Nhân một thành viên bên diễn đàn
đề nghị được giải đáp về dịch vụ event log của Windows,
tiện gửi luôn ở V-Z, cho các bạn muốn tìm hiểu về nó:
Kiểm tra xem máy đã được bật bao lâu trong phiên hiện hành:
Các bạn vào cmd (start-run-cmd), gõ:
systeminfo
Tìm tới dòng thông báo sau:
Xem thông tin chi tiết với dịch vụ Event log:
Event log là một dịch vụ của XP. Để mở trình quản lý dịch vụ trong Windows XP, các bạn vào Start/Run và gõ:
"services.msc"
Event log là dịch vụ nhằm ghi lại những họat động các phần mềm, sự cố, bảo mật trên máy. các bạn có thể xem qua:
1. Click Start, click Control Panel. Click Performance and Maintenance, click Administrative Tools, double-click Computer Management.
2. Từ bảng điều khiển dạng cây, mở rộng Event Viewer, rồi click bản ghi (log) chứa sự kiện mà các bạn muốn view.
3. Tại bảng hiển thị chi tiết, nhấp đúp sự kiện các bạn muốn xem.
Hộp thoại Event Properties chứa Event Header và mô tả của sự kiện đã được hiển thị.
Event header chứa những thông tin sau:
Date
Ngày sự kiện diễn ra.
• Time
Thời gian sự kiện diễn ra.
• User
User name đã Logon khi sự kiện diễn ra.
• Computer
Tương tự user name với tên của Computer.
• Event ID
Một event number nhằm nhận dạng kiểu sự kiện (event type). Event ID có thể được sử dụng giúp đỡ bởi chương trình hỗ trợ nhằm tìm ra nguyên nhân gây ra lỗi.
• Source
Nguồn gốc sự kiện. Có thể là tên một chương trình, một thành phần hệ thống (system component), hoặc một thành phần của một chương trình lớn.
• Type
Kiểu sự kiện. Có thể là 1 trong 5 loại sự kiện: Error, Warning, Information, Success Audit, hoặc Failure Audit.
• Category
Một phân loại sự kiện theo nguồn gốc sự kiện. Được sử dụng chủ yếu trong security log.
Để copy chi tiết một sự kiện, click nút Copy, rồi mở một new document bằng một chương trình soạn thảo văn bản bất kì các bạn muốn lưu nội dung sự kiện đó (chẳng hạn Microsoft Word), rồi click Paste từ Edit menu.
Để xem mô tả của sự kiện trước đó hoặc tiếp theo, các bạn click chuột vào mũi tên lên hoặc mũi tên xuống (UP ARROW hoặc DOWN ARROW).
Các Application, Security, và System logs sẽ được hiển thị ở cửa sổ Event Viewer window.
Chú ý quan trọng là có một số các bạn tắt bớt dịch vụ này, nhằm tăng tốc khởi động máy tính. Ý kiến cá nhân Lãng khách đưa ra là không nên tắt dịch vụ này vì nếu tắt không những không làm cho máy khởi động nhanh hơn mà còn làm cho máy khởi động chậm hơn rất nhiều.
Sơ qua về Event log:
Các bản ghi sự kiện trong hệ thống Windows rất hữu dụng cho việc khắc phục sự cố khi có vấn đề nào đó hoặc kiểm tra hiệu suất lẫn hành vi. Một bản ghi sự kiện là một file có chứa các sự kiện, các sự kiện được ghi lại để thông báo cho người dùng một số sự cố có liên quan đến hệ điều hành hoặc các ứng dụng đang chạy trên hệ thống. Một sự kiện gồm có các thông tin về kiểu sự cố và ngày, giờ khi nó xuất hiện, máy tính nơi nó xảy ra và người dùng đã đăng nhập vào thời gian đó, ngoài ra còn có các thông tin khác như event ID, hạng mục sự kiện và nguồn của sự kiện. Các sự kiện cũng có cả các thông tin chi tiết hơn có liên quan đến sự kiện và có thể một liên kết đến nơi chứa nhiều thông tin hơn.
