Kiểm tra và khắc phục sự cố bằng các bản ghi sự kiện của window

Bài viết này là những gì thực hành tốt nhất để làm việc với các bản
ghi sự kiện của Windows, gồm có cách thông dịch các thông báo sự
kiện, cách cấu hình các bản ghi sự kiện, cách tìm kiếm - lọc các sự
kiện, cách xem các sự kiện trên hệ thống từ xa, cách sử dụng
EventCombMT.exe và các công cụ khác để kiểm tra sự kiện trên đa
hệ thống.

Các bản ghi sự kiện trong hệ thống Windows rất hữu dụng cho việc khắc
phục sự cố khi có vấn đề nào đó hoặc kiểm tra hiệu suất lẫn hành vi. Một
bản ghi sự kiện là một file có chứa các sự kiện, các sự kiện được ghi lại
để thông báo cho người dùng một số sự cố có liên quan đến hệ điều hành
hoặc các ứng dụng đang chạy trên hệ thống. Một sự kiện gồm có các
thông tin về kiểu sự cố và ngày, giờ khi nó xuất hiện, máy tính nơi nó xảy
ra và người dùng đã đăng nhập vào thời gian đó, ngoài ra còn có các
thông tin khác như event ID, hạng mục sự kiện và nguồn của sự kiện. Các
sự kiện cũng có cả các thông tin chi tiết hơn có liên quan đến sự kiện và
có thể một liên kết đến nơi chứa nhiều thông tin hơn. Hình 1 dưới đây mô
phỏng ví dụ về một sự kiện từ bản ghi sự kiện của máy chủ DNS trên
Windows Server 2003 domain controller:


Tìm kiếm thêm thông tin về một sự kiện

Nếu một sự kiện gồm có một liên kết và bạn kích vào nó, một hộp thoại
sẽ được mở và cảnh báo cho bạn rằng thông tin về sự kiện sẽ được gửi
đến Microsoft để xem xem chúng có nhiều thông tin có sẵn liên quan đến
sự kiện không:

Việc gửi thông tin sự kiện đến Microsoft

Kích vào Yes để mở Help and Support Center và kiểm tra để xem xem có
bất kỳ thông tin nào nào về sự kiện hay không. Hình 3 thể hiện đáp ứng
điển hình này:


Bao nhiêu lần bạn bị nản chí bởi thiếu thông tin hữu dụng được cung cấp
theo cách này? Trong ví dụ ở trên, các trợ giúp bổ sung được cung cấp là
“this error could be caused by either a high load on the domain
controller or the failure of other domain controller services” có nghĩa: lỗi
này có thể bị gây ra bởi một tải cao trong domain controller hoặc lỗi của
các dịch vụ domain controller khác” và được gợi ý chữa là “restart the
DNS Server service” (khởi động lại dịch vụ) và kiểm tra bản ghi sự kiện
xem còn vấn đề gì xảy ra tại cùng thời điểm đó không và có thể điều đó là
một đầu mối.

Altair Technologies vẫn duy trì được một trang trợ giúp khá hữu dụng có
tên gọi là EventID.net, đây chính là nơi người dùng có thể tìm kiến thêm
thông tin bổ sung về các sự kiện chưa rõ để có thể giúp bạn làm sáng tỏ
được chúng. Trang này là một trang cộng đồng, điều đó có nghĩa rằng
người dùng gửi comment của họ có liên quan đến các sự kiện để tạo một
cơ sở dữ liệu cộng đồng, sau đó có thể được làm tài liệu và minh chứng
cho những người khác. Nếu bạn tìm kiếm EventID.net để có thông tin về
sự kiện ở trên (source = DNS, event ID = 4004) thì bạn sẽ thu được kết
quả như hiển thị dưới đây.


