Bài viết này là những gì thực hành tốt nhất để làm việc với các bản ghi sự kiện của Windows, gồm có cách thông dịch các thông báo sự kiện, cách cấu hình các bản ghi sự kiện, cách tìm kiếm - lọc các sự kiện, cách xem các sự kiện trên hệ thống từ xa, cách sử dụng EventCombMT.exe và các công cụ khác để kiểm tra sự kiện trên đa hệ thống.
Các bản ghi sự kiện trong hệ thống Windows rất hữu dụng cho việc khắc phục sự cố khi có vấn đề nào đó hoặc kiểm tra hiệu suất lẫn hành vi. Một bản ghi sự kiện là một file có chứa các sự kiện, các sự kiện được ghi lại để thông báo cho người dùng một số sự cố có liên quan đến hệ điều hành hoặc các ứng dụng đang chạy trên hệ thống. Một sự kiện gồm có các thông tin về kiểu sự cố và ngày, giờ khi nó xuất hiện, máy tính nơi nó xảy ra và người dùng đã đăng nhập vào thời gian đó, ngoài ra còn có các thông tin khác như event ID, hạng mục sự kiện và nguồn của sự kiện. Các sự kiện cũng có cả các thông tin chi tiết hơn có liên quan đến sự kiện và có thể một liên kết đến nơi chứa nhiều thông tin hơn. Hình 1 dưới đây mô phỏng ví dụ về một sự kiện từ bản ghi sự kiện của máy chủ DNS trên Windows Server 2003 domain controller:
Hình 1: Ví dụ về một sự kiện
Tìm kiếm thêm thông tin về một sự kiện
Nếu một sự kiện gồm có một liên kết và bạn kích vào nó, một hộp thoại sẽ được mở và cảnh báo cho bạn rằng thông tin về sự kiện sẽ được gửi đến Microsoft để xem xem chúng có nhiều thông tin có sẵn liên quan đến sự kiện không:
Hình 2: Việc gửi thông tin sự kiện đến Microsoft
Kích vào Yes để mở Help and Support Center và kiểm tra để xem xem có bất kỳ thông tin nào nào về sự kiện hay không. Hình 3 thể hiện đáp ứng điển hình này:
Hình 3: Các trợ giúp bổ sung liên quan đến sự kiện
Bao nhiêu lần bạn bị nản chí bởi thiếu thông tin hữu dụng được cung cấp theo cách này? Trong ví dụ ở trên, các trợ giúp bổ sung được cung cấp là “this error could be caused by either a high load on the domain controller or the failure of other domain controller services” có nghĩa: lỗi này có thể bị gây ra bởi một tải cao trong domain controller hoặc lỗi của các dịch vụ domain controller khác” và được gợi ý chữa là “restart the DNS Server service” (khởi động lại dịch vụ) và kiểm tra bản ghi sự kiện xem còn vấn đề gì xảy ra tại cùng thời điểm đó không và có thể điều đó là một đầu mối.
Altair Technologies vẫn duy trì được một trang trợ giúp khá hữu dụng có tên gọi là EventID.net, đây chính là nơi người dùng có thể tìm kiến thêm thông tin bổ sung về các sự kiện chưa rõ để có thể giúp bạn làm sáng tỏ được chúng. Trang này là một trang cộng đồng, điều đó có nghĩa rằng người dùng gửi comment của họ có liên quan đến các sự kiện để tạo một cơ sở dữ liệu cộng đồng, sau đó có thể được làm tài liệu và minh chứng cho những người khác. Nếu bạn tìm kiếm EventID.net để có thông tin về sự kiện ở trên (source = DNS, event ID = 4004) thì bạn sẽ thu được kết quả như hiển thị dưới đây.
Hình 4: Việc tìm kiếm EventID.net để có thêm thông tin về sự kiện ID 4004 cho DNS.
Tính năng hữu dụng thực sự nằm bên dưới Details, đây chính là nơi bạn có thể kích vào liên kết “Comments and links for event id 4004 from source DNS” (Các comment và các liên kết cho sự kiện id 4004 từ nguồn DNS) để xem các comment đã được gửi bởi người dùng khác:
Hình 5: Các comment về sự kiện ID 4004 cho DNS được gửi bởi người dùng cho EventID.net
Comment cuối cùng đặc biệt hữu dụng vì nó chỉ thị Microsoft đã biết về tại sao sự kiện này lại xuất hiện và gợi ý nó có thể thường được bỏ qua một cách an toàn. Help and Support không bao giờ bảo cho bạn biết điều đó!
