Kiểm tra và khắc phục sự cố bằng các bản ghi sự kiện của window Bài viết này là những gì thực hành tốt nhất để làm việc với các bản ghi sự kiện của Windows, gồm có cách thông dịch các th
Trang 1Kiểm tra và khắc phục sự cố bằng các bản ghi sự kiện của window
Bài viết này là những gì thực hành tốt nhất để làm việc với các bản ghi sự kiện của Windows, gồm có cách thông dịch các thông báo sự kiện, cách cấu hình các bản ghi sự kiện, cách tìm kiếm - lọc các sự kiện, cách xem các sự kiện trên hệ thống từ xa, cách sử dụng
EventCombMT.exe và các công cụ khác để kiểm tra sự kiện trên đa
hệ thống
Các bản ghi sự kiện trong hệ thống Windows rất hữu dụng cho việc khắc phục sự cố khi có vấn đề nào đó hoặc kiểm tra hiệu suất lẫn hành vi Một bản ghi sự kiện là một file có chứa các sự kiện, các sự kiện được ghi lại
để thông báo cho người dùng một số sự cố có liên quan đến hệ điều hành hoặc các ứng dụng đang chạy trên hệ thống Một sự kiện gồm có các thông tin về kiểu sự cố và ngày, giờ khi nó xuất hiện, máy tính nơi nó xảy
ra và người dùng đã đăng nhập vào thời gian đó, ngoài ra còn có các thông tin khác như event ID, hạng mục sự kiện và nguồn của sự kiện Các
sự kiện cũng có cả các thông tin chi tiết hơn có liên quan đến sự kiện và
có thể một liên kết đến nơi chứa nhiều thông tin hơn Hình 1 dưới đây mô phỏng ví dụ về một sự kiện từ bản ghi sự kiện của máy chủ DNS trên Windows Server 2003 domain controller:
Trang 2Tìm kiếm thêm thông tin về một sự kiện
Nếu một sự kiện gồm có một liên kết và bạn kích vào nó, một hộp thoại
sẽ được mở và cảnh báo cho bạn rằng thông tin về sự kiện sẽ được gửi đến Microsoft để xem xem chúng có nhiều thông tin có sẵn liên quan đến
sự kiện không:
Việc gửi thông tin sự kiện đến Microsoft
Kích vào Yes để mở Help and Support Center và kiểm tra để xem xem có
bất kỳ thông tin nào nào về sự kiện hay không Hình 3 thể hiện đáp ứng điển hình này:
Bao nhiêu lần bạn bị nản chí bởi thiếu thông tin hữu dụng được cung cấp theo cách này? Trong ví dụ ở trên, các trợ giúp bổ sung được cung cấp là
Trang 3“this error could be caused by either a high load on the domain
controller or the failure of other domain controller services” có nghĩa: lỗi
này có thể bị gây ra bởi một tải cao trong domain controller hoặc lỗi của
các dịch vụ domain controller khác” và được gợi ý chữa là “restart the DNS Server service” (khởi động lại dịch vụ) và kiểm tra bản ghi sự kiện
xem còn vấn đề gì xảy ra tại cùng thời điểm đó không và có thể điều đó là một đầu mối
Altair Technologies vẫn duy trì được một trang trợ giúp khá hữu dụng có tên gọi là EventID.net, đây chính là nơi người dùng có thể tìm kiến thêm thông tin bổ sung về các sự kiện chưa rõ để có thể giúp bạn làm sáng tỏ được chúng Trang này là một trang cộng đồng, điều đó có nghĩa rằng người dùng gửi comment của họ có liên quan đến các sự kiện để tạo một
cơ sở dữ liệu cộng đồng, sau đó có thể được làm tài liệu và minh chứng cho những người khác Nếu bạn tìm kiếm EventID.net để có thông tin về
sự kiện ở trên (source = DNS, event ID = 4004) thì bạn sẽ thu được kết
quả như hiển thị dưới đây
Tính năng hữu dụng thực sự nằm bên dưới Details, đây chính là nơi bạn
có thể kích vào liên kết “Comments and links for event id 4004 from source DNS” (Các comment và các liên kết cho sự kiện id 4004 từ nguồn
DNS) để xem các comment đã được gửi bởi người dùng khác:
Trang 4Comment cuối cùng đặc biệt hữu dụng vì nó chỉ thị Microsoft đã biết về tại sao sự kiện này lại xuất hiện và gợi ý nó có thể thường được bỏ qua một cách an toàn Help and Support không bao giờ bảo cho bạn biết điều đó!
