Nhật ký sự kiện hệ thống Windows là một tính năng tích hợp sẵn của hệ điều hành Microsoft Windowsghi lại và lưu trữ các sự kiện hệ thống, bảo mật và ứng dụng khác nhau xảy ra trên máy tính của bạn.
Những sự kiện này có thể bao gồm lỗi, cảnh báo và thông báo. Bằng cách sử dụng nhật ký sự kiện này, quản trị viên có thể khắc phục sự cố, theo dõi tình trạng hệ thống và theo dõi hoạt động của người dùng.
Nhật ký sự kiện hệ thống Windows được chia thành ba loại chính:
Hệ thống, ứng dụng và bảo mật.
Nhật ký ứng dụng chứa các sự kiện liên quan đến ứng dụng và dịch vụ, trong khi nhật ký hệ thống chứa các sự kiện liên quan đến thành phần hệ thống và trình điều khiển. Các phiên đăng nhập, các lần đăng nhập không thành công và các sự cố bảo mật khác đều được ghi lại trong nhật ký bảo mật.
Các mục nhật ký sự kiện hệ thống này Windows chứa thông tin chi tiết như ngày và giờ xảy ra sự kiện, nguồn của sự kiện và mọi mã lỗi liên quan.
Hiệu lực của nhật ký sự kiện hệ thống Windows
Vai trò của giám sát nhật ký sự kiện là rất quan trọng đối với các kỹ sư hệ thống và mạng vì nó cho phép họ theo kịp mọi vấn đề, hoạt động bất hợp pháp, mất mạng và các vấn đề quan trọng khác có thể phát sinh bên trong máy tính.
Nó chứa thông tin đầy đủ về từng sự kiện, bao gồm nguồn gốc, tên người dùng, mức độ nhạy cảm và các thông tin khác. Thông tin này có thể rất hữu ích trong việc xác định và khắc phục các lỗi cấu trúc, cũng như dự báo những thách thức sắp tới dựa trên các mẫu dữ liệu.
Quản trị viên mạng có thể phát hiện và khắc phục sự cố một cách hiệu quả trước khi chúng trở nên nghiêm trọng bằng cách quan sát nhật ký sự kiện. Điều này có thể giúp bạn tiết kiệm rất nhiều thời gian và công sức khi nghiên cứu và giải quyết vấn đề. Điều này có thể giúp đảm bảo rằng các hệ thống tiếp tục được an toàn, đáng tin cậy và hiệu quả.
Cách truy cập nhật ký sự kiện hệ thống Windows?
# 1. Sử dụng GUI
Bước chân 1 – Mở menu Bắt đầu và tìm kiếm “Trình xem sự kiện”.
Bước chân 2 – Bấm vào ứng dụng Event Viewer để mở.
Bước chân 3 – Ở bảng ngoài cùng bên trái bạn sẽ thấy danh sách nhật ký sự kiện. Chọn nhật ký hệ thống Windowssau đó nhấp vào nhật ký mong muốn để xem.
Bước chân 4 – Ở bảng giữa, bạn có thể xem danh sách các sự kiện của nhật ký đã chọn. Bạn có thể sử dụng các tùy chọn bộ lọc ở bên phải màn hình để thu hẹp các sự kiện bạn quan tâm.
Bước chân 5 – Để xem chi tiết sự kiện, nhấp đúp chuột vào sự kiện đó. Thao tác này sẽ mở hộp thoại Thuộc tính sự kiện, trong đó chứa thông tin chi tiết về ID sự kiện, nguồn, mức độ nghiêm trọng, ngày giờ, tên người dùng, tên máy tính và mô tả.
Bước chân 6 – Bạn có thể sử dụng các tùy chọn menu và thanh công cụ ở đầu màn hình để thực hiện nhiều hành động khác nhau, chẳng hạn như lưu và xóa nhật ký, tạo chế độ xem tùy chỉnh và lọc sự kiện.
#2. Sử dụng dòng lệnh
Truy cập vào nhật ký sự kiện hệ thống Windows có thể được truy cập thông qua Dấu nhắc Lệnh hoặc PowerShell bằng cách sử dụng “wevtutil”. Dưới đây là một số ví dụ.
- Để xem tất cả các sự kiện trong nhật ký hệ thống
wevtutil qe System
- Để xem các sự kiện trong nhật ký ứng dụng
wevtutil qe Application
Đầu ra có thể trông như thế này.
- Để xem tất cả các sự kiện trong nhật ký bảo mật
wevtutil qe Security
- Để xem các sự kiện từ một nguồn cụ thể trong nhật ký hệ thống.
wevtutil qe System /f:text /c:1 /rd:true /q:"*[System[Provider[@Name="source_name"]]]"
Tại đây bạn cần thay “source_name” bằng tên của nguồn sự kiện mà bạn muốn hiển thị.
- Để xuất sự kiện nhật ký vào một tệp
wevtutil epl System C:LogsSystemLog.evtx
Thay thế “System” bằng tên nhật ký bạn muốn xuất và “C:LogsSystemLog.evtx” bằng đường dẫn và tên tệp nơi bạn muốn lưu nhật ký đã xuất.
#3. Sử dụng chức năng Chạy
Truy cập vào nhật ký sự kiện hệ thống Windows cũng có thể được truy cập thông qua hộp thoại Run trên hệ thống của bạn Windows. Đây là cách thực hiện:
Bước chân 1 – Cắm chìa khóaWindows + R” trên bàn phím để mở hộp thoại Run.
Bước chân 2 – Gõ “eventvwr.msc” vào hộp thoại Run rồi nhấn Enter.
Bước chân 3 – Trình xem sự kiện mở và hiển thị cửa sổ bảng điều khiển chính.
Bước chân 4 – Trong cửa sổ console bên trái, bạn có thể mở rộng thư mục “System Logs Windowsđể xem nhật ký hệ thống, ứng dụng, bảo mật, cấu hình và các nhật ký khác.
Bước chân 5 – Bấm vào nhật ký bạn muốn xem ở khung bên phải. Bạn có thể lọc và sắp xếp các sự kiện cũng như tạo chế độ xem tùy chỉnh và lưu chúng để sử dụng sau này.
Khi nào nên sử dụng các nhật ký sự kiện này?
Nói chung, nhật ký sự kiện hệ thống Windows có thể được sử dụng bất cứ khi nào bạn cần giám sát, khắc phục sự cố hoặc kiểm tra các sự kiện trên hệ thống của mình Windows. Dưới đây là một số tình huống cụ thể mà bạn có thể sử dụng nó.
Giám sát sức khỏe hệ thống
Nhật ký sự kiện hệ thống Windows có thể cung cấp thông tin có giá trị về lỗi hệ thống, cảnh báo và các vấn đề về hiệu suất, cho phép bạn chủ động theo dõi và duy trì tình trạng hệ thống.
Xử lý sự cố
Khi gặp sự cố trong hệ thống Windows, nhật ký sự kiện có thể xác định nguyên nhân và giúp chẩn đoán sự cố. Bằng cách phân tích nhật ký sự kiện, bạn có thể dễ dàng xác định nguyên nhân gốc rễ của sự cố và thực hiện các bước để giải quyết sự cố.
Kiểm tra và theo dõi hoạt động của người dùng
Nhật ký bảo mật trong nhật ký sự kiện có thể được sử dụng để theo dõi thông tin đăng nhập, đăng xuất của người dùng, các lần đăng nhập không thành công và các sự kiện khác liên quan đến bảo mật, có thể giúp bạn xác định các rủi ro bảo mật tiềm ẩn và thực hiện hành động thích hợp.
Báo cáo tuân thủ
Nhiều khung pháp lý như HIPAA, PCI-DSS và GDPR yêu cầu các tổ chức phải lưu giữ nhật ký sự kiện và cung cấp báo cáo thường xuyên. Bạn có thể sử dụng nhật ký sự kiện hệ thống để đáp ứng các yêu cầu tuân thủ này Windows.
Làm cách nào để đọc các nhật ký sự kiện này?
Đầu tiên, hãy đọc nhật ký sự kiện hệ thống Windows nó có thể hơi phức tạp một chút, nhưng nếu thực hành đủ và quen thuộc, bạn sẽ dễ dàng hiểu được dữ liệu mà nó cung cấp hơn. Dưới đây là một số bước chung cần tuân theo khi đọc nhật ký sự kiện hệ thống Windows.
# 1. Mở nhật ký sự kiện
Bước đầu tiên là mở nhật ký sự kiện. Bạn có thể truy cập nó bằng bất kỳ phương pháp nào được đề cập ở trên.
#2. Đi tới nhật ký thích hợp
Có một số nhật ký trong Trình xem sự kiện, bao gồm nhật ký ứng dụng, hệ thống, bảo mật và cài đặt. Mỗi nhật ký chứa các loại sự kiện khác nhau. Chọn nhật ký chứa các sự kiện bạn muốn xem.
#3. Lọc sự kiện
Bạn có thể lọc các sự kiện theo mức độ nghiêm trọng, nguồn sự kiện, phạm vi ngày, v.v. Điều này sẽ giúp bạn thu hẹp danh sách các sự kiện mà bạn quan tâm.
#4. Xem chi tiết sự kiện
Kiểm tra kỹ từng sự kiện để xem thông tin chi tiết, bao gồm ID sự kiện, nguồn, mức độ nghiêm trọng, ngày và giờ, tên người dùng, tên máy tính và mô tả. Thông tin này có thể giúp xác định nguyên nhân của sự cố và thực hiện hành động thích hợp.
#5. Sử dụng thuộc tính sự kiện
Nhiều sự kiện có các thuộc tính bổ sung cung cấp thêm thông tin về sự kiện.
Ví dụ: một sự kiện bảo mật có thể có các thuộc tính như loại đăng nhập, quy trình đăng nhập và bộ xác thực. Những thuộc tính này có thể giúp bạn hiểu bối cảnh của sự kiện và ý nghĩa của nó.
#5. Phân tích mẫu
Luôn cố gắng tìm kiếm các mô hình trong các sự kiện để xác định các vấn đề hoặc xu hướng tái diễn. Ví dụ: nếu bạn thấy một loạt lỗi ổ đĩa, có thể có vấn đề về phần cứng hoặc cấu hình ổ đĩa.
Mức độ nghiêm trọng của sự kiện hệ thống Windows
Nhật ký sự kiện hệ thống Windows sử dụng mức độ nghiêm trọng để phân loại các sự kiện dựa trên mức độ nghiêm trọng hoặc tác động của chúng lên hệ thống. Có năm mức độ nghiêm trọng trong nhật ký sự kiện hệ thống Windowsđược liệt kê dưới đây từ tầm quan trọng cao nhất đến thấp nhất:
- Nghiêm trọng: Mức độ nghiêm trọng này được dành riêng cho các sự kiện cho thấy lỗi hệ thống hoặc ứng dụng nghiêm trọng cần được chú ý ngay lập tức. Ví dụ bao gồm sự cố hệ thống, lỗi phần cứng lớn và lỗi ứng dụng nghiêm trọng.
- Lỗi: Được sử dụng cho các sự kiện cho thấy một vấn đề nghiêm trọng cần được chú ý nhưng không nhất thiết phải hành động ngay lập tức. Một số ví dụ phổ biến là sự cố ứng dụng, lỗi kết nối mạng và lỗi ổ đĩa.
- Cảnh báo: Cho biết sự cố tiềm ẩn mà quản trị viên hệ thống cần lưu ý, bao gồm cảnh báo dung lượng ổ đĩa thấp và vi phạm bảo mật.
- Verbose: Được sử dụng cho các sự kiện cung cấp thông tin chi tiết về hoạt động của hệ thống hoặc ứng dụng, thường nhằm mục đích khắc phục sự cố hoặc gỡ lỗi.
- Lưu ý: Nó cho thấy mọi thứ diễn ra suôn sẻ. Hầu như tất cả các nhật ký đều chứa các sự kiện mang tính thông tin.
Các mức độ nghiêm trọng này cho phép quản trị viên và nhà phân tích hệ thống nhanh chóng xác định các vấn đề quan trọng cần được chú ý và ưu tiên ứng phó tương ứng.
Kết luận ✍️
Tôi hy vọng bài viết này hữu ích trong việc tìm hiểu nhật ký sự kiện hệ thống Windows và ý nghĩa của nó. Bạn cũng có thể muốn biết các cách khác nhau để khôi phục dữ liệu đã xóa trên hệ thống của mình Windows 11.
