Công cụ kiểm tra lịch sử truy cập máy tính Windows 10

Nhập thông tin để phân tích thời gian và hoạt động truy cập trên hệ thống của bạn

Kết quả phân tích lịch sử truy cập

Hướng dẫn toàn tập: Cách xem lịch sử truy cập máy tính Windows 10 (2024)

Việc theo dõi lịch sử truy cập trên máy tính Windows 10 không chỉ giúp bạn quản lý thời gian sử dụng hiệu quả mà còn là công cụ quan trọng trong việc bảo mật thông tin và phát hiện các hoạt động đáng ngờ. Bài viết này sẽ hướng dẫn bạn 5 phương pháp khác nhau để xem lịch sử truy cập máy tính Windows 10, từ các công cụ tích hợp sẵn đến phần mềm chuyên nghiệp.

1. Sử dụng Event Viewer – Công cụ tích hợp của Windows

Event Viewer là công cụ mạnh mẽ nhất mà Windows 10 cung cấp để theo dõi tất cả các sự kiện hệ thống, bao gồm lịch sử đăng nhập/đăng xuất và hoạt động của người dùng.

Cách thực hiện:

  1. Nhấn Win + R, gõ eventvwr.msc và nhấn Enter
  2. Trong cửa sổ Event Viewer, điều hướng đến:
    • Windows Logs → Security (để xem lịch sử đăng nhập)
    • Applications and Services Logs → Microsoft → Windows → TerminalServices-LocalSessionManager (để xem phiên Remote Desktop)
  3. Lọc các sự kiện quan trọng:
    • Event ID 4624: Đăng nhập thành công
    • Event ID 4634: Đăng xuất thành công
    • Event ID 4648: Đăng nhập bằng thông tin xác thực rõ ràng
    • Event ID 4776: Xác thực NTLM
  4. Xuất dữ liệu bằng cách click chuột phải → Save All Events As…
Nguồn tham khảo chính thức:

Microsoft Docs về Event ID 4624 (An account was successfully logged on)

2. Sử dụng lệnh PowerShell để truy xuất lịch sử

PowerShell cung cấp khả năng truy vấn sâu vào hệ thống với các lệnh chuyên biệt. Đây là phương pháp ưa thích của các quản trị viên hệ thống.

Các lệnh PowerShell hữu ích:

a) Lịch sử đăng nhập gần nhất:
Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4624} -MaxEvents 20 |
Select-Object TimeCreated, @{Name='User';Expression={$_.Properties[5].Value}},
@{Name='LogonType';Expression={$_.Properties[8].Value}},
@{Name='SourceIP';Expression={$_.Properties[19].Value}} |
Format-Table -AutoSize
b) Lịch sử truy cập tệp tin quan trọng:
Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4663} -MaxEvents 50 |
Where-Object {$_.Properties[6].Value -like '*.doc*' -or $_.Properties[6].Value -like '*.xls*'} |
Select-Object TimeCreated, @{Name='User';Expression={$_.Properties[1].Value}},
@{Name='FilePath';Expression={$_.Properties[6].Value}} |
Format-Table -AutoSize
c) Xuất toàn bộ lịch sử ra file CSV:
Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4624,4634,4648,4672} -MaxEvents 1000 |
Export-Csv -Path "C:\Temp\LoginHistory.csv" -NoTypeInformation

3. Phần mềm của bên thứ ba chuyên nghiệp

Đối với người dùng cần theo dõi chi tiết hơn, các phần mềm sau đây cung cấp giao diện trực quan và nhiều tính năng nâng cao:

Phần mềm Tính năng nổi bật Giá cả Đánh giá
ManageEngine ADAudit Plus
  • Theo dõi thời gian thực
  • Báo cáo tự động
  • Tích hợp với Active Directory
 Từ $595/năm 4.7/5 (Gartner)
SolarWinds Security Event Manager
  • Phát hiện xâm nhập
  • Tự động hóa phản hồi
  • Hơn 700 template báo cáo
 Từ $4,585 4.5/5 (Capterra)
Netwrix Auditor
  • Theo dõi thay đổi hệ thống
  • Báo cáo tuân thủ
  • Giao diện trực quan
 Yêu cầu báo giá 4.6/5 (G2)
OSForensics
  • Phân tích forensics
  • Khôi phục dữ liệu đã xóa
  • Tìm kiếm nội dung tệp
 $99 (bản Standard) 4.4/5 (TechRadar)

4. Sử dụng tính năng Timeline của Windows 10

Tính năng Timeline (được giới thiệu từ bản cập nhật April 2018 Update) cho phép bạn xem lại các hoạt động gần đây trên máy tính của mình, bao gồm:

  • Các ứng dụng đã mở
  • Các tệp tin đã truy cập
  • Các trang web đã visit (nếu sử dụng Microsoft Edge)
  • Hoạt động đồng bộ hóa giữa các thiết bị

Cách bật và sử dụng Timeline:

  1. Nhấn Win + Tab để mở Task View
  2. Cuộn xuống để xem lịch sử hoạt động theo ngày
  3. Nhấp vào mục bất kỳ để tiếp tục công việc
  4. Để cấu hình cài đặt:
    • Mở Settings → Privacy → Activity history
    • Bật “Store my activity history on this device”
    • Bật “Send my activity history to Microsoft” (tùy chọn)
Lưu ý bảo mật:

Theo nghiên cứu của NIST (Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ), việc lưu trữ lịch sử hoạt động cục bộ có thể tạo ra rủi ro bảo mật nếu thiết bị bị xâm nhập. Luôn đảm bảo:

  • Mã hóa ổ đĩa hệ thống bằng BitLocker
  • Thiết lập mật khẩu mạnh cho tài khoản người dùng
  • Thường xuyên xóa lịch sử nếu chia sẻ máy tính

5. Kiểm tra lịch sử duyệt web (nếu cần)

Nếu mục đích của bạn là theo dõi hoạt động duyệt web, bạn có thể kiểm tra lịch sử trên các trình duyệt phổ biến:

Trình duyệt Phím tắt Vị trí file lịch sử Cách xuất dữ liệu
Google Chrome Ctrl+H %LocalAppData%\Google\Chrome\User Data\Default\History Sử dụng phần mềm SQLite browser để đọc file
Microsoft Edge Ctrl+H %LocalAppData%\Microsoft\Edge\User Data\Default\History Xuất qua Settings → Privacy → Clear browsing data → “Download history”
Mozilla Firefox Ctrl+Shift+H %AppData%\Mozilla\Firefox\Profiles\xxxx.default\places.sqlite Sử dụng add-on “History Export”
Safari (nếu sử dụng trên Windows) Ctrl+H %AppData%\Apple Computer\Safari\History.plist Chuyển đổi PLIST sang CSV bằng công cụ trực tuyến

6. Các mẹo nâng cao cho quản trị viên hệ thống

a) Bật Audit Policy để ghi log chi tiết hơn

  1. Mở Local Security Policy (gõ secpol.msc trong Run)
  2. Đi đến Security Settings → Local Policies → Audit Policy
  3. Bật các chính sách sau:
    • Audit logon events (Thành công và Thất bại)
    • Audit object access (Thành công)
    • Audit process tracking (Thành công)
    • Audit system events (Thành công)
  4. Áp dụng và khởi động lại máy tính

b) Sử dụng lệnh wevtutil để quản lý log

# Xuất log Security ra file EVTX
wevtutil epl Security C:\Temp\SecurityLog.evtx

# Xóa log cũ hơn 30 ngày
wevtutil cl Security /bu:30

# Liệt kê tất cả log có sẵn
wevtutil el

c) Tạo task tự động xóa log cũ

Để tránh log chiếm dụng dung lượng ổ đĩa, bạn có thể tạo task tự động xóa log cũ:

  1. Mở Task Scheduler (gõ taskschd.msc)
  2. Tạo task mới với trigger hàng tuần
  3. Thêm action chạy lệnh: 
    wevtutil cl System /bu:7
wevtutil cl Application /bu:7
wevtutil cl Security /bu:30

7. Phân tích và visualize dữ liệu lịch sử

Sau khi thu thập được dữ liệu lịch sử, bạn có thể sử dụng các công cụ sau để phân tích và trực quan hóa:

  • Microsoft Power BI: Kết nối trực tiếp với file log để tạo dashboard tương tác
  • ELK Stack (Elasticsearch, Logstash, Kibana): Giải pháp mạnh mẽ cho phân tích log quy mô lớn
  • Splunk: Phần mềm chuyên nghiệp cho phân tích dữ liệu máy chủ
  • Excel Power Query: Nhập và xử lý dữ liệu log với các công thức nâng cao

Ví dụ về truy vấn Power Query trong Excel để phân tích log Security:

let
    // Nhập file EVTX (yêu cầu plugin "EvtxToLogAnalytic")
    Source = Evtx.ToLogAnalytic("C:\Temp\SecurityLog.evtx"),

    // Lọc các sự kiện đăng nhập
    Filtered = Table.SelectRows(Source, each [EventID] = 4624),

    // Chọn các cột cần thiết
    SelectedColumns = Table.SelectColumns(Filtered,{
        "TimeCreated", "EventID", "Computer", "AccountName",
        "LogonType", "AuthenticationPackage", "IpAddress"}),

    // Thêm cột phân loại loại đăng nhập
    AddedLogonType = Table.AddColumn(SelectedColumns, "LogonTypeDescription", each
        if [LogonType] = 2 then "Interactive (Console)"
        else if [LogonType] = 3 then "Network"
        else if [LogonType] = 4 then "Batch"
        else if [LogonType] = 5 then "Service"
        else if [LogonType] = 7 then "Unlock"
        else if [LogonType] = 10 then "Remote (RDP)"
        else "Other"),

    // Nhóm theo người dùng và đếm số lần đăng nhập
    Grouped = Table.Group(AddedLogonType, {"AccountName"}, {
        {"LoginCount", each Table.RowCount(_), type number},
        {"FirstLogin", each List.Min([TimeCreated]), type datetime},
        {"LastLogin", each List.Max([TimeCreated]), type datetime},
        {"UniqueIPs", each List.Distinct([IpAddress]), type list}
    })
in
    Grouped

8. Các câu hỏi thường gặp (FAQ)

Q1: Làm sao để xem lịch sử truy cập của người dùng khác trên máy tính?

