhập trong lệnh. Kết quả sẽ được chia thành ba cột thời gian tạo, Event ID và Thông báo.

Sử dụng Event Viewer để trích xuất thời gian khởi động và tắt máy

Windows Event Viewer là một công cụ tuyệt vời giúp lưu lại tất cả các hoạt động đang diễn ra trên máy tính. Đối với mỗi một sự kiện diễn ra trên hệ thống, Event Viewer sẽ ghi lại một mục nhập (entry). Event Viewer được xử lý bởi dịch vụ nhật ký sự kiện (eventlog service) mà không thể dừng hoặc tắt theo cách thủ công, vì đây là dịch vụ cốt lõi của Windows. Ngoài ra, Event Viewer cũng sẽ ghi lại nhật ký lịch sử khởi động và tắt của eventlog service. Do đó, bạn có thể tận dụng dữ liệu này để biết thời điểm máy tính của mình được khởi động hoặc tắt.

Các sự kiện eventlog service được ghi lại bằng 2 mã sự kiện (Event ID). ID 6005 cho biết rằng eventlog service đã được bắt đầu, trong khi ID 6009 chỉ ra rằng các eventlog service đã bị dừng. Hãy xem toàn bộ quá trình trích xuất thông tin này từ Event Viewer.

1. Mở Event Viewer (bằng cách nhấn Win + R và nhập từ khóa eventvwr).

2. Nhìn trong ngăn bên trái, mở “Windows Logs -> System”.

3. Trong ngăn giữa, bạn sẽ thấy một danh sách các sự kiện đã xảy ra khi Windows đang chạy. Trước tiên, hãy sắp xếp nhật ký sự kiện với ID tương ứng bằng cách nhấp vào nhãn Event ID. Dữ liệu liên quan đến cột Event ID sẽ được sắp xếp lại.

4. Nếu nhật ký sự kiện của bạn quá lớn, việc sắp xếp sẽ không khả dụng. Lúc này, bạn có thể tạo một bộ lọc

ngăn tác vụ ở phía bên phải. Chỉ cần nhấp vào “Filter current log”.

5. Nhập 6005, 6006 vào trường Event ID có nhãn <All Event IDs>. Bạn cũng có thể chỉ định khoảng thời gian trong mục Logged.

• Event ID 6005 sẽ được gắn nhãn là “The event log service was started”. Điều này đồng nghĩa với việc một phiên khởi động hệ thống đã được thực hiện.
• Event ID 6006 sẽ được gắn nhãn là “The event log service was stopped”, tương ứng với một lần tắt hệ thống.

Nếu bạn muốn điều tra sâu hơn, có thể xem qua Event ID 6013, hiển thị thời gian hoạt động của máy tính, và Event ID 6009 cho biết thông tin bộ xử lý được phát hiện trong thời gian khởi động. Event ID 6008 sẽ cho bạn biết rằng hệ thống đã khởi động sau khi không được tắt đúng cách.

Sử dụng tiện ích TurnedOnTimesView

TurnedOnTimesView là một công cụ đơn giản mà bạn có thể sử dụng để kiểm tra lịch sử khởi động và tắt máy. Tiện ích này có thể được sử dụng để xem danh sách thời gian tắt và khởi động của các máy tính cục bộ hoặc bất kỳ máy tính từ xa nào được kết nối mạng.

Để sử dụng, bạn sẽ chỉ cần giải nén và thực thi tệp TurnedOnTimesView.exe. Ứng dụng sẽ lập tức liệt kê cho bạn thời gian khởi động, thời gian tắt máy, khoảng thời gian hoạt động giữa mỗi lần bật và tắt máy, cũng như lý do tắt máy.

Để xem thời gian khởi động và tắt của một máy tính từ xa, hãy điều hướng tới “Options -> Advanced Options” và chọn “Data source as Remote Computer”. Chỉ định địa chỉ IP hoặc tên của máy tính trong trường Computer Name, sau đó nhấn OK. Lập tức, sẽ có một danh sách hiển thị thông tin chi tiết của máy tính tương ứng, trong đó có dữ liệu về thời gian bật, tắt như đã nêu trên.

Mặc dù bạn luôn có thể sử dụng Event Viewer để phân tích chi tiết thời gian khởi động và tắt máy, nhưng TurnedOnTimesView lại có lợi thế ở giao diện rất đơn giản và đặc biệt dễ sử dụng. Sử dụng phương pháp nào tùy thuộc vào sở thích của bạn.