Cách Kiểm Tra Máy Tính Đã Từng Kết Nối Internet

Nhập thông tin hệ thống của bạn để kiểm tra xem máy tính đã từng kết nối Internet hay chưa và phân tích chi tiết hoạt động mạng

Hướng dẫn chi tiết cách kiểm tra máy tính đã từng kết nối Internet

Việc kiểm tra lịch sử kết nối Internet của máy tính có thể hữu ích trong nhiều tình huống như: xác minh máy mới/tái chế, điều tra sự cố mạng, hoặc kiểm tra hoạt động của thiết bị. Dưới đây là hướng dẫn toàn diện cho từng hệ điều hành phổ biến.

1. Kiểm tra trên Windows (10/11)

Phương pháp 1: Sử dụng Event Viewer (Nhật ký sự kiện)

1. Mở Event Viewer: Nhấn Win + R, gõ eventvwr.msc và nhấn Enter.
2. Điều hướng đến nhật ký mạng:
   • Mở rộng “Windows Logs” → chọn “System”
   • Nhấp chuột phải → “Filter Current Log”
3. Lọc sự kiện kết nối:
   • Trong trường “Event sources”, chọn:
     • Microsoft-Windows-NetworkProfile (cho thông tin mạng)
     • Microsoft-Windows-Dhcp-Client (cho DHCP)
   • Event ID quan trọng:
     • 10000 – Kết nối mạng mới
     • 20001 – Thay đổi trạng thái kết nối
4. Phân tích kết quả:
   • Sắp xếp theo cột “Date and Time” để xem chronologically
   • Chú ý các sự kiện với “Network connected” hoặc “IP address leased”

Nguồn tham khảo chính thức:

Microsoft Docs: Event Logging Microsoft: Troubleshoot Network Connectivity

Phương pháp 2: Sử dụng Command Prompt

Mở CMD với quyền admin và chạy các lệnh sau:

Lệnh 1: Kiểm tra lịch sử DHCP

ipconfig /all
netsh dhcpclient show interface

Giải thích:

• ipconfig /all – Hiển thị tất cả cấu hình mạng hiện tại
• Lease Obtained – Thời điểm nhận địa chỉ IP (chứng tỏ đã kết nối)
• netsh dhcpclient show interface – Hiển thị thông tin DHCP chi tiết

Lệnh 2: Kiểm tra lịch sử kết nối Wi-Fi

netsh wlan show profiles
netsh wlan show profile name="[Tên_WiFi]" key=clear

Lưu ý:

• Thay [Tên_WiFi] bằng tên mạng cụ thể
• “Date first connected” và “Date last connected” cho biết thời gian kết nối
• Nếu không có profile nào → máy chưa từng kết nối Wi-Fi

Lệnh 3: Kiểm tra Registry (nâng cao)

reg query "HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces" /s | findstr DhcpIPAddress

Cảnh báo: Thao tác với Registry có thể gây hại hệ thống nếu sai sót. Luôn backup trước khi thay đổi.

Phương pháp 3: Sử dụng PowerShell

Get-WmiObject Win32_NetworkAdapterConfiguration | Where {$_.IPAddress -ne $null} | Select-Object Description, IPAddress, DNSServerSearchOrder, DefaultIPGateway

Get-WinEvent -LogName System -ProviderName Microsoft-Windows-NetworkProfile | Where {$_.Id -eq 10000} | Select TimeCreated, Message

2. Kiểm tra trên macOS

Phương pháp 1: Sử dụng Terminal

# Lịch sử kết nối Wi-Fi
defaults read /Library/Preferences/SystemConfiguration/com.apple.airport.preferences | grep LastConnected

# Thông tin mạng hiện tại
networksetup -listallhardwareports

# Lịch sử DHCP (yêu cầu quyền admin)
sudo grep "DHCP" /var/log/system.log

# Thống kê sử dụng mạng
netstat -an | grep ESTABLISHED

Phương pháp 2: Kiểm tra Console App

1. Mở Console (Applications → Utilities)
2. Chọn system.log từ thanh bên trái
3. Tìm kiếm các từ khóa:
   • WiFi
   • DHCP
   • airport
   • en0 (interface mạng chính)