Trước khi sử dụng Windows mới, các bạn nên quyết định xem các thiết lập mặc định nào là thích hợp. Thao tác tốt nhất cho việc cấu hình các bản ghi sự kiện trên máy chủ được cho dưới đây:
- Tăng kích thước của mỗi bản ghi sự kiện tới tối thiểu là 50MB. Điều này là do một sự kiện điển hình có kích thước khoảng 0,5KB, có nghĩa các bạn sẽ có thể lưu được đến 100.000 sự kiện trong mỗi bản ghi. Lưu ý rằng kích thước được hỗ trợ tối đa của mỗi bản ghi sự kiện là khoảng 300MB. Nếu ổ đĩa hệ thống của các bạn có không gian không đủ cho các bản ghi sự kiện thì các bạn có thể chuyển chúng sang ổ đĩa khác bằng việc edit một khóa nhỏ cho mỗi bản ghi trong phần HKLM\\SYSTEM\\CurrentControlSet\\Services\\Eventlog
bằng cách sử dụng Registry Editor, về vấn đề này các bạn có thể tham khảo tại đường dẫn này để có thêm thông tin chi tiết:
http://support.microsoft.com/default.aspx?...417&sd=tech- Thay đổi hành vi ghi đè cho bản ghi Security thành Do Not Overwrite Events nếu các bạn có môi trường bảo mật cao. Theo cách đó, nếu các bản ghi Security bị đầy thì hệ thống sẽ tắt để bảo đảm rằng không có sự kiện nào trong bản ghi Security bị mất. Nếu thực hiện như vậy, hãy bảo đảm rằng các bạn cũng cất trữ và sau đó xóa bản ghi Security thường xuyên để tránh tình trạng tắt máy xuất hiện không mong muốn.
- Thay đổi hành vi ghi đè cho các sự kiện bản ghi khác thành Overwrite Events As Needed để không có việc ghi đè xuất hiện cho tới khi toàn bộ bản ghi đầy. Cũng như vậy, các bạn phải bảo đảm lưu trữ thường xuyên và xóa sạch các bản ghi sự kiện để tránh tình trạng bản ghi bị đầy và mất các sự kiện vì ghi đè.
Nếu các bạn có một số các máy tính và đang chạy Active Directory trên mạng thì các bạn cũng có thể sử dụng Group Policy để cấu hình các thiết lập bản ghi sự kiện. Các thiết lập này được tìm thấy tại Computer Configuration/Windows Settings/Security Settings/Event Log trong Group Policy Object Editor:
Tìm kiếm và lọc các sự kiện
Kéo thanh cuộn ở giao diện Event sẽ cho phép các bạn dễ dàng kiểm tra được các sự kiện gần đây nhất đã được ghi trên hệ thống, vấn đề này nhanh chóng trở thành hết thực tế đối với các hệ thống bận, các hệ thống thống bận thường có các bản ghi sự kiện chứa đến hàng chục MAILBOX.
Điều khó chịu nhất trong phương pháp này là giao diện tìm kiếm không được xây dựng trực tiếp trong cửa sổ Event Viewer. Vì vậy nếu các bạn đang tìm kiếm các trường hợp riêng nào đó của một sự kiện, các bạn có thể sử dụng các tùy chọn Find và Filter để có thể tìm chúng được nhanh hơn.
Tìm kiếm thêm thông tin về một sự kiện
Nếu một sự kiện gồm có một liên kết và các bạn kích vào nó, một hộp thoại sẽ được mở và cảnh báo cho các bạn rằng thông tin về sự kiện sẽ được gửi đến Microsoft để xem xem chúng có nhiều thông tin có sẵn liên quan đến sự kiện không:
Kích vào Yes để mở Help and Support Center và kiểm tra để xem xem có bất kỳ thông tin nào nào về sự kiện hay không. Hình 3 thể hiện đáp ứng điển hình này:
Or cài key log vô máy mình cho dễ
30/4/2008, 11:27 pm
