ใน Windows Server เหตุการณ์สำคัญๆ ที่เกิดขึ้นในระบบหรือในโปรแกรมต่างๆ บน Server จะมีการบันทึกเหตุการณ์ต่างๆ ของ System, Application และ Security ไว้ เพื่อให้ Admin สามารถใช้ในการตรวจสอบ วิเคราะห์ และแก้ไขปัญหาที่เกิดขึ้นได้
ประเภทของ Event Log
Windows Server บันทึก Log อยู่ 5 ประเภทดังนี้
- Application Application คือ ล็อกไฟล์ที่เกิดขึ้นกับโปรแกรมที่ทำงานบน Windows และการเตือนหาข้อผิดพลาดอื่นๆ
- Security คือ ล็อกไฟล์สำหรับการตั้งค่าเกี่ยวกับความปลอดภัย และการตั้งค่าบัญชีผู้ใช้คนอื่นๆที่ถูกบันทึกไว้
- System จะบอกรายละเอียดของปัญหาระบบทั่วๆไป รวมถึงปัญหาที่เกิดขึ้นกับอุปกรณ์และการติดตั้งไดร์เวอร์ต่างๆ
- Setup คือ ล็อกไฟล์ที่เกี่ยวกับการติดตั้งโปรแกรมก่อนหน้าที่จะเกิดปัญหาขึ้นมา
- Forwarded events จะบอกถึงปัญหาที่เกิดจากเหตุการณ์ Remote ด้วยเครื่องคอมพิวเตอร์ระยะไกล เพื่อให้สามารถเข้ามาตั้งค่าเกี่ยวกับล็อกไฟล์และจะบันทึกเหตุการณ์ครั้งล่าสุดเก็บไว้ด้วย
วิธีการดู Log
การเปิด Event Viewer แล้วทำตามขั้นตอนต่อไปนี้:
- คลิกปุ่ม Start > Administrative Tools > Event Viewer
- ที่หน้าต่าง Event Viewer ให้คลิกเข้าไปที่หัวข้อ Windows Logs แล้วคลิกเลือกประเภทของ Log ที่ต้องการตรวจสอบ
- หากต้องการดูรายละเอียดต่างๆ ของ Log ให้ดับเบิ้ลคลิกที่รายการนั้นๆ
ความหมายในหัวข้อต่างๆ ของ Log
หัวข้อต่างๆ จะบอกรายละเอียดและอธิบายถึงเหตุการณ์ต่างๆ ดังนี้
- Date: คือวันที่เกิดเหตุการณ์
- Time: คือเวลาที่เกิดเหตุการณ์
- Source: คือแหล่งที่มาของเหตุการณ์
- Category: คือประเภทของเหตุการณ์
- Type: คือชนิดของเหตุการณ์
- Event ID: คือหมายเลขประจำตัวของเหตุการณ์
- User: คือชื่อผู้ใช้ขณะเกิดเหตุการณ์
- Computer: คือชื่อเครื่องคอมพิวเตอร์ที่เกิดเหตุการณ์
- Description: คือรายละเอียดของเหตุการณ์
ประเภทของเหตุการณ์ (Level)
Event Viewer แบ่งประเภทของเหตุการณ์ (Level) ได้เป็นหัวข้อดังนี้
• Information : เหตุการณ์ที่อธิบายการทำงานที่สำเร็จของงาน เช่น แอปพลิเคชัน ไดรเวอร์หรือเซอร์วิส ตัวอย่างเช่น บันทึกเหตุการณ์เมื่อ Serverโหลดไดรเวอร์เครือข่ายสำเร็จ
• Warning : เหตุการณ์ที่ไม่สำคัญมาก อย่างไรก็ตาม อาจบอกถึงโอกาสในการเกิดของปัญหาในอนาคต ตัวอย่างเช่น แจ้งเตือนเมื่อพื้นที่ดิสก์ว่างเหลือน้อยลงมาก
• Error : เหตุการณ์ที่อธิบายปัญหาสำคัญ เช่น ความล้มเหลวของงานสำคัญ, เหตุการณ์ความผิดพลาดที่อาจเกี่ยวกับการสูญหายของข้อมูล หรือการสูญเสียฟังก์ชัน ตัวอย่างเช่น บันทึกเหตุการณ์ข้อผิดพลาดของเซอร์วิสที่ไม่สามารถโหลดเพื่อเริ่มต้นการทำงานได้
• Success Audit : บันทึกเหตุการณ์ของระบบรักษาความปลอดภัยที่ผ่านการตรวจสอบได้สำเร็จ ตัวอย่างเช่น เหตุการณ์เมื่อผู้ใช้Log in เข้าสู่คอมพิวเตอร์หรือระบบ Domain ได้สำเร็จ
• Failure Audit : บันทึกเหตุการณ์ของระบบรักษาความปลอดภัยที่ไม่ผ่านการตรวจสอบ ตัวอย่างเช่น เมื่อผู้ใช้ไม่สามารถเข้าถึงแชร์ไดรฟ์ต่างๆ ในเครือข่ายได้
วิธีการค้นหา Log
- ที่หน้าต่าง Event Viewer คลิกเลือกประเภทของ Log
- ให้คลิกเลือกเมนู Action > Find
- พิมพ์รายการของ Log ที่ต้องการค้นหาลงไป
