Công cụ xem lịch sử máy tính bằng CMD

Nhập thông tin để xem lịch sử hoạt động của máy tính thông qua lệnh Command Prompt

Hướng dẫn chi tiết cách xem lịch sử máy tính bằng lệnh CMD

Command Prompt (CMD) là công cụ mạnh mẽ giúp bạn truy cập lịch sử hoạt động của máy tính Windows mà không cần phần mềm bên thứ ba. Bài viết này sẽ hướng dẫn bạn cách sử dụng các lệnh CMD để xem lịch sử máy tính, bao gồm lịch sử đăng nhập, các quá trình đã chạy, kết nối mạng và các sự kiện hệ thống quan trọng.

1. Tại sao nên sử dụng CMD để xem lịch sử máy tính?

• Không cần cài đặt phần mềm: Sử dụng các lệnh tích hợp sẵn của Windows
• Truy cập thông tin chi tiết: Có thể xem các sự kiện hệ thống mà các công cụ GUI không hiển thị
• Tùy biến cao: Lọc kết quả theo thời gian, loại sự kiện hoặc người dùng cụ thể
• An toàn: Không cần quyền admin cho hầu hết các lệnh cơ bản

2. Các lệnh CMD cơ bản để xem lịch sử máy tính

2.1 Xem lịch sử đăng nhập hệ thống

Lệnh net user và wevtutil giúp bạn xem thông tin đăng nhập:

wevtutil qe Security "/q:*[System[(EventID=4624)]]" /rd:true /c:10 /f:text

Lệnh này sẽ hiển thị 10 sự kiện đăng nhập thành công gần nhất (Event ID 4624).

2.2 Xem lịch sử các quá trình đã chạy

Sử dụng lệnh wmic để xem các quá trình:

wmic process get caption,executablepath,commandline

Để xem lịch sử các quá trình đã kết thúc, bạn cần sử dụng Event Viewer hoặc các công cụ nâng cao hơn.

2.3 Xem lịch sử kết nối mạng

Lệnh netstat hiển thị các kết nối mạng hiện tại:

netstat -ano

Để xem lịch sử kết nối, bạn cần kiểm tra nhật ký sự kiện:

wevtutil qe "Microsoft-Windows-NetworkProfile/Operational" /rd:true /c:20 /f:text

3. Cách sử dụng Event Viewer qua CMD

Event Viewer chứa hầu hết lịch sử hoạt động của máy tính. Bạn có thể truy cập nó qua CMD bằng lệnh:

eventvwr.msc

Hoặc xuất nhật ký sự kiện trực tiếp qua CMD:

wevtutil qe System /rd:true /c:50 /f:text > system_events.txt

4. Lịch sử lệnh đã thực thi trong CMD

Để xem các lệnh đã chạy trong phiên CMD hiện tại:

doskey /history

Để xem lịch sử lệnh của tất cả người dùng (yêu cầu quyền admin):

type %userprofile%\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt

5. Các công cụ nâng cao khác

Công cụ	Mô tả	Lệnh ví dụ
Systeminfo	Hiển thị thông tin hệ thống chi tiết	systeminfo > system_info.txt
Driverquery	Liệt kê tất cả driver đã cài đặt	driverquery /v > drivers.txt
Tasklist	Hiển thị tất cả tiến trình đang chạy	tasklist /v > running_processes.txt
Powercfg	Xem lịch sử sử dụng năng lượng	powercfg /sleepstudy /output %USERPROFILE%\Desktop\sleepstudy.html

6. Phân tích kết quả và bảo mật

Khi xem lịch sử máy tính, bạn nên chú ý đến:

• Các đăng nhập bất thường (thời gian lạ, địa điểm không quen)
• Các quá trình lạ đang chạy hoặc đã chạy
• Kết nối mạng đến các địa chỉ IP đáng ngờ
• Các thay đổi trong registry hoặc file hệ thống

Nếu phát hiện hoạt động đáng ngờ, bạn nên:

1. Quét virus bằng Windows Defender hoặc phần mềm diệt virus
2. Kiểm tra các tài khoản người dùng không quen thuộc
3. Thay đổi mật khẩu các tài khoản quan trọng
4. Cập nhật Windows và tất cả phần mềm lên phiên bản mới nhất

7. So sánh các phương pháp xem lịch sử máy tính

Phương pháp	Ưu điểm	Nhược điểm	Mức độ chi tiết
Lệnh CMD	Nhanh, không cần cài đặt, tùy biến cao	Đòi hỏi kiến thức kỹ thuật, giao diện không thân thiện	Cao
Event Viewer	Giao diện đồ họa, dễ sử dụng, đầy đủ thông tin	Có thể quá tải thông tin, khó lọc	Rất cao
Phần mềm bên thứ ba	Giao diện thân thiện, báo cáo trực quan	Cần cài đặt, có thể tốn phí, rủi ro bảo mật	Trung bình đến cao
PowerShell	Mạnh mẽ, linh hoạt, tích hợp tốt với Windows	Đòi hỏi kiến thức lập trình, phức tạp	Rất cao

8. Các lệnh CMD nâng cao cho quản trị viên

Đối với người dùng nâng cao hoặc quản trị viên hệ thống, các lệnh sau sẽ hữu ích:

8.1 Xem lịch sử thay đổi registry

wevtutil qe "Microsoft-Windows-TaskScheduler/Operational" /rd:true /c:20 /f:text

8.2 Kiểm tra tích hợp hệ thống

sfc /scannow

DISM /Online /Cleanup-Image /RestoreHealth

8.3 Xem lịch sử cập nhật Windows

wmic qfe list brief /format:table

9. Lưu và phân tích dữ liệu lịch sử

Để phân tích sâu hơn, bạn nên:

1. Xuất dữ liệu ra file text hoặc CSV
2. Sử dụng Excel hoặc Power BI để visualize dữ liệu
3. So sánh với các mẫu hoạt động bình thường
4. Thiết lập cảnh báo cho các hoạt động bất thường

Tài liệu tham khảo chính thức

Để tìm hiểu thêm về các lệnh CMD và quản lý sự kiện Windows, bạn có thể tham khảo các nguồn thông tin uy tín sau:

• Tài liệu chính thức về lệnh CMD từ Microsoft
• Hướng dẫn bảo mật từ NIST (Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ)
• Blog bảo mật từ SANS Institute (Viện đào tạo bảo mật mạng)

10. Câu hỏi thường gặp

10.1 Làm sao để xem lịch sử máy tính từ xa?

Bạn có thể sử dụng PSExec từ Sysinternals để chạy lệnh từ xa:

psexec \\remotecomputer -u username -p password cmd

Sau đó chạy các lệnh như bình thường. Lưu ý cần quyền admin trên máy từ xa.

10.2 Có thể xem lịch sử đã xóa được không?

Lịch sử đã xóa rất khó phục hồi, nhưng bạn có thể thử:

• Sử dụng công cụ phục hồi file như Recuva
• Kiểm tra Shadow Copies (nếu bật System Restore)
• Sử dụng công cụ forensics chuyên nghiệp (đòi hỏi kiến thức sâu)

10.3 Làm sao để tự động hóa việc kiểm tra lịch sử?

Bạn có thể tạo script batch hoặc PowerShell để chạy định kỳ:

@echo off
wevtutil qe Security "/q:*[System[(EventID=4624 or EventID=4625)]]" /rd:true /c:50 /f:text > %USERPROFILE%\Desktop\login_history.txt
exit

Sau đó lên lịch chạy script này bằng Task Scheduler.

10.4 Có cách nào xem lịch sử máy tính trên Mac không?

Trên macOS, bạn có thể sử dụng:

last

Để xem lịch sử đăng nhập, hoặc:

log show --last 24h | grep "login"

Để xem các sự kiện đăng nhập trong 24 giờ qua.