Tính năng hữu dụng thực sự nằm bên dưới Details, đây chính là nơi bạn
có thể kích vào liên kết “Comments and links for event id 4004 from
source DNS” (Các comment và các liên kết cho sự kiện id 4004 từ nguồn
DNS) để xem các comment đã được gửi bởi người dùng khác:

Comment cuối cùng đặc biệt hữu dụng vì nó chỉ thị Microsoft đã biết về
tại sao sự kiện này lại xuất hiện và gợi ý nó có thể thường được bỏ qua
một cách an toàn. Help and Support không bao giờ bảo cho bạn biết điều
đó!

Cấu hình các bản ghi sự kiện

Một trong những thứ đầu tiên bạn nên thực hiện sau khi cài đặt một hệ
thống Windows mới là việc cấu hình các bản ghi sự kiện. Vấn đề này đặc
biệt quan trọng đối với các máy chủ, nơi mà các bản ghi sự kiện có thể
cung cấp thông tin quan trọng để có thể giúp bạn khắc phục sự cố khi có
vấn đề gì đó xảy ra. Trước khi chúng ta xem cách cấu hình các bản ghi sự
kiện như thế nào, hãy xem xét một số thông tin cơ bản về các bản ghi có
sẵn, bảng 1 sẽ cung cấp cho chúng ta các vấn đề đó:
Bản ghi sự
kiện
File bản ghi Chức năng
Khả năng
có sẵn
Application
log
AppEvent.evt

Ghi các sự kiện
như phân biệt
các hãng phần
mềm với nhau
Tất cả các
hệ thống
Windows

Security log SecEvent.evt
Ghi các sự kiện
dựa trên cách
chính sách
kiểm định được
cấu hình
Tất cả các
hệ thống
Windows
System log SysEvent.evt

Ghi sự kiện
cho các thành
phần hệ điều
hành Windows
Tất cả các
hệ thống
Windows
Directory
Service log
NTDS.evt
Ghi các sự kiện
cho Active
Directory
Chỉ có các
bộ điều
khiển miền

DNS Server
log

DnsEvent.evt

Ghi các sự kiện
cho máy chủ
DNS và các
giải pháp tên
Chỉ các
máy chủ
DNS
File
Replication
Service log
NtFrs.evt
Ghi các sự kiện
cho bản sao bộ
điều khiển
Chỉ các bộ
điều khiển
miền
miền
Bảng 1: Tóm tắt các bản ghi sự kiện của Windows
Mặc định tất cả các bản ghi sự kiện là:
 Được lưu trong thư mục %Windir%\system32\config
 Có kích thước tối đa là 16MB (Windows Server 2003) hoặc 512
KB (Windows 2000/XP)
 Có thể ghi đè các sự kiện đã được lưu hơn 7 ngày trước đó

Trước khi đưa máy chủ Windows mới vào môi trường sản xuất, bạn nên
quyết định xem các thiết lập mặc định nào là thích hợp. Thao tác tốt nhất
cho việc cấu hình các bản ghi sự kiện trên máy chủ được cho dưới đây:


- Tăng kích thước của mỗi bản ghi sự kiện tới tối thiểu là 50MB. Điều
này là do một sự kiện điển hình có kích thước khoảng 0,5KB, có nghĩa
bạn sẽ có thể lưu được đến 100.000 sự kiện trong mỗi bản ghi. Lưu ý
rằng kích thước được hỗ trợ tối đa của mỗi bản ghi sự kiện là khoảng
300MB. Nếu ổ đĩa hệ thống của bạn có không gian không đủ cho các bản
ghi sự kiện thì bạn có thể chuyển chúng sang ổ đĩa khác bằng việc edit
một khóa nhỏ cho mỗi bản ghi trong phần
HKLM\SYSTEM\CurrentControlSet\Services\Eventlog bằng cách sử dụng
Registry Editor, về vấn đề này bạn có thể tham khảo tại đường dẫn này để
có thêm thông tin chi tiết.

- Thay đổi hành vi ghi đè cho bản ghi Security thành Do Not Overwrite
Events nếu doanh nghiệp của bạn có môi trường bảo mật cao. Theo cách
đó, nếu các bản ghi Security bị đầy thì hệ thống sẽ tắt để bảo đảm rằng
không có sự kiện nào trong bản ghi Security bị mất. Nếu thực hiện như
vậy, hãy bảo đảm rằng bạn cũng cất trữ và sau đó xóa bản ghi Security
thường xuyên để tránh tình trạng tắt máy xuất hiện không mong muốn.