Cấu hình các bản ghi sự kiện
Một trong những thứ đầu tiên bạn nên thực hiện sau khi cài đặt một hệ thống Windows mới là việc cấu hình các bản ghi sự kiện Vấn đề này đặc biệt quan trọng đối với các máy chủ, nơi mà các bản ghi sự kiện có thể cung cấp thông tin quan trọng để có thể giúp bạn khắc phục sự cố khi có vấn đề gì đó xảy ra Trước khi chúng ta xem cách cấu hình các bản ghi sự kiện như thế nào, hãy xem xét một số thông tin cơ bản về các bản ghi có sẵn, bảng 1 sẽ cung cấp cho chúng ta các vấn đề đó:
Bản ghi sự
kiện File bản ghi Chức năng
Khả năng
có sẵn
Application
log AppEvent.evt
Ghi các sự kiện như phân biệt các hãng phần mềm với nhau
Tất cả các
hệ thống Windows
Security log SecEvent.evt
Ghi các sự kiện dựa trên cách chính sách kiểm định được cấu hình
Tất cả các
hệ thống Windows
System log SysEvent.evt
Ghi sự kiện cho các thành phần hệ điều hành Windows
Tất cả các
hệ thống Windows
Directory
Service log NTDS.evt
Ghi các sự kiện cho Active Directory
Chỉ có các
bộ điều khiển miền
DNS Server
log DnsEvent.evt
Ghi các sự kiện cho máy chủ DNS và các giải pháp tên
Chỉ các máy chủ DNS
File
Replication
Service log
NtFrs.evt
Ghi các sự kiện cho bản sao bộ điều khiển
Chỉ các bộ điều khiển miền
Trang 5miền
Bảng 1: Tóm tắt các bản ghi sự kiện của Windows
Mặc định tất cả các bản ghi sự kiện là:
Được lưu trong thư mục %Windir%\system32\config
Có kích thước tối đa là 16MB (Windows Server 2003) hoặc 512
KB (Windows 2000/XP)
Có thể ghi đè các sự kiện đã được lưu hơn 7 ngày trước đó
Trước khi đưa máy chủ Windows mới vào môi trường sản xuất, bạn nên quyết định xem các thiết lập mặc định nào là thích hợp Thao tác tốt nhất cho việc cấu hình các bản ghi sự kiện trên máy chủ được cho dưới đây:
- Tăng kích thước của mỗi bản ghi sự kiện tới tối thiểu là 50MB Điều này là do một sự kiện điển hình có kích thước khoảng 0,5KB, có nghĩa bạn sẽ có thể lưu được đến 100.000 sự kiện trong mỗi bản ghi Lưu ý rằng kích thước được hỗ trợ tối đa của mỗi bản ghi sự kiện là khoảng 300MB Nếu ổ đĩa hệ thống của bạn có không gian không đủ cho các bản ghi sự kiện thì bạn có thể chuyển chúng sang ổ đĩa khác bằng việc edit một khóa nhỏ cho mỗi bản ghi trong phần
Trang 6HKLM\SYSTEM\CurrentControlSet\Services\Eventlog bằng cách sử dụng
Registry Editor, về vấn đề này bạn có thể tham khảo tại đường dẫn này để
có thêm thông tin chi tiết
- Thay đổi hành vi ghi đè cho bản ghi Security thành Do Not Overwrite Events nếu doanh nghiệp của bạn có môi trường bảo mật cao Theo cách
đó, nếu các bản ghi Security bị đầy thì hệ thống sẽ tắt để bảo đảm rằng không có sự kiện nào trong bản ghi Security bị mất Nếu thực hiện như vậy, hãy bảo đảm rằng bạn cũng cất trữ và sau đó xóa bản ghi Security thường xuyên để tránh tình trạng tắt máy xuất hiện không mong muốn
- Thay đổi hành vi ghi đè cho các sự kiện bản ghi khác thành Overwrite Events As Needed để không có việc ghi đè xuất hiện cho tới khi toàn bộ