Phương pháp 3: Kiểm tra plist files

# Xem thông tin mạng đã lưu
defaults read /Library/Preferences/SystemConfiguration/NetworkInterfaces.plist

# Xem lịch sử kết nối (yêu cầu quyền admin)
sudo cat /private/var/log/wifi.log | grep "associated"

3. Kiểm tra trên Linux

Phương pháp 1: Kiểm tra nhật ký hệ thống

# Đối với systemd (Ubuntu, Debian, Fedora)
journalctl -u NetworkManager --no-pager | grep "connected"

# Đối với syslog
grep -i "dhclient" /var/log/syslog

# Kiểm tra interface mạng
ip a
ifconfig -a

Phương pháp 2: Kiểm tra file cấu hình

# Kiểm tra file DHCP lease
cat /var/lib/dhcp/dhclient.leases

# Kiểm tra file resolv.conf
cat /etc/resolv.conf

# Kiểm tra lịch sử kết nối Wi-Fi (nếu có)
cat /etc/NetworkManager/system-connections/*

Phương pháp 3: Sử dụng lệnh nmcli (Network Manager)

# Liệt kê tất cả kết nối đã lưu
nmcli connection show

# Xem chi tiết kết nối cụ thể
nmcli connection show [tên_kết_nối]

# Xem nhật ký NetworkManager
journalctl -u NetworkManager -b

4. Phân tích kết quả và những điều cần lưu ý

Bảng so sánh phương pháp kiểm tra

Phương pháp	Windows	macOS	Linux	Độ chính xác	Độ khó
Nhật ký hệ thống	Event Viewer	Console.app	journalctl	90%	Trung bình
Lệnh mạng	ipconfig, netsh	networksetup	ip, ifconfig	75%	Dễ
Registry/Cấu hình	reg query	defaults read	cat /etc/*	85%	Khó
Phần mềm bên thứ 3	Wireshark, GlassWire	Little Snitch	tcpdump, ntop	95%	Nâng cao

Những trường hợp đặc biệt cần lưu ý

• Máy tính mới nguyên seal:
  • Nếu chưa từng kết nối, các lệnh trên sẽ không trả về kết quả
  • Event Viewer sẽ không có sự kiện mạng nào
  • File DHCP lease sẽ trống hoặc không tồn tại
• Máy tính đã reset hệ điều hành:
  • Tất cả lịch sử sẽ bị xóa nếu cài đặt lại Windows/macOS/Linux
  • Chỉ có thể kiểm tra từ thời điểm cài đặt mới
• Máy tính sử dụng kết nối ẩn danh:
  • VPN hoặc Tor có thể che giấu lịch sử kết nối thực sự
  • Cần kiểm tra cả nhật ký VPN nếu có cài đặt
• Máy tính trong mạng doanh nghiệp:
  • Có thể bị quản trị viên xóa nhật ký định kỳ
  • Cần quyền admin để truy cập đầy đủ thông tin

Thống kê về việc xóa lịch sử kết nối

Hành động	Windows	macOS	Linux	Tác động đến kiểm tra
Reset hệ điều hành	Xóa hoàn toàn	Xóa hoàn toàn	Xóa hoàn toàn	Không thể phục hồi
Xóa Event Logs	Mất 100% lịch sử	Mất ~80% lịch sử	Mất ~90% lịch sử	Khó phục hồi
Clear DHCP lease	Mất thông tin IP cũ	Mất thông tin IP cũ	Mất thông tin IP cũ	Vẫn giữ được thời gian kết nối
Đổi tên máy	Không ảnh hưởng	Không ảnh hưởng	Không ảnh hưởng	Vẫn giữ nguyên lịch sử
Thay đổi phần cứng mạng	Bắt đầu lịch sử mới	Bắt đầu lịch sử mới	Bắt đầu lịch sử mới	Mất lịch sử card cũ

5. Công cụ bên thứ ba hỗ trợ

Đối với Windows:

• GlassWire:
  • Ghi lại toàn bộ hoạt động mạng theo thời gian thực
  • Hiển thị biểu đồ sử dụng dữ liệu chi tiết
  • Cảnh báo khi có kết nối mới
• Wireshark:
  • Phân tích gói tin mạng chi tiết
  • Có thể lọc để tìm các gói DHCP/HTTP đầu tiên
  • Yêu cầu kiến thức mạng nâng cao
• NetBalancer:
  • Theo dõi lưu lượng mạng theo ứng dụng
  • Lưu trữ lịch sử sử dụng dài hạn

Đối với macOS:

• Little Snitch:
  • Giám sát tất cả kết nối mạng ra/vào
  • Lưu trữ lịch sử kết nối dài hạn
  • Cho phép chặn/kiểm soát từng kết nối
• TripMode:
  • Theo dõi sử dụng dữ liệu theo ứng dụng
  • Hiển thị thời gian kết nối đầu tiên của mỗi app

Đối với Linux:

• ntopng:
  • Phân tích lưu lượng mạng thời gian thực
  • Lưu trữ dữ liệu lịch sử dài hạn
  • Giao diện web quản trị
• tcpdump:
  • Chụp và phân tích gói tin mạng
  • Có thể lưu trữ để phân tích sau
  • Yêu cầu kiến thức về lệnh
• vnStat:
  • Theo dõi lưu lượng mạng theo thời gian
  • Hiển thị thống kê hàng ngày/tháng
  • Hoạt động như một service nền

6. Câu hỏi thường gặp

Câu 1: Làm sao để biết chính xác máy tính chưa từng kết nối Internet?

Trả lời:

• Kiểm tra Event Viewer (Windows) hoặc Console.app (macOS) không có bất kỳ sự kiện mạng nào
• Các lệnh ipconfig /all hoặc ifconfig không trả về địa chỉ IP hợp lệ
• Không có bất kỳ profile Wi-Fi nào được lưu (netsh wlan show profiles trả về trống)
• File /var/lib/dhcp/dhclient.leases (Linux) hoặc /Library/Preferences/SystemConfiguration/NetworkInterfaces.plist (macOS) trống

Câu 2: Có thể phục hồi lịch sử kết nối đã bị xóa không?

Trả lời:

• Trên Windows:
  • Sử dụng công cụ phục hồi file như Recuva hoặc TestDisk để tìm file .evtx (Event Log) đã xóa
  • Phục hồi từ Shadow Copy nếu bật System Restore
• Trên macOS:
  • Kiểm tra Time Machine backup nếu có
  • Sử dụng log show --predicate 'eventMessage contains "WiFi"' --last 30d để xem log cũ hơn
• Trên Linux:
  • Kiểm tra /var/log/ cũ hơn nếu chưa bị rotate
  • Sử dụng extundelete nếu phân vùng chưa bị ghi đè nhiều
• Lưu ý: Khả năng phục hồi thành công phụ thuộc vào thời gian xóa và hoạt động ghi đĩa sau đó

Câu 3: Làm sao để kiểm tra máy tính đã kết nối với những mạng nào?

Trả lời:

• Windows:
  • Sử dụng netsh wlan show profiles để liệt kê tất cả mạng Wi-Fi đã kết nối
  • Xem chi tiết từng mạng với netsh wlan show profile name="[tên]" key=clear
  • Kiểm tra HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles trong Registry
• macOS:
  • Mở Keychain Access → tìm kiếm “airport”
  • Sử dụng lệnh security find-generic-password -ga "Wi-Fi" | grep "acct"
  • Kiểm tra /Library/Preferences/SystemConfiguration/com.apple.airport.preferences.plist
• Linux:
  • Kiểm tra /etc/NetworkManager/system-connections/
  • Sử dụng nmcli connection show
  • Xem file /var/log/wpa_supplicant.log nếu có

Câu 4: Có thể kiểm tra lịch sử kết nối của máy tính từ xa không?

Trả lời:

• Có thể nếu:
  • Máy tính đang bật và kết nối mạng
  • Bạn có quyền admin/truy cập từ xa
  • Dịch vụ Remote Registry (Windows) hoặc SSH (Linux/macOS) được bật
• Cách thực hiện:
  • Windows: Sử dụng reg.exe hoặc wevtutil qua Remote PowerShell
  • macOS/Linux: SSH vào máy và chạy các lệnh kiểm tra như trên
• Cảnh báo bảo mật:
  • Luôn sử dụng kết nối được mã hóa (SSH, VPN)
  • Không lưu mật khẩu trong script tự động
  • Tuân thủ chính sách truy cập từ xa của tổ chức

Câu 5: Làm sao để xóa hoàn toàn lịch sử kết nối Internet?