- Thay đổi hành vi ghi đè cho các sự kiện bản ghi khác thành Overwrite
Events As Needed để không có việc ghi đè xuất hiện cho tới khi toàn bộ
bản ghi đầy. Cũng như vậy, bạn phải bảo đảm lưu trữ thường xuyên và
xóa sạch các bản ghi sự kiện để tránh tình trạng bản ghi bị đầy và mất các
sự kiện vì ghi đè.

Nếu bạn có một số các máy tính và đang chạy Active Directory trên mạng
thì bạn cũng có thể sử dụng Group Policy để cấu hình các thiết lập bản
ghi sự kiện. Các thiết lập này được tìm thấy tại Computer
Configuration/Windows Settings/Security Settings/Event Log trong Group
Policy Object Editor:



Tìm kiếm và lọc các sự kiện

Kéo thanh cuộn ở giao diện Event sẽ cho phép bạn dễ dàng kiểm tra được
các sự kiện gần đây nhất đã được ghi trên hệ thống, vấn đề này nhanh
chóng trở thành hết thực tế đối với các hệ thống bận, các hệ thống thống
bận thường có các bản ghi sự kiện chứa đến hàng chục MAILBOX. Nếu
bạn đang tìm kiếm các trường hợp riêng nào đó của một sự kiện, bạn có
thể sử dụng các tùy chọn Find và Filter để có thể tìm chúng được nhanh
hơn.

Ví dụ bạn muốn tìm tất cả các trường hợp của sự kiện Event ID 4004
trong bản ghi DNS Server như được thể hiện trong hình 1 phần trên. Để
sử dụng tính năng Find thực hiện việc tìm kiếm này, kích chuột phải vào
bản ghi DNS Server và chọn View > Find, sau đó bạn điền vào trong
Event ID tên bản ghi trong hộp tìm kiếm:
Kích nút Find Next và các trường hợp đầu tiên của sự kiện đó sẽ được
hiển thị trong Event Viewer:
Sau đó kích Find Next để hiển thị các trường hợp tiếp theo của sự kiện
này.

Điều khó chịu nhất trong phương pháp này là giao diện tìm kiếm không
được xây dựng trực tiếp trong cửa sổ Event Viewer. Vì vậy chúng ta hãy
thử một phương pháp khác và thay vào đó sử dụng bộ lọc Filter . Kích
chuột phải vào bản ghi DNS Server một lần nữa và chọn View > Filter,
sau đó điền vào Event ID trong Filter tab của trang DNS Server
Properties.
Kích OK và Event Viewer khi đó chỉ có các sự kiện được hiển thị trong
bản ghi DNS Server là của Event ID 4004:



Từ những thông tin này, chúng ta có thể kết luận rằng đây chỉ là một vấn
đề tạm thời đã xảy ra rồi.

Xem các sự kiện trên các hệ thống từ xa

Event Viewer cũng cho phép bạn kết nối đến các hệ thống từ xa để xem
các bản ghi sự kiện của chúng. Thủ tục rất đơn giản: kích chuột phải vào
nút gốc (trên) trong cây giao diện điều khiển của Event Viewer và chọn
Connect To Another Computer:
Sau đó đánh vào tên (NetBIOS hoặc FQDN) của máy tính điều khiển xa
hoặc kích vào Browse để tìm nó trong Active Directory. Kích OK để kết
nối:
Không thể kết nối! Và thông báo lỗi quả thật khó hiểu. Không biết vấn đề
gì đã xảy ra? Thông báo lỗi này chỉ thị một trong các khả năng dưới đây:

• Bạn không được đăng nhập với một tài khoản có quyền quản trị viên
cục bộ đối với máy tính điều khiển xa (tài khoản quản trị tên miền cần
phải được đưa vào ở đây)
• Dịch vụ Remote Registry không chạy hoặc đã bị vô hiệu hóa trên máy
tính điều khiển xa

Sửa tình huống và bạn sẽ có thể kết nối được với máy tính điều khiển xa
để có thể xem được các bản ghi sự kiện của nó.