bản ghi đầy Cũng như vậy, bạn phải bảo đảm lưu trữ thường xuyên và xóa sạch các bản ghi sự kiện để tránh tình trạng bản ghi bị đầy và mất các
sự kiện vì ghi đè
Nếu bạn có một số các máy tính và đang chạy Active Directory trên mạng thì bạn cũng có thể sử dụng Group Policy để cấu hình các thiết lập bản
ghi sự kiện Các thiết lập này được tìm thấy tại Computer
Configuration/Windows Settings/Security Settings/Event Log trong Group
Policy Object Editor:
Tìm kiếm và lọc các sự kiện
Kéo thanh cuộn ở giao diện Event sẽ cho phép bạn dễ dàng kiểm tra được
Trang 7các sự kiện gần đây nhất đã được ghi trên hệ thống, vấn đề này nhanh chóng trở thành hết thực tế đối với các hệ thống bận, các hệ thống thống bận thường có các bản ghi sự kiện chứa đến hàng chục MAILBOX Nếu bạn đang tìm kiếm các trường hợp riêng nào đó của một sự kiện, bạn có thể sử dụng các tùy chọn Find và Filter để có thể tìm chúng được nhanh hơn
Ví dụ bạn muốn tìm tất cả các trường hợp của sự kiện Event ID 4004 trong bản ghi DNS Server như được thể hiện trong hình 1 phần trên Để
sử dụng tính năng Find thực hiện việc tìm kiếm này, kích chuột phải vào
bản ghi DNS Server và chọn View > Find, sau đó bạn điền vào trong
Event ID tên bản ghi trong hộp tìm kiếm:
Kích nút Find Next và các trường hợp đầu tiên của sự kiện đó sẽ được
hiển thị trong Event Viewer:
Sau đó kích Find Next để hiển thị các trường hợp tiếp theo của sự kiện
này
Điều khó chịu nhất trong phương pháp này là giao diện tìm kiếm không được xây dựng trực tiếp trong cửa sổ Event Viewer Vì vậy chúng ta hãy thử một phương pháp khác và thay vào đó sử dụng bộ lọc Filter Kích
chuột phải vào bản ghi DNS Server một lần nữa và chọn View > Filter, sau đó điền vào Event ID trong Filter tab của trang DNS Server
Properties
Kích OK và Event Viewer khi đó chỉ có các sự kiện được hiển thị trong
bản ghi DNS Server là của Event ID 4004:
Từ những thông tin này, chúng ta có thể kết luận rằng đây chỉ là một vấn
đề tạm thời đã xảy ra rồi
Xem các sự kiện trên các hệ thống từ xa
Trang 8Event Viewer cũng cho phép bạn kết nối đến các hệ thống từ xa để xem các bản ghi sự kiện của chúng Thủ tục rất đơn giản: kích chuột phải vào nút gốc (trên) trong cây giao diện điều khiển của Event Viewer và chọn
Connect To Another Computer:
Sau đó đánh vào tên (NetBIOS hoặc FQDN) của máy tính điều khiển xa
hoặc kích vào Browse để tìm nó trong Active Directory Kích OK để kết
nối:
Không thể kết nối! Và thông báo lỗi quả thật khó hiểu Không biết vấn đề
gì đã xảy ra? Thông báo lỗi này chỉ thị một trong các khả năng dưới đây:
• Bạn không được đăng nhập với một tài khoản có quyền quản trị viên cục bộ đối với máy tính điều khiển xa (tài khoản quản trị tên miền cần phải được đưa vào ở đây)
• Dịch vụ Remote Registry không chạy hoặc đã bị vô hiệu hóa trên máy tính điều khiển xa
Sửa tình huống và bạn sẽ có thể kết nối được với máy tính điều khiển xa
để có thể xem được các bản ghi sự kiện của nó
Sử dụng EventCombMT.exe
Có thể bạn đã biết về các công cụ Account Lockout và Management Tools (ALTools.exe) Một trong các công cụ đó là EventCombMT.exe, bạn có thể sử dụng để hợp nhất các bản ghi sự kiện từ nhiều máy tính trong một vị trí đơn để phân tích Để sử dụng công cụ này, bạn kích đúp vào EventCombMT.exe trong thư mục nơi đã cài đặt nó, sau đó chỉ định miền, máy chủ, và kiểu các sự kiện mà bạn muốn tìm Ví dụ, nếu bạn muốn tìm tất cả các sự kiện W32Time trên hai máy chủ (TEST230 và TEST235) trong miền testtwo.local:
Kích Search, khi hoạt động kết thúc, một thư mục sẽ mở ra hiển thị các
file kết quả được tạo ra:
Kích đúp vào một trong 2 file máy chủ hiển thị danh sách được phân định bằng dấu phẩy cho các sự kiện W32Time đối với máy chủ đó:
Sau đó bạn có thể import các file vào Excel để hợp nhất chúng nhằm cho việc phân tích EventCombMT cũng có một số truy vấn được xây dựng kèm mà bạn có thể sử dụng cho các nhiệm vụ chung như việc tìm kiếm các tài khoản đã bị khóa:
Các công cụ kiểm tra sự kiện khác
EventCombMT.exe là một công cụ rất hữu dụng nhưng không thân thiện lắm đối với người dùng vì khó sử dụng Nếu bạn có rất nhiều máy tính
mà muốn kiểm tra các sự kiện của nó, cách tốt nhất bạn nên mua một
Trang 9công cụ sản phẩm thương mại cho mục đích này Chúng tôi sẽ kết thúc bài này bằng việc đề cập đến hai công cụ như vậy
Microsoft Operations Manager (MOM)
MOM là sản phẩm Windows Server System của Microsoft, sản phẩm này cho phép bạn kiểm tra các sự kiện, tình trạng hệ thống và hiệu suất của máy tính trong mạng của bạn với thời gian thực, hợp nhất các thông tin như vậy trong một kho chứa trung tâm và tạo các báo cáo web đồ họa MOM 2000 hiện đang là được sử dụng rộng rãi mặc dù vậy nó sẽ dần được thay thế bởi MOM 2005, sản phẩm này có giao diện mới hơn và sự bảo mật tốt hơn, một số rule được nâng cao và cải thiện các báo cáo MOM 2005 cũng hỗ trợ nhiều tính năng khác như sự quốc tế hóa và hỗ trợ tác nhân 64bit
GFI LANguard SELM
GFI LANguard Security Event Log Monitor (SELM) là một công cụ của GFI, công cụ này cho phép bạn quản lý bản ghi sự kiện trên các máy tính điều khiển xa, hợp nhất bản ghi sự kiện từ các máy tính đó vào một khu vực riêng, có thể xem và báo cáo cùng với lọc một cách dễ dàng và đơn giản Bạn cũng có thể tạo chính các báo cảnh theo ý thích của mình dựa trên event ID, nội dung và điều kiện sự kiện, chính vì vậy bạn có thể kiểm tra các vấn đề cụ thể trong toàn mạng SELM thậm chí còn cho phép phân tích các chi tiết sự kiện, những thứ mà ở MOM không có Các sản phẩm của GFI quả thật tuyệt vời và có thể là một giải pháp mà bạn nên chọn khi xem xét các công cụ để kiểm tra và khắc phục sự cố bản ghi sự kiện trong toàn mạng
quantrimang
