มีบางครั้งที่ผู้ใช้ต้องการทราบประวัติการเริ่มต้นและปิดเครื่องคอมพิวเตอร์ ส่วนใหญ่ ผู้ดูแลระบบจำเป็นต้องทราบเกี่ยวกับประวัติเพื่อวัตถุประสงค์ในการแก้ไขปัญหา หากมีผู้ใช้คอมพิวเตอร์หลายคน อาจเป็นมาตรการรักษาความปลอดภัยที่ดีในการตรวจสอบเวลาเริ่มต้นและปิดเครื่อง PC เพื่อให้แน่ใจว่ามีการใช้พีซีอย่างถูกกฎหมาย ในบทความนี้ เราจะพูดถึงสองวิธีในการติดตามการปิดระบบพีซีและเวลาเริ่มต้นระบบ
การใช้บันทึกเหตุการณ์เพื่อแยกเวลาเริ่มต้นและปิดเครื่อง
Windows Event Viewer เป็นเครื่องมือที่ยอดเยี่ยมที่จะบันทึกสิ่งต่าง ๆ ที่เกิดขึ้นในคอมพิวเตอร์ ในแต่ละเหตุการณ์ ผู้ดูเหตุการณ์จะบันทึกรายการ ตัวแสดงเหตุการณ์ได้รับการจัดการโดยบริการบันทึกเหตุการณ์ที่ไม่สามารถหยุดหรือปิดใช้งานได้ด้วยตนเอง เนื่องจากเป็นบริการหลักของ Windows ตัวแสดงเหตุการณ์ยังบันทึกประวัติการเริ่มต้นและปิดของบริการบันทึกเหตุการณ์ คุณสามารถใช้เวลาเหล่านั้นเพื่อให้ทราบว่าคอมพิวเตอร์ของคุณเริ่มต้นหรือปิดเครื่องเมื่อใด
เหตุการณ์บริการบันทึกเหตุการณ์ถูกบันทึกด้วยรหัสเหตุการณ์สองรหัส ID เหตุการณ์ 6005 บ่งชี้ว่าบริการบันทึกเหตุการณ์เริ่มทำงาน และ ID เหตุการณ์ 6009 บ่งชี้ว่าบริการบันทึกเหตุการณ์หยุดทำงาน มาดูขั้นตอนทั้งหมดในการดึงข้อมูลนี้ออกจากโปรแกรมดูเหตุการณ์
1. เปิดตัวแสดงเหตุการณ์ (กด ชนะ + R แล้วพิมพ์ eventvwr )
2. ในบานหน้าต่างด้านซ้าย เปิด “Windows Logs -> System”
3. ในบานหน้าต่างตรงกลาง คุณจะเห็นรายการเหตุการณ์ที่เกิดขึ้นในขณะที่ Windows กำลังทำงาน ความกังวลของเราคือเห็นเพียงสามเหตุการณ์เท่านั้น อันดับแรก ให้เรียงลำดับบันทึกเหตุการณ์ด้วยรหัสเหตุการณ์ คลิกป้ายกำกับรหัสเหตุการณ์เพื่อจัดเรียงข้อมูลตามคอลัมน์รหัสเหตุการณ์
4. หากบันทึกเหตุการณ์ของคุณมีขนาดใหญ่ การเรียงลำดับจะไม่ทำงาน คุณยังสามารถสร้างตัวกรองได้จากบานหน้าต่างการดำเนินการทางด้านขวา เพียงคลิกที่ “กรองบันทึกปัจจุบัน”
5. พิมพ์ 6005, 6006 ในช่อง Event IDs ที่มีป้ายกำกับว่า
- รหัสเหตุการณ์ 6005 จะถูกระบุว่า "บริการบันทึกเหตุการณ์เริ่มต้นแล้ว" ซึ่งมีความหมายเหมือนกันกับการเริ่มต้นระบบ
- รหัสเหตุการณ์ 6006 จะถูกระบุว่า "บริการบันทึกเหตุการณ์ถูกหยุด" นี่หมายถึงการปิดระบบ
หากคุณต้องการตรวจสอบบันทึกเหตุการณ์เพิ่มเติม คุณสามารถไปที่ Event ID 6013 ซึ่งจะแสดงเวลาทำงานของคอมพิวเตอร์ และ ID เหตุการณ์ 6009 จะระบุข้อมูลโปรเซสเซอร์ที่ตรวจพบระหว่างเวลาบูต รหัสเหตุการณ์ 6008 จะแจ้งให้คุณทราบว่าระบบเริ่มทำงานหลังจากที่ไม่ได้ปิดอย่างถูกต้อง
คุณยังสามารถตั้งค่ามุมมอง Event Viewer แบบกำหนดเองเพื่อดูข้อมูลนี้ในอนาคต ซึ่งช่วยประหยัดเวลา และคุณสามารถตั้งค่ามุมมองที่กำหนดเองสำหรับเหตุการณ์เฉพาะที่คุณต้องการดูได้ คุณตั้งค่ามุมมอง Event Viewer ได้หลายแบบตามความต้องการ ไม่ใช่แค่ประวัติการเริ่มต้นและการปิดระบบ
การใช้ TurnedOnTimesView
TurnedOnTimesView เป็นเครื่องมือพกพาที่ใช้งานง่ายสำหรับวิเคราะห์บันทึกเหตุการณ์สำหรับประวัติการเริ่มต้นและการปิดระบบ ยูทิลิตี้นี้สามารถใช้เพื่อดูรายการเวลาปิดเครื่องและเริ่มต้นระบบของคอมพิวเตอร์ในพื้นที่หรือคอมพิวเตอร์ระยะไกลที่เชื่อมต่อกับเครือข่าย เนื่องจากเป็นเครื่องมือแบบพกพา คุณจะต้องเปิดเครื่องรูดและเรียกใช้ไฟล์ TurnedOnTimesView.exe โดยจะแสดงรายการเวลาเริ่มต้น เวลาปิดเครื่อง ระยะเวลาการทำงานระหว่างการเริ่มทำงานและการปิดระบบแต่ละครั้ง สาเหตุของการปิดระบบ และรหัสการปิดระบบทันที
สาเหตุการปิดระบบมักจะเกี่ยวข้องกับเครื่อง Windows Server ซึ่งเราต้องให้เหตุผลหากเรากำลังปิดเซิร์ฟเวอร์
หากต้องการดูเวลาเริ่มต้นและปิดเครื่องคอมพิวเตอร์ระยะไกล ให้ไปที่ "ตัวเลือก -> ตัวเลือกขั้นสูง" และเลือก "แหล่งข้อมูลเป็นคอมพิวเตอร์ระยะไกล" ระบุที่อยู่ IP หรือชื่อคอมพิวเตอร์ในช่อง Computer Name และกดปุ่ม OK ตอนนี้รายการจะแสดงรายละเอียดของคอมพิวเตอร์ระยะไกล
แม้ว่าคุณจะสามารถใช้ตัวแสดงเหตุการณ์เพื่อวิเคราะห์รายละเอียดของเวลาเริ่มต้นและปิดระบบได้เสมอ แต่ TurnedOnTimesView ก็ให้บริการตามวัตถุประสงค์ด้วยอินเทอร์เฟซที่เรียบง่ายและข้อมูลตรงประเด็น คุณตรวจสอบเวลาเริ่มต้นและปิดเครื่องคอมพิวเตอร์เพื่อจุดประสงค์ใด วิธีใดที่คุณต้องการติดตาม
สงสัยว่ามีคนอื่นกำลังเข้าสู่ระบบคอมพิวเตอร์ของคุณ? ดูวิธีค้นหาว่าใครกำลังใช้คอมพิวเตอร์ของคุณเมื่อคุณไม่อยู่ วิธีการข้างต้นยังช่วยให้คุณทราบว่าอาจมีคนใช้พีซีของคุณโดยไม่ได้รับอนุญาต
