Kiểm tra và khắc phục sự cố bằng các bản ghi sự kiện

Bài viết này là những gì thực hành tốt nhất để làm việc với các bản ghi sự kiện của Windows, gồm có cách thông dịch các thông báo sự kiện, cách cấu hình các bản ghi sự kiện, cách tìm kiếm - lọc các sự kiện, cách xem các sự kiện trên hệ thống từ xa, cách sử dụng EventCombMT.exe và các công cụ khác để kiểm tra sự kiện trên đa hệ thống.
Nội dung trích xuất từ tài liệu:
Kiểm tra và khắc phục sự cố bằng các bản ghi sự kiện Kiểm tra và khắc phục sự cố bằng các bản ghi sự kiện Bài viết này là những gì thực hành tốt nhất để làm việc với các bản ghi sự kiện của Windows, gồm có cách thông dịch các thông báo sự kiện, cách cấu hình các bản ghi sự kiện, cách tìm kiếm - lọc các sự kiện, cách xem các sự kiện trên hệ thống từ xa, cách sử dụng EventCombMT.exe và các công cụ khác để kiểm tra sự kiện trên đa hệ thống.Các bản ghi sự kiện trong hệ thống Windows rất hữu dụng cho việckhắc phục sự cố khi có vấn đề nào đó hoặc kiểm tra hiệu suất lẫn hànhvi. Một bản ghi sự kiện là một file có chứa các sự kiện, các sự kiệnđược ghi lại để thông báo cho người dùng một số sự cố có liên quanđến hệ điều hành hoặc các ứng dụng đang chạy trên hệ thống. Một sựkiện gồm có các thông tin về kiểu sự cố và ngày, giờ khi nó xuất hiện,máy tính nơi nó xảy ra và người dùng đã đăng nhập vào thời gian đó,ngoài ra còn có các thông tin khác như event ID, hạng mục sự kiện vànguồn của sự kiện. Các sự kiện cũng có cả các thông tin chi tiết hơn cóliên quan đến sự kiện và có thể một liên kết đến nơi chứa nhiều thôngtin hơn. Hình 1 dưới đây mô phỏng ví dụ về một sự kiện từ bản ghi sựkiện của máy chủ DNS trên Windows Server 2003 domain controller: Hình 1: Ví dụ về một sự kiệnTìm kiếm thêm thông tin về một sự kiệnNếu một sự kiện gồm có một liên kết và bạn kích vào nó, một hộpthoại sẽ được mở và cảnh báo cho bạn rằng thông tin về sự kiện sẽđược gửi đến Microsoft để xem xem chúng có nhiều thông tin có sẵnliên quan đến sự kiện không: Hình 2: Việc gửi thông tin sự kiện đến MicrosoftKích vào Yes để mở Help and Support Center và kiểm tra để xem xemcó bất kỳ thông tin nào nào về sự kiện hay không. Hình 3 thể hiện đápứng điển hình này: Hình 3: Các trợ giúp bổ sung liên quan đến sự kiệnBao nhiêu lần bạn bị nản chí bởi thiếu thông tin hữu dụng được cungcấp theo cách này? Trong ví dụ ở trên, các trợ giúp bổ sung được cungcấp là “this error could be caused by either a high load on the domaincontroller or the failure of other domain controller services” có nghĩa:lỗi này có thể bị gây ra bởi một tải cao trong domain controller hoặc lỗicủa các dịch vụ domain controller khác” và được gợi ý chữa là “restartthe DNS Server service” (khởi động lại dịch vụ) và kiểm tra bản ghi sựkiện xem còn vấn đề gì xảy ra tại cùng thời điểm đó không và có thểđiều đó là một đầu mối.Altair Technologies vẫn duy trì được một trang trợ giúp khá hữu dụngcó tên gọi là EventID.net, đây chính là nơi người dùng có thể tìm kiếnthêm thông tin bổ sung về các sự kiện chưa rõ để có thể giúp bạn làmsáng tỏ được chúng. Trang này là một trang cộng đồng, điều đó cónghĩa rằng người dùng gửi comment của họ có liên quan đến các sựkiện để tạo một cơ sở dữ liệu cộng đồng, sau đó có thể được làm tàiliệu và minh chứng cho những người khác. Nếu bạn tìm kiếmEventID.net để có thông tin về sự kiện ở trên (source = DNS, event ID= 4004) thì bạn sẽ thu được kết quả như hiển thị dưới đây.Hình 4: Việc tìm kiếm EventID.net để có thêm thông tin về sự kiện ID 4004 cho DNS.Tính năng hữu dụng thực sự nằm bên dưới Details, đây chính là nơibạn có thể kích vào liên kết “Comments and links for event id 4004from source DNS” (Các comment và các liên kết cho sự kiện id 4004 từnguồn DNS) để xem các comment đã được gửi bởi người dùng khác:Hình 5: Các comment về sự kiện ID 4004 cho DNS được gửi bởi người dùng cho EventID.netComment cuối cùng đặc biệt hữu dụng vì nó chỉ thị Microsoft đã biết vềtại sao sự kiện này lại xuất hiện và gợi ý nó có thể thường được bỏ quamột cách an toàn. Help and Support không bao giờ bảo cho bạn biếtđiều đó!Cấu hình các bản ghi sự kiệnMột trong những thứ đầu tiên bạn nên thực hiện sau khi cài đặt một hệthống Windows mới là việc cấu hình các bản ghi sự kiện. Vấn đề nàyđặc biệt quan trọng đối với các máy chủ, nơi mà các bản ghi sự kiện cóthể cung cấp thông tin quan trọng để có thể giúp bạn khắc phục sự cốkhi có vấn đề gì đó xảy ra. Trước khi chúng ta xem cách cấu hình cácbản ghi sự kiện như thế nào, hãy xem xét một số thông tin cơ bản vềcác bản ghi có sẵn, bảng 1 sẽ cung cấp cho chúng ta các vấn đề đó: Bản ghi sự Khả năng File bản ghi Chức năng kiện có sẵn Ghi các sự kiện như phân Tất cả các Application AppEvent.evt biệt các hãng hệ thống log phần mềm với Windows nhau Ghi các sự ...