Cấu hình các bản ghi sự kiện
Một trong những thứ đầu tiên bạn nên thực hiện sau khi cài đặt một hệ thống Windows mới là việc cấu hình các bản ghi sự kiện. Vấn đề này đặc biệt quan trọng đối với các máy chủ, nơi mà các bản ghi sự kiện có thể cung cấp thông tin quan trọng để có thể giúp bạn khắc phục sự cố khi có vấn đề gì đó xảy ra. Trước khi chúng ta xem cách cấu hình các bản ghi sự kiện như thế nào, hãy xem xét một số thông tin cơ bản về các bản ghi có sẵn, bảng 1 sẽ cung cấp cho chúng ta các vấn đề đó:
Bản ghi sự kiện | File bản ghi | Chức năng | Khả năng có sẵn |
Application log | AppEvent.evt | Ghi các sự kiện như phân biệt các hãng phần mềm với nhau | Tất cả các hệ thống Windows |
Security log | SecEvent.evt | Ghi các sự kiện dựa trên cách chính sách kiểm định được cấu hình | Tất cả các hệ thống Windows |
System log | SysEvent.evt | Ghi sự kiện cho các thành phần hệ điều hành Windows | Tất cả các hệ thống Windows |
Directory Service log | NTDS.evt | Ghi các sự kiện cho Active Directory | Chỉ có các bộ điều khiển miền |
DNS Server log | DnsEvent.evt | Ghi các sự kiện cho máy chủ DNS và các giải pháp tên | Chỉ các máy chủ DNS |
File Replication Service log | NtFrs.evt | Ghi các sự kiện cho bản sao bộ điều khiển miền | Chỉ các bộ điều khiển miền |
Bảng 1: Tóm tắt các bản ghi sự kiện của Windows
Mặc định tất cả các bản ghi sự kiện là:
- Được lưu trong thư mục %Windir%\system32\config
- Có kích thước tối đa là 16MB (Windows Server 2003) hoặc 512 KB (Windows 2000/XP)
- Có thể ghi đè các sự kiện đã được lưu hơn 7 ngày trước đó
Hình 6: Cấu hình mặc định của bản ghi sự kiện máy chủ DNS trên Windows Server 2003 DNS server.
Trước khi đưa máy chủ Windows mới vào môi trường sản xuất, bạn nên quyết định xem các thiết lập mặc định nào là thích hợp. Thao tác tốt nhất cho việc cấu hình các bản ghi sự kiện trên máy chủ được cho dưới đây:
- Tăng kích thước của mỗi bản ghi sự kiện tới tối thiểu là 50MB. Điều này là do một sự kiện điển hình có kích thước khoảng 0,5KB, có nghĩa bạn sẽ có thể lưu được đến 100.000 sự kiện trong mỗi bản ghi. Lưu ý rằng kích thước được hỗ trợ tối đa của mỗi bản ghi sự kiện là khoảng 300MB. Nếu ổ đĩa hệ thống của bạn có không gian không đủ cho các bản ghi sự kiện thì bạn có thể chuyển chúng sang ổ đĩa khác bằng việc edit một khóa nhỏ cho mỗi bản ghi trong phần HKLM\SYSTEM\CurrentControlSet\Services\Eventlog bằng cách sử dụng Registry Editor, về vấn đề này bạn có thể tham khảo tại đường dẫn này để có thêm thông tin chi tiết.
- Thay đổi hành vi ghi đè cho bản ghi Security thành Do Not Overwrite Events nếu doanh nghiệp của bạn có môi trường bảo mật cao. Theo cách đó, nếu các bản ghi Security bị đầy thì hệ thống sẽ tắt để bảo đảm rằng không có sự kiện nào trong bản ghi Security bị mất. Nếu thực hiện như vậy, hãy bảo đảm rằng bạn cũng cất trữ và sau đó xóa bản ghi Security thường xuyên để tránh tình trạng tắt máy xuất hiện không mong muốn.
