Trình xem sự kiện là một công cụ Quản trị ghi lại các sự kiện xảy ra trên máy tính của bạn. Khi hệ thống hoặc ứng dụng gặp phải bất kỳ lỗi, lỗi hoặc sự cố bảo mật nào, nhật ký sự kiện sẽ có thông tin gây ra sự cố. Mặc dù nó không giải quyết được vấn đề trong tay, nhưng Nhật ký sự kiện cung cấp cho bạn thông tin cần thiết để bắt đầu quá trình khắc phục sự cố.
Hiểu Bố cục Trình xem Sự kiện
Trong cửa sổ Trình xem Sự kiện, bạn sẽ xem ba tấm. Phần bên trái là bảng điều hướng, phần ở giữa hiển thị chi tiết sự kiện và phần bên phải để thực hiện các hành động như lưu hoặc tải nhật ký sự kiện.
Bảng Điều hướng
Bảng Điều hướng là bảng bên trái nơi nhật ký sự kiện được phân loại thành ba thư mục cụ thể. Các thư mục này phổ biến trong tất cả các phiên bản và ấn bản của Windows. Đây là Chế độ xem tùy chỉnh, Nhật ký Windows cũng như Nhật ký ứng dụng và dịch vụ.
Nhật ký Windows theo dõi mọi sự kiện từ HĐH Windows và chứa danh sách các danh mục nhật ký sự kiện sau:
Ứng dụng: Nhật ký từ ứng dụng Hệ thống: Nhật ký được tạo bởi Hệ điều hành Bảo mật: Sự kiện đăng nhập Thiết lập: Nhật ký Sự kiện hiệu suất thiết lập Windows Sự kiện được chuyển tiếp: Sự kiện được chuyển tiếp bởi PC từ xa
Nhật ký ứng dụng và dịch vụ chứa các sự kiện từ kết nối/cảnh báo phần cứng, thứ ba-ứng dụng của bên và sự kiện PowerShell.
Cuối cùng, bất kỳ bộ lọc tùy chỉnh nào bạn tạo thông qua bảng hành động sẽ được lưu trữ trong nhật ký sự kiện Chế độ xem tùy chỉnh. Theo mặc định, phần này sẽ có một danh mục phụ có tên là Sự kiện quản trị. Bạn có thể sử dụng tính năng này để xem tất cả các sự kiện Quan trọng, Cảnh báo và Lỗi từ lịch sử nhật ký.
Nhật ký sự kiện tùy chỉnh có tên Sự kiện quản trị được tạo tự động trên tất cả các phiên bản Windows.
Trên Bảng điều hướng, nếu bạn nhấp vào Trình xem sự kiện (Cục bộ), bạn sẽ nhận được Tổng quan và Tóm tắt trong bảng Chi tiết. Tại đây, bạn có thể xem nhanh tất cả các sự kiện quản trị, nhật ký được xem gần đây và Tóm tắt nhật ký.
Bảng sự kiện
Bảng Sự kiện hiển thị danh sách nhật ký sự kiện đã ghi và cấp độ của sự kiện đã ghi cho dù đó là sự kiện hay không. thông tin, cảnh báo, lỗi, hoặc quan trọng. Trong số này, nhật ký sự kiện cho biết Lỗi phải được ưu tiên cao và cần được xem xét ngay lập tức.
Nếu bạn nhấp đúp vào các sự kiện, một hộp thoại mới sẽ mở ra hiển thị tất cả các thuộc tính của sự kiện. Nó chứa một mô tả nhật ký cùng với nhiều mục. Trong số các mục này, Tên nhật ký, Nguồn, ID sự kiện, Đã ghi, Cấp độ và Mã hoạt động là một số mục quan trọng.
Đã ghi ghi ngày và giờ của nhật ký sự kiện và đó là một trong những quan trọng nhất. Bạn có thể lưu ý ngày giờ xảy ra sự cố hệ thống hoặc khi hệ thống gặp sự cố và so sánh với Đã ghi để xác định nhật ký sự kiện đã ghi. Sau khi bạn có nhật ký sự kiện, hãy kiểm tra Tên nhật ký của nó. Sử dụng Tên nhật ký, bạn có thể xác định xem nhật ký là từ ứng dụng, bảo mật, thiết lập, hệ thống hay các sự kiện được chuyển tiếp. Cột Mức độ cho biết nhật ký sự kiện là cảnh báo, lỗi hay chỉ là thông tin. Chúng tôi khuyên bạn nên kiểm tra mô tả nhật ký, ID sự kiện và Nguồn. ID và Nguồn sự kiện là những thứ bạn cần để xác định chi tiết chính xác của nhật ký sự kiện đã ghi.
Bảng điều khiển hành động
Hành động sự kiện cho phép bạn thực hiện các hành động như lưu nhật ký, mở nhật ký đã lưu, tạo chế độ xem tùy chỉnh, xóa nhật ký sự kiện, lọc nhật ký hiện tại và xem các thuộc tính của nhật ký đã chọn.
Lưu và mở nhật ký sự kiện
Việc lưu nhật ký Sự kiện cho phép bạn lấy thông tin chi tiết về sự kiện và xem chúng trên một PC khác. Để lưu nhật ký trong trình xem sự kiện,
Trong bảng điều khiển bên trái, hãy chọn danh mục nhật ký sự kiện mà bạn muốn lưu. Bây giờ, trên bảng bên phải, hãy nhấp vào Lưu tất cả sự kiện dưới dạng.
Chọn vị trí tệp mà bạn muốn lưu tệp sự kiện của mình và đặt tên cho tệp.
