Nhật ký sự kiện Windows là gì? – Hướng dẫn giới thiệu
Nhật ký sự kiện Windows là một tính năng tích hợp sẵn của hệ điều hành Microsoft Windows ghi lại và lưu trữ các sự kiện hệ thống, bảo mật và ứng dụng khác nhau xảy ra trên máy tính.
Những sự kiện này có thể bao gồm lỗi, cảnh báo và thông báo thông tin. Sử dụng nhật ký sự kiện này, quản trị viên có thể khắc phục sự cố, theo dõi tình trạng hệ thống và theo dõi hoạt động của người dùng.
Nhật ký sự kiện Windows được tổ chức thành ba loại chính:
Hệ thống, Ứng dụng và Bảo mật.
Nhật ký ứng dụng chứa các sự kiện liên quan đến ứng dụng và dịch vụ, trong khi Nhật ký hệ thống bao gồm các sự kiện liên quan đến các thành phần và trình điều khiển hệ thống. Phiên đăng nhập, lần đăng nhập không thành công và các sự cố liên quan đến bảo mật khác được ghi lại trong Nhật ký bảo mật.
Các mục nhật ký sự kiện cửa sổ này bao gồm thông tin chi tiết như ngày và giờ xảy ra sự kiện, nguồn gốc của sự kiện và mọi mã lỗi có liên quan.
Nhật ký sự kiện Windows Tầm quan trọng
Vai trò của giám sát nhật ký sự kiện là rất quan trọng đối với các kỹ sư mạng và hệ thống vì nó cho phép họ được thông báo về mọi sự cố, hoạt động bất hợp pháp, sự cố mạng và các sự cố quan trọng khác có thể phát sinh bên trong máy tính.
Nó cung cấp chi tiết đầy đủ về từng sự kiện, bao gồm nguồn gốc, tên người dùng, mức độ nhạy cảm và thông tin khác. Thông tin này có thể rất hữu ích trong việc xác định và giải quyết các lỗi cấu trúc, cũng như dự đoán các thách thức sắp tới dựa trên các mẫu dữ liệu.
Quản trị viên mạng có thể phát hiện và xử lý các sự cố một cách hiệu quả trước khi chúng trở nên nghiêm trọng bằng cách theo dõi nhật ký sự kiện. Điều này có thể tiết kiệm rất nhiều thời gian và công sức khi điều tra và khắc phục sự cố. Điều này có thể giúp đảm bảo rằng các hệ thống tiếp tục an toàn, đáng tin cậy và hoạt động tốt nhất.
Làm cách nào để truy cập Nhật ký sự kiện Windows?
#1. Sử dụng GUI
Bước 1 – Mở menu Bắt đầu và tìm kiếm “Trình xem sự kiện”.
Bước 2 – Nhấp vào ứng dụng Trình xem sự kiện để mở.
Bước 3 – Trong bảng ngoài cùng bên trái, bạn sẽ thấy một danh sách các bản ghi sự kiện. Chọn tùy chọn Nhật ký Windows và sau đó nhấp vào nhật ký mong muốn để xem.
Bước 4 – Trong bảng điều khiển ở giữa, bạn có thể thấy danh sách các sự kiện cho nhật ký đã chọn. Bạn có thể sử dụng các tùy chọn bộ lọc ở bên phải màn hình để thu hẹp các sự kiện mà bạn quan tâm.
Bước 5 – Để xem chi tiết của một sự kiện, nhấp đúp vào nó. Thao tác này sẽ mở hộp thoại Thuộc tính sự kiện chứa thông tin chi tiết về ID sự kiện, nguồn, mức độ nghiêm trọng, ngày và giờ, tên người dùng, tên máy tính và mô tả.
Bước 6 – Bạn có thể sử dụng các tùy chọn menu và thanh công cụ ở đầu màn hình để thực hiện các hành động khác nhau như lưu và xóa nhật ký, tạo chế độ xem tùy chỉnh và lọc sự kiện.
#2. Sử dụng Dấu nhắc Lệnh
Bạn có thể truy cập Nhật ký sự kiện Windows bằng Dấu nhắc lệnh hoặc PowerShell bằng cách sử dụng lệnh “wevtutil”. Dưới đây là một số ví dụ.
- Để hiển thị tất cả các sự kiện trong Nhật ký hệ thống
wevtutil qe System
- Để hiển thị các sự kiện trong Nhật ký ứng dụng
wevtutil qe Application
Đầu ra có thể trông như thế này.
- Để hiển thị tất cả các sự kiện trong Nhật ký bảo mật
wevtutil qe Security
- Để hiển thị các sự kiện từ một nguồn cụ thể trong Nhật ký hệ thống.
wevtutil qe System /f:text /c:1 /rd:true /q:"*[System[Provider[@Name="source_name"]]]"
Tại đây, bạn cần thay thế “source_name” bằng tên của nguồn sự kiện mà bạn muốn xem.
- Để xuất các sự kiện từ nhật ký sang tệp
wevtutil epl System C:LogsSystemLog.evtx
Thay thế “System” bằng tên của nhật ký bạn muốn xuất và “C:LogsSystemLog.evtx” bằng đường dẫn và tên tệp mà bạn muốn lưu nhật ký đã xuất.
#3. Sử dụng Chạy
Bạn cũng có thể truy cập Windows Event Log bằng hộp thoại Run trong Windows. Đây là cách:
Bước 1 – Nhấn “Phím Windows + R” trên bàn phím của bạn để mở hộp thoại Run.
Bước 2 – Nhập “eventvwr.msc” vào hộp thoại Run và nhấn Enter.
Bước 3 – Tiện ích Trình xem sự kiện sẽ mở và hiển thị cửa sổ bảng điều khiển chính.
Bước 4 – Trong cửa sổ bảng điều khiển bên trái, bạn có thể mở rộng thư mục “Nhật ký Windows” để xem các nhật ký Hệ thống, Ứng dụng, Bảo mật, Thiết lập và các nhật ký khác.
Bước 5 – Nhấp vào nhật ký bạn muốn xem nội dung của nó trong bảng bên phải. Bạn có thể lọc và sắp xếp các sự kiện cũng như tạo các chế độ xem tùy chỉnh và lưu chúng để sử dụng trong tương lai.
Khi nào sử dụng các Nhật ký sự kiện này?
Nói chung, Bạn có thể sử dụng Nhật ký Sự kiện Windows bất cứ khi nào bạn cần theo dõi, khắc phục sự cố hoặc kiểm tra các sự kiện trên hệ thống Windows. Dưới đây là một số tình huống cụ thể mà bạn có thể sử dụng nó.
Giám sát sức khỏe hệ thống
Nhật ký sự kiện Windows có thể cung cấp thông tin có giá trị về lỗi hệ thống, cảnh báo và các vấn đề về hiệu suất, cho phép bạn chủ động theo dõi và duy trì tình trạng của hệ thống.
khắc phục sự cố
Khi bạn gặp sự cố trên hệ thống Windows, Nhật ký sự kiện có thể cung cấp dấu hiệu về nguyên nhân và giúp bạn chẩn đoán sự cố. Bằng cách phân tích nhật ký sự kiện, bạn có thể dễ dàng xác định nguyên nhân cốt lõi của sự cố và thực hiện các bước để giải quyết vấn đề đó.
Kiểm tra và theo dõi hoạt động của người dùng
Nhật ký bảo mật trong Nhật ký sự kiện có thể được sử dụng để theo dõi thông tin đăng nhập của người dùng, đăng xuất, lần đăng nhập không thành công và các sự kiện liên quan đến bảo mật khác, có thể giúp bạn xác định các mối đe dọa bảo mật tiềm ẩn và thực hiện hành động thích hợp.
Báo cáo tuân thủ
Nhiều khung pháp lý như HIPAA, PCI-DSS và GDPR yêu cầu các tổ chức duy trì nhật ký sự kiện và cung cấp báo cáo thường xuyên. Nhật ký sự kiện Windows có thể được sử dụng để đáp ứng các yêu cầu tuân thủ này.
Làm cách nào để đọc các Nhật ký sự kiện này?
Lúc đầu, có thể hơi khó đọc Nhật ký sự kiện Windows, nhưng với đủ thực hành và sự quen thuộc, việc hiểu dữ liệu mà nó cung cấp sẽ trở nên đơn giản hơn. Dưới đây là một số bước chung để làm theo khi đọc Nhật ký sự kiện Windows.
#1. Mở Nhật ký sự kiện
Bước đầu tiên là mở nhật ký sự kiện. Bạn có thể truy cập nó bằng cách sử dụng bất kỳ phương pháp nào nêu trên.
#2. Điều hướng đến nhật ký thích hợp
Có một số nhật ký trong Trình xem sự kiện, bao gồm nhật ký Ứng dụng, Hệ thống, Bảo mật và Thiết lập. Mỗi nhật ký chứa các loại sự kiện khác nhau. Chọn nhật ký chứa các sự kiện bạn muốn xem.
#3. Lọc sự kiện
Bạn có thể lọc các sự kiện theo mức độ nghiêm trọng, nguồn sự kiện, phạm vi ngày và các tiêu chí khác. Điều này có thể giúp bạn thu hẹp các sự kiện mà bạn quan tâm.
#4. Xem chi tiết sự kiện
Kiểm tra cẩn thận từng sự kiện để xem thông tin chi tiết, bao gồm ID sự kiện, nguồn, mức độ nghiêm trọng, ngày và giờ, tên người dùng, tên máy tính và mô tả. Thông tin này có thể giúp bạn xác định nguyên nhân của sự kiện và thực hiện hành động thích hợp.
#5. Sử dụng thuộc tính sự kiện
Nhiều sự kiện có các thuộc tính bổ sung cung cấp thêm thông tin về sự kiện.
Ví dụ: một sự kiện bảo mật có thể có các thuộc tính như loại đăng nhập, quy trình đăng nhập và gói xác thực. Các thuộc tính này có thể giúp bạn hiểu bối cảnh của sự kiện và tầm quan trọng của nó.
#5. Phân tích các mẫu
Luôn cố gắng tìm kiếm các mẫu trong các sự kiện để xác định các vấn đề hoặc xu hướng lặp lại. Ví dụ: nếu bạn thấy một loạt lỗi đĩa, điều đó có thể cho biết có vấn đề với cấu hình hoặc phần cứng đĩa.
Mức độ nghiêm trọng của sự kiện Windows
Windows Event Log sử dụng các mức độ nghiêm trọng để phân loại các sự kiện dựa trên tầm quan trọng hoặc tác động của chúng đối với hệ thống. Có năm mức độ nghiêm trọng trong Nhật ký sự kiện Windows, được liệt kê bên dưới từ mức độ nghiêm trọng cao nhất đến thấp nhất:
- Nghiêm trọng: Mức độ nghiêm trọng này được dành riêng cho các sự kiện cho biết lỗi hệ thống hoặc ứng dụng quan trọng cần được chú ý ngay lập tức. Ví dụ bao gồm sự cố hệ thống, lỗi phần cứng lớn và lỗi ứng dụng quan trọng.
- Lỗi: Nó được sử dụng cho các sự kiện chỉ ra một vấn đề nghiêm trọng cần được chú ý nhưng không nhất thiết phải hành động ngay lập tức. Một số ví dụ phổ biến là sự cố ứng dụng, lỗi kết nối mạng và lỗi đĩa.
- Cảnh báo: Nó cho biết một vấn đề tiềm ẩn mà quản trị viên hệ thống nên theo dõi, bao gồm cảnh báo dung lượng ổ đĩa thấp và vi phạm chính sách bảo mật.
- Chi tiết: Nó được sử dụng cho các sự kiện cung cấp thông tin chi tiết về hoạt động của hệ thống hoặc ứng dụng, thường cho mục đích khắc phục sự cố hoặc gỡ lỗi.
- Thông tin: Nó cho thấy rằng mọi thứ diễn ra suôn sẻ. Hầu như tất cả các bản ghi bao gồm các sự kiện thông tin.
Các mức độ nghiêm trọng này cho phép quản trị viên và nhà phân tích hệ thống nhanh chóng xác định các vấn đề nghiêm trọng cần được chú ý và ưu tiên phản hồi tương ứng.
Kết luận ✍️
Tôi hy vọng bạn thấy bài viết này hữu ích trong việc tìm hiểu về nhật ký sự kiện cửa sổ và tầm quan trọng của nó. Bạn cũng có thể muốn tìm hiểu về các cách khác nhau để khôi phục dữ liệu đã xóa trong Windows 11.