Sử dụng EventCombMT.exe

Có thể bạn đã biết về các công cụ Account Lockout và Management
Tools (ALTools.exe). Một trong các công cụ đó là EventCombMT.exe,

bạn có thể sử dụng để hợp nhất các bản ghi sự kiện từ nhiều máy tính
trong một vị trí đơn để phân tích. Để sử dụng công cụ này, bạn kích đúp
vào EventCombMT.exe trong thư mục nơi đã cài đặt nó, sau đó chỉ định
miền, máy chủ, và kiểu các sự kiện mà bạn muốn tìm. Ví dụ, nếu bạn
muốn tìm tất cả các sự kiện W32Time trên hai máy chủ (TEST230 và
TEST235) trong miền testtwo.local:
Kích Search, khi hoạt động kết thúc, một thư mục sẽ mở ra hiển thị các
file kết quả được tạo ra:
Kích đúp vào một trong 2 file máy chủ hiển thị danh sách được phân định
bằng dấu phẩy cho các sự kiện W32Time đối với máy chủ đó:
Sau đó bạn có thể import các file vào Excel để hợp nhất chúng nhằm cho
việc phân tích. EventCombMT cũng có một số truy vấn được xây dựng
kèm mà bạn có thể sử dụng cho các nhiệm vụ chung như việc tìm kiếm
các tài khoản đã bị khóa:
Các công cụ kiểm tra sự kiện khác

EventCombMT.exe là một công cụ rất hữu dụng nhưng không thân thiện
lắm đối với người dùng vì khó sử dụng. Nếu bạn có rất nhiều máy tính
mà muốn kiểm tra các sự kiện của nó, cách tốt nhất bạn nên mua một
công cụ sản phẩm thương mại cho mục đích này. Chúng tôi sẽ kết thúc
bài này bằng việc đề cập đến hai công cụ như vậy.

Microsoft Operations Manager (MOM)

MOM là sản phẩm Windows Server System của Microsoft, sản phẩm này
cho phép bạn kiểm tra các sự kiện, tình trạng hệ thống và hiệu suất của
máy tính trong mạng của bạn với thời gian thực, hợp nhất các thông tin
như vậy trong một kho chứa trung tâm và tạo các báo cáo web đồ họa.
MOM 2000 hiện đang là được sử dụng rộng rãi mặc dù vậy nó sẽ dần
được thay thế bởi MOM 2005, sản phẩm này có giao diện mới hơn và sự

bảo mật tốt hơn, một số rule được nâng cao và cải thiện các báo cáo.
MOM 2005 cũng hỗ trợ nhiều tính năng khác như sự quốc tế hóa và hỗ
trợ tác nhân 64bit.

GFI LANguard SELM

GFI LANguard Security Event Log Monitor (SELM) là một công cụ của
GFI, công cụ này cho phép bạn quản lý bản ghi sự kiện trên các máy tính
điều khiển xa, hợp nhất bản ghi sự kiện từ các máy tính đó vào một khu
vực riêng, có thể xem và báo cáo cùng với lọc một cách dễ dàng và đơn
giản. Bạn cũng có thể tạo chính các báo cảnh theo ý thích của mình dựa
trên event ID, nội dung và điều kiện sự kiện, chính vì vậy bạn có thể kiểm
tra các vấn đề cụ thể trong toàn mạng. SELM thậm chí còn cho phép phân
tích các chi tiết sự kiện, những thứ mà ở MOM không có. Các sản phẩm
của GFI quả thật tuyệt vời và có thể là một giải pháp mà bạn nên chọn khi
xem xét các công cụ để kiểm tra và khắc phục sự cố bản ghi sự kiện trong
toàn mạng.
quantrimang