Trả lời:

• Windows:
  1. Xóa Event Logs:

     wevtutil cl System
     wevtutil cl Application
     wevtutil cl Security

  2. Reset Network Settings:

     netsh winsock reset
     netsh int ip reset
     ipconfig /flushdns

  3. Xóa Wi-Fi profiles:

     netsh wlan delete profile name=* i=*

  4. Xóa Registry keys liên quan đến mạng
• macOS:
  1. Xóa file cấu hình mạng:

     sudo rm /Library/Preferences/SystemConfiguration/NetworkInterfaces.plist
     sudo rm /Library/Preferences/SystemConfiguration/com.apple.airport.preferences.plist

  2. Xóa log hệ thống:

     sudo rm /private/var/log/*.log
     sudo rm /private/var/log/asl/*.asl

  3. Reset Network Settings qua System Preferences
• Linux:
  1. Xóa file cấu hình:

     sudo rm /etc/NetworkManager/system-connections/*
     sudo rm /var/lib/NetworkManager/*

  2. Xóa log hệ thống:

     sudo truncate -s 0 /var/log/syslog
     sudo truncate -s 0 /var/log/kern.log

  3. Reset service mạng:

     sudo systemctl restart NetworkManager

• Lưu ý:
  • Các thao tác trên yêu cầu quyền root/admin
  • Có thể gây mất kết nối mạng tạm thời
  • Không xóa hoàn toàn nếu có backup hoặc snapshot hệ thống

Nguồn tham khảo uy tín:

NIST: Guide to Computer Security Log Management (.gov) NIST: Asset Management for Network Devices (.gov) CISA: Understanding Firewalls (.gov)

7. Kết luận và khuyến nghị

Việc kiểm tra lịch sử kết nối Internet của máy tính đòi hỏi sự hiểu biết về hệ điều hành và hệ thống mạng. Dưới đây là những khuyến nghị quan trọng:

• Đối với người dùng phổ thông:
  • Sử dụng phương pháp đơn giản như kiểm tra Wi-Fi profiles hoặc lệnh ipconfig
  • Tránh can thiệp vào Registry hoặc file hệ thống nếu không cần thiết
  • Sử dụng phần mềm bên thứ ba có giao diện thân thiện như GlassWire hoặc Little Snitch
• Đối với quản trị viên hệ thống:
  • Thiết lập logging chi tiết cho tất cả hoạt động mạng
  • Sử dụng công cụ giám sát mạng chuyên nghiệp như Wireshark hoặc ntopng
  • Xây dựng script tự động thu thập và lưu trữ log mạng định kỳ
• Đối với mục đích pháp lý:
  • Thu thập và lưu trữ log gốc (không chỉnh sửa)
  • Sử dụng công cụ forensics chuyên dụng như FTK hoặc EnCase
  • Tuân thủ quy trình thu thập chứng cứ điện tử (chain of custody)
• Bảo mật và quyền riêng tư:
  • Luôn xin phép trước khi kiểm tra thiết bị của người khác
  • Không lưu trữ hoặc chia sẻ thông tin mạng nhạy cảm
  • Xóa dữ liệu kiểm tra sau khi hoàn thành nếu không cần thiết

Kiểm tra lịch sử kết nối Internet có thể cung cấp nhiều thông tin hữu ích, từ việc xác minh tình trạng máy tính đến điều tra sự cố mạng. Tuy nhiên, hãy luôn thực hiện các thao tác này một cách cẩn thận và có trách nhiệm, đặc biệt khi làm việc với thiết bị không phải của bạn.

Nếu bạn cần kiểm tra chuyên sâu hơn hoặc đối với mục đích pháp lý, nên nhờ đến sự trợ giúp của chuyên gia CNTT hoặc công ty chuyên về phân tích forensics máy tính.