- Thay đổi hành vi ghi đè cho các sự kiện bản ghi khác thành Overwrite Events As Needed để không có việc ghi đè xuất hiện cho tới khi toàn bộ bản ghi đầy. Cũng như vậy, bạn phải bảo đảm lưu trữ thường xuyên và xóa sạch các bản ghi sự kiện để tránh tình trạng bản ghi bị đầy và mất các sự kiện vì ghi đè.
Nếu bạn có một số các máy tính và đang chạy Active Directory trên mạng thì bạn cũng có thể sử dụng Group Policy để cấu hình các thiết lập bản ghi sự kiện. Các thiết lập này được tìm thấy tại Computer Configuration/Windows Settings/Security Settings/Event Log trong Group Policy Object Editor:
Hình 7: Các thiết lập Group Policy cho cấu hình các bản ghi sự kiện
Tìm kiếm và lọc các sự kiện
Kéo thanh cuộn ở giao diện Event sẽ cho phép bạn dễ dàng kiểm tra được các sự kiện gần đây nhất đã được ghi trên hệ thống, vấn đề này nhanh chóng trở thành hết thực tế đối với các hệ thống bận, các hệ thống thống bận thường có các bản ghi sự kiện chứa đến hàng chục MAILBOX. Nếu bạn đang tìm kiếm các trường hợp riêng nào đó của một sự kiện, bạn có thể sử dụng các tùy chọn Find và Filter để có thể tìm chúng được nhanh hơn.
Ví dụ bạn muốn tìm tất cả các trường hợp của sự kiện Event ID 4004 trong bản ghi DNS Server như được thể hiện trong hình 1 phần trên. Để sử dụng tính năng Find thực hiện việc tìm kiếm này, kích chuột phải vào bản ghi DNS Server và chọn View --> Find, sau đó bạn điền vào trong Event ID tên bản ghi trong hộp tìm kiếm:
Hình 8: Tìm kiếm các trường hợp của Event ID 4004 trong bản ghi DNS Server.
Kích nút Find Next và các trường hợp đầu tiên của sự kiện đó sẽ được hiển thị trong Event Viewer:
Hình 9: Một trường hợp của Event ID 4004 được hiển thị trong Event Viewer.
Sau đó kích Find Next để hiển thị các trường hợp tiếp theo của sự kiện này.
Điều khó chịu nhất trong phương pháp này là giao diện tìm kiếm không được xây dựng trực tiếp trong cửa sổ Event Viewer. Vì vậy chúng ta hãy thử một phương pháp khác và thay vào đó sử dụng bộ lọc Filter . Kích chuột phải vào bản ghi DNS Server một lần nữa và chọn View --> Filter, sau đó điền vào Event ID trong Filter tab của trang DNS Server Properties.
Hình 10: Lọc bản ghi DNS Server cho Event ID 4004.
Kích OK và Event Viewer khi đó chỉ có các sự kiện được hiển thị trong bản ghi DNS Server là của Event ID 4004:
Hình 11: Tất cả các trường hợp Event ID 4004 được hiển thị
Từ những thông tin này, chúng ta có thể kết luận rằng đây chỉ là một vấn đề tạm thời đã xảy ra rồi.
Xem các sự kiện trên các hệ thống từ xa
Event Viewer cũng cho phép bạn kết nối đến các hệ thống từ xa để xem các bản ghi sự kiện của chúng. Thủ tục rất đơn giản: kích chuột phải vào nút gốc (trên) trong cây giao diện điều khiển của Event Viewer và chọn Connect To Another Computer:
Hình 12: Kết nối đến máy tính điều khiển xa để xem các bản ghi sự kiện của nó
Sau đó đánh vào tên (NetBIOS hoặc FQDN) của máy tính điều khiển xa hoặc kích vào Browse để tìm nó trong Active Directory. Kích OK để kết nối:
Hình 13: Không thể kết nối đến máy tính điều khiển xa để xem các bản ghi sự kiện
Không thể kết nối! Và thông báo lỗi quả thật khó hiểu. Không biết vấn đề gì đã xảy ra? Thông báo lỗi này chỉ thị một trong các khả năng dưới đây:
• Bạn không được đăng nhập với một tài khoản có quyền quản trị viên cục bộ đối với máy tính điều khiển xa (tài khoản quản trị tên miền cần phải được đưa vào ở đây)
• Dịch vụ Remote Registry không chạy hoặc đã bị vô hiệu hóa trên máy tính điều khiển xa
Sửa tình huống và bạn sẽ có thể kết nối được với máy tính điều khiển xa để có thể xem được các bản ghi sự kiện của nó.
Sử dụng EventCombMT.exe
Có thể bạn đã biết về các công cụ Account Lockout và Management Tools (ALTools.exe). Một trong các công cụ đó là EventCombMT.exe, bạn có thể sử dụng để hợp nhất các bản ghi sự kiện từ nhiều máy tính trong một vị trí đơn để phân tích. Để sử dụng công cụ này, bạn kích đúp vào EventCombMT.exe trong thư mục nơi đã cài đặt nó, sau đó chỉ định miền, máy chủ, và kiểu các sự kiện mà bạn muốn tìm. Ví dụ, nếu bạn muốn tìm tất cả các sự kiện W32Time trên hai máy chủ (TEST230 và TEST235) trong miền testtwo.local:
Hình 14: Sử dụng EventCombMT để tìm kiếm các sự kiện W32Time trên hai máy chủ.
Kích Search, khi hoạt động kết thúc, một thư mục sẽ mở ra hiển thị các file kết quả được tạo ra:
Hình 15: Các file kết quả thu được sau khi tìm kiếm.
Kích đúp vào một trong 2 file máy chủ hiển thị danh sách được phân định bằng dấu phẩy cho các sự kiện W32Time đối với máy chủ đó:
Hình 16: Danh sách được phân định bằng dấu phẩy cho các sự kiện W32Time trên máy chủ TEST230.
Sau đó bạn có thể import các file vào Excel để hợp nhất chúng nhằm cho việc phân tích. EventCombMT cũng có một số truy vấn được xây dựng kèm mà bạn có thể sử dụng cho các nhiệm vụ chung như việc tìm kiếm các tài khoản đã bị khóa:
Hình 17: Tìm kiến các tài khoản đã khóa EventCombMT.
Các công cụ kiểm tra sự kiện khác
EventCombMT.exe là một công cụ rất hữu dụng nhưng không thân thiện lắm đối với người dùng vì khó sử dụng. Nếu bạn có rất nhiều máy tính mà muốn kiểm tra các sự kiện của nó, cách tốt nhất bạn nên mua một công cụ sản phẩm thương mại cho mục đích này. Chúng tôi sẽ kết thúc bài này bằng việc đề cập đến hai công cụ như vậy.
Microsoft Operations Manager (MOM)
MOM là sản phẩm Windows Server System của Microsoft, sản phẩm này cho phép bạn kiểm tra các sự kiện, tình trạng hệ thống và hiệu suất của máy tính trong mạng của bạn với thời gian thực, hợp nhất các thông tin như vậy trong một kho chứa trung tâm và tạo các báo cáo web đồ họa. MOM 2000 hiện đang là được sử dụng rộng rãi mặc dù vậy nó sẽ dần được thay thế bởi MOM 2005, sản phẩm này có giao diện mới hơn và sự bảo mật tốt hơn, một số rule được nâng cao và cải thiện các báo cáo. MOM 2005 cũng hỗ trợ nhiều tính năng khác như sự quốc tế hóa và hỗ trợ tác nhân 64bit.
GFI LANguard SELM
GFI LANguard Security Event Log Monitor (SELM) là một công cụ của GFI, công cụ này cho phép bạn quản lý bản ghi sự kiện trên các máy tính điều khiển xa, hợp nhất bản ghi sự kiện từ các máy tính đó vào một khu vực riêng, có thể xem và báo cáo cùng với lọc một cách dễ dàng và đơn giản. Bạn cũng có thể tạo chính các báo cảnh theo ý thích của mình dựa trên event ID, nội dung và điều kiện sự kiện, chính vì vậy bạn có thể kiểm tra các vấn đề cụ thể trong toàn mạng. SELM thậm chí còn cho phép phân tích các chi tiết sự kiện, những thứ mà ở MOM không có. Các sản phẩm của GFI quả thật tuyệt vời và có thể là một giải pháp mà bạn nên chọn khi xem xét các công cụ để kiểm tra và khắc phục sự cố bản ghi sự kiện trong toàn mạng.