A: Bạn cần quyền quản trị viên (Administrator) để xem lịch sử của người dùng khác. Sử dụng Event Viewer với bộ lọc cho tên người dùng cụ thể (trường “Account Name” trong sự kiện 4624).

Q2: Có thể xem lịch sử truy cập từ xa không?

A: Có, bạn có thể:

  • Sử dụng Remote Desktop để kết nối đến máy tính từ xa
  • Cấu hình Windows Event Forwarding để thu thập log từ nhiều máy
  • Sử dụng phần mềm quản lý từ xa như SolarWinds hoặc PRTG

Q3: Làm sao để xóa dấu vết truy cập của mình?

A: Lưu ý: Việc xóa log có thể vi phạm chính sách công ty hoặc pháp luật tại một số quốc gia. Các phương pháp bao gồm:

  • Sử dụng lệnh: wevtutil cl Security (xóa toàn bộ log Security)
  • Sử dụng công cụ như CCleaner (chức năng “Wipe Free Space”)
  • Đối với trình duyệt: Ctrl+Shift+Del → Chọn “All time”

Q4: Có thể phục hồi lịch sử đã xóa không?

A: Trong hầu hết trường hợp, khi log đã bị xóa khỏi Event Viewer thì không thể phục hồi bằng phương pháp thông thường. Tuy nhiên:

  • Nếu ổ đĩa chưa được ghi đè nhiều, có thể sử dụng phần mềm phục hồi dữ liệu như Recuva hoặc EaseUS
  • Đối với các tổ chức, nên cấu hình hệ thống sao lưu log tự động đến server trung tâm
  • Các công cụ forensics chuyên nghiệp như Autopsy hoặc FTK có thể tìm thấy dấu vết còn sót lại

Q5: Làm sao để theo dõi hoạt động của trẻ em trên máy tính?

A: Windows 10 cung cấp tính năng Family Safety tích hợp:

  1. Mở Settings → Accounts → Family & other users
  2. Thêm tài khoản trẻ em qua “Add a family member”
  3. Cấu hình giới hạn thời gian và nội dung tại https://account.microsoft.com/family
  4. Sử dụng phần mềm của bên thứ ba như Qustodio hoặc Net Nanny cho kiểm soát chi tiết hơn

9. Các sai lầm thường gặp và cách khắc phục

Sai lầm Hậu quả Cách khắc phục
Không bật Audit Policy Thiếu dữ liệu quan trọng trong log Bật tất cả chính sách audit cần thiết như hướng dẫn ở phần 6
Xóa log quá thường xuyên Mất dữ liệu lịch sử khi cần điều tra Cấu hình giữ log ít nhất 30-90 ngày, tùy nhu cầu
Không sao lưu log Mất dữ liệu khi ổ đĩa hỏng Sử dụng Windows Event Forwarding hoặc công cụ sao lưu tự động
Phân tích log thủ công Tốn thời gian và dễ bỏ sót thông tin Sử dụng công cụ như Log Parser Studio hoặc Power BI
Bỏ qua log Application Bỏ lỡ các sự kiện quan trọng từ ứng dụng Kiểm tra cả Security và Application log

10. Kết luận và khuyến nghị

Việc theo dõi lịch sử truy cập máy tính Windows 10 là kỹ năng quan trọng cho cả người dùng cá nhân lẫn quản trị viên hệ thống. Dưới đây là các khuyến nghị cuối cùng:

  • Đối với người dùng cá nhân:
    • Sử dụng Timeline cho theo dõi hoạt động cơ bản
    • Thường xuyên kiểm tra Event Viewer nếu nghi ngờ có hoạt động đáng ngờ
    • Cài đặt phần mềm bảo mật như Windows Defender ATP
  • Đối với quản trị viên:
    • Triển khai giải pháp SIEM (Security Information and Event Management)
    • Cấu hình cảnh báo tự động cho các sự kiện bất thường
    • Đào tạo nhân viên về nhận thức bảo mật
  • Đối với phụ huynh:
    • Sử dụng tính năng Family Safety của Microsoft
    • Thiết lập tài khoản riêng cho trẻ em với quyền hạn giới hạn
    • Thường xuyên trao đổi với trẻ về an toàn trực tuyến

Cuối cùng, hãy nhớ rằng việc theo dõi lịch sử truy cập nên được thực hiện một cách có đạo đức và tuân thủ các quy định về quyền riêng tư. Luôn thông báo cho người dùng khác nếu bạn định giám sát hoạt động của họ trên máy tính chung.

Nguồn tham khảo bổ sung:

Hướng dẫn quản lý rủi ro của NIST – Cung cấp khung làm việc chi tiết về giám sát và ghi log hệ thống.

SANS Institute – Các khóa học và tài liệu chuyên sâu về phân tích log và forensics.

Leave a Reply

Your email address will not be published. Required fields are marked *