Để mở nhật ký đã lưu,
Nhấp vào Mở nhật ký đã lưu ở bên phải Cửa sổ Trình xem sự kiện.
Bây giờ duyệt tìm tệp sự kiện có.evtx,.evt hoặc phần mở rộng.etl.
Sau khi bạn mở nhật ký đã lưu, danh mục nhật ký có tên Nhật ký đã lưu sẽ xuất hiện trên bảng Trình xem sự kiện nằm ở phía bên trái.
Lọc nhật ký sự kiện và tạo chế độ xem tùy chỉnh
Theo lọc nhật ký, trình xem sự kiện sẽ trích xuất các sự kiện không khớp với thuộc tính sự kiện được đặt trên bộ lọc tùy chỉnh. Để đặt bộ lọc trong Trình xem sự kiện,
Chọn danh mục nhật ký sự kiện mà bạn muốn lọc. Nhấp vào Lọc nhật ký hiện tại trên bảng Tác vụ.
Tại đây, điền vào Đã ghi, Cấp độ sự kiện, Nguồn sự kiện, ID sự kiện và các danh mục khác tùy thuộc vào những gì bạn muốn lọc ra.
Nhấp vào OK. Bây giờ, bạn sẽ chỉ nhận được nhật ký sự kiện đã lọc.
Lưu ý: Bạn không thể lọc nhật ký sự kiện bên trong Chế độ xem tùy chỉnh vì các nhật ký này đã được lọc.
Tạo chế độ xem Tùy chỉnh hoạt động tương tự như lọc nhật ký sự kiện. Tuy nhiên, khi tạo nhật ký tùy chỉnh, nó sẽ tạo danh mục nhật ký mới trong Chế độ xem tùy chỉnh. Tạo Chế độ xem tùy chỉnh đặc biệt hữu ích khi bạn chỉ muốn xem nhật ký sự kiện đã lọc.
Làm cách nào để kiểm tra nhật ký sự kiện?
Sự kiện quản trị trong Chế độ xem tùy chỉnh lọc tất cả Quan trọng, Cảnh báo và các sự kiện Lỗi từ toàn bộ lịch sử nhật ký. Do đó, đây là điều đầu tiên bạn cần kiểm tra khi hệ thống gặp lỗi hoặc gặp sự cố.
Nhật ký sự kiện tùy chỉnh có tên Sự kiện quản trị được tạo tự động trên tất cả các phiên bản Windows.
Lưu ý: Bạn cần có ngày giờ chính xác xảy ra sự cố/lỗi hệ thống để kiểm tra nhật ký sự kiện.
Nhấn phím Windows + R để mở Run. Nhập eventvwr rồi nhấn OK.
Ngoài ra, bạn cũng có thể nhấp chuột phải vào biểu tượng Windows trên thanh tác vụ và chọn Trình xem sự kiện. Trong Trình xem sự kiện, hãy mở rộng Chế độ xem tùy chỉnh và nhấp vào Sự kiện quản trị. Trong bảng ở giữa, hãy so sánh ngày và giờ xảy ra lỗi hệ thống với Cột Ngày và Giờ. Nhấp đúp vào nhật ký sự kiện khớp với ngày và giờ xảy ra sự cố/lỗi.
Lưu ý Tên nhật ký, ID sự kiện và Nguồn. ID sự kiện khác nhau đối với từng danh mục Nhật ký sự kiện.
Nếu Tên nhật ký hiển thị Ứng dụng, Bảo mật, Thiết lập, Hệ thống hoặc Sự kiện được chuyển tiếp, hãy mở rộng Nhật ký Windows và nhấp vào danh mục nhật ký (Tên nhật ký) mà bạn đã lưu ý trong Bước 7.
Nếu Tên Nhật ký hiển thị một số tên khác, hãy mở rộng Nhật ký Ứng dụng và Dịch vụ trong bảng điều hướng. Tại đây, bạn cần tìm danh mục nhật ký (Tên nhật ký) từ Bước 7.
Bây giờ, trong bảng chi tiết sự kiện, hãy tìm kiếm sự kiện theo ngày và giờ xảy ra lỗi hệ thống. Khi bạn tìm thấy nhật ký sự kiện khớp với sự kiện từ Bước 6, hãy kiểm tra các sự kiện khác dẫn đến nhật ký sự cố hệ thống. Bạn cũng có thể tìm kiếm trên internet hoặc trang tài liệu chính thức của Microsoft cho ID và Nguồn sự kiện để xác định nguyên nhân chính xác của nhật ký lỗi.
Thời gian lưu giữ người xem sự kiện
Khoảng thời gian lưu giữ mặc định cho các sự kiện trong một danh mục nhật ký sự kiện là khoảng 20 MB. Và vì các nhật ký sự kiện này được nhập theo chính sách FIFO (Nhập trước xuất trước), các mục nhập được ghi trước sẽ bị xóa trước khi đạt đến giới hạn 20 MB.
Tuy nhiên, bạn có thể tăng tỷ lệ giữ chân người xem sự kiện kích thước nếu bạn muốn ghi thêm nhật ký sự kiện.
Chọn danh mục nhật ký sự kiện có kích thước lưu giữ mà bạn muốn thay đổi. Nhấp chuột phải và chọn Thuộc tính.
Thay đổi Kích thước nhật ký tối đa để ghi lại số lượng sự kiện cao hơn.
Tại đây, bạn cũng có thể kiểm tra kích thước nhật ký hiện tại, được tạo, sửa đổi, và dữ liệu đã truy cập, đường dẫn nhật ký cũng như hành động của hệ thống khi đạt đến kích thước nhật ký sự kiện tối đa.