2 วิธีตรวจสอบประวัติการใช้งานคอมพิวเตอร์ เช็คเวลาเปิด-ปิด คอมพิวเตอร์ ย้อนหลัง

วิธีตรวจสอบประวัติเวลาที่คอมพิวเตอร์ถูกเปิด หรือปิด

เคยบ้างไหม ? ที่เกิดความสงสัยอยากจะรู้ว่า คอมพิวเตอร์ตั้งโต๊ะ (Desktop Computer) หรือ คอมพิวเตอร์โน้ตบุ๊ก (Notebook Computer) ของคุณถูกเปิด หรือปิดล่าสุดตอนไหน ? โดยประโยชน์ของมันนั้น ก็อาจจะเพื่อตรวจสอบว่ามีคนแอบมาเปิดใช้งานคอมพิวเตอร์ของเรา ในระหว่างที่เราไม่อยู่บ้างหรือเปล่า ? หรือดูว่าลูกมีการใช้งานคอมพิวเตอร์เป็นระยะเวลานานเกินกว่าที่กำหนดหรือไม่ ? ไม่ว่าจะด้วยเหตุผลอะไรก็ตาม หากอยากรู้ล่ะก็ ? เรามีวิธีการตรวจสอบมาแนะนำ ทำได้เลย โดยไม่ต้องลง โปรแกรมบุคคลที่สาม (3rd-Party Software) ช่วย

1. ใช้เครื่องมือ Windows Event Viewer

Windows Event Viewer เป็นเครื่องมือระดับดูแลระบบ (Administrative-Level Tool) ที่ใช้ในการตรวจสอบ ไฟล์ล็อก (Log File) ของเหตุการณ์ต่าง ๆ ที่เกิดขึ้นกับระบบคอมพิวเตอร์ได้ ไม่ว่าจะเป็นข้อความแจ้งเตือนข้อผิดพลาด (Error Message), เหตุการณ์ (Event), คำเตือน (Warning) รวมไปถึงข้อมูลอื่น ๆ ที่เกิดขึ้นในระหว่างการทำงานของตัวระบบปฏิบัติการ

ทุกครั้งที่เราเปิดโปรแกรม ทุกครั้งที่เราปิดโปรแกรม ก็นับเป็นเหตุการณ์ที่ถูกบันทึกลงใน Logs ด้วยเช่นกัน สำหรับการดูข้อมูลการเปิด และปิดของเครื่องคอมพิวเตอร์ จะมีข้อมูลอยู่ 5 อย่างที่มีความเกี่ยวข้องดังนี้

• Event ID 41 : เหตุการณ์นี้เกิดขึ้นเมื่อมีการรีบูต โดยที่คอมพิวเตอร์ยังไม่ได้ถูกปิด (Shutdown) โดยสมบูรณ์
• Event ID 1074 : เหตุการณ์นี้เกิดขึ้นได้จาก 2 สาเหตุ คือ ได้รับคำสั่งปิดเครื่องจาก "เมนู Start" หรือมีแอปพลิเคชันใด ๆ ก็ตามที่สั่งให้คอมพิวเตอร์รีสตาร์ท หรือปิดเครื่อง
• Event ID 6005 : เป็นตัวชี้วัดว่าคอมพิวเตอร์ถูกเปิด โดยเหตุการณ์นี้จะถูกสร้างขึ้นเมื่อ "Event log Service" เริ่มต้นทำงาน
• Event ID 6006 : เหตุการณ์นี้เกิดขึ้นเมื่อคอมพิวเตอร์ถูกปิด (Shutdown) ตามขั้นตอนอย่างถูกต้อง
• Event ID 6008 : เหตุการณ์นี้เกิดขึ้นเมื่อคอมพิวเตอร์ถูกปิดแบบกะทันหันโดยที่ไม่ได้คาดฝัน เช่นแมวกด "ปุ่ม Power", มีข้อผิดพลาดที่ทำให้ระบบปิดตัวทันที ฯลฯ

ทีนี้ เราก็รู้แล้วว่าอีเวนท์ (Event) ไหนเป็นค่าที่บ่งบอกถึงสถานะการเปิด และปิดเครื่องคอมพิวเตอร์ที่เกิดขึ้นแล้ว ต่อมาเรามาดูวิธีการใช้เครื่องมือ Windows Event Viewer เพื่อตรวจสอบประวัติการทำงานของคอมพิวเตอร์กัน

1. กด "ปุ่ม Windows + R" เพื่อเปิด "หน้าต่าง Run" ขึ้นมา
2. พิมพ์ลงไปว่า "eventvwr" แล้วกด "ปุ่ม Enter" เพื่อเรียกใช้งาน "เครื่องมือ Evert Viewer"
3. ในพาเนลด้านซ้ายคลิกที่ "เมนู Windows Logs" เพื่อขยายเมนูที่ถูกซ่อนไว้ขึ้นมา แล้วคลิกที่ "เมนู System"
4. คลิกที่ "เมนู Filter Current Log"

5. และ "หน้าต่าง Filter Current Log" จะปรากฏขึ้นมา หากต้องการตรวจสอบว่า คอมพิวเตอร์ถูกเปิด หรือถูกปิดตอนไหน รหัสเหตุการณ์ที่เราต้องค้นสนหาก็คือ "6005" และ "6006"
6. ตรง "ช่อง ให้เราพิมพ์ลงไปว่า "6005,6006" แล้วคลิก "ปุ่ม OK"

7. ระบบจะแสดงเฉพาะเหตุการณ์ที่เป็นรหัส 6005 และ 6006 ขึ้นมา เราก็พิจารณาว่า Log นั้น ได้ถูกสร้างขึ้นวันไหน เวลาใด ก็จะเป็นเวลาที่คอมพิวเตอร์ถูกเปิด และถูกปิดนั่นเอง

2. ใช้ Command Line

หากรู้สึกว่าการใช้เครื่องมือ Windows Event Viewer มันยุ่งยากเกินไป ถนัดการใช้งานแบบ Command Line มากกว่า เราก็มีวิธีมาฝากเช่นกัน ซึ่งหากคุณสามารถจดจำคำสั่งได้ ก็ถือว่าเป็นวิธีที่ประหยัดเวลากว่ามาก

คำสั่งที่เราจะใช้ อันที่จริงก็เป็นการเรียกอ่านข้อมูลของ Event ID เหมือนกับใน Event Viewer นี่แหละ สามารถทำได้โดยขั้นตอนดังต่อไปนี้

1. คลิกขวาที่ "ปุ่ม Start" แล้วเลือก "เมนู Windows Terminal (Admin)"
2. พิมพ์คำสั่งด้านล่างลงไป แล้วกด "ปุ่ม Enter" (ใช้รหัส 6005 หากต้องการดูเวลาเปิด และ 6006 หากต้องการดูเวลาปิด)
   "wevtutil qe system "/q:*[System [(EventID=6006)]]" /rd:true /f:text /c:1"
3. สังเกตข้อมูลตรง "Date:" (วัน) เพื่อดูวัน และเวลาล่าสุดที่คอมพิวเตอร์ถูกปิด

เป็นอย่างไรกันบ้าง ? ง่ายใช่ไหมล่ะหากเกิดสงสัยว่ามีใครมาแอบเปิดคอมพิวเตอร์ของเราใช้หรือเปล่า ? ก็ลองทำตามขั้นตอนในบทความนี้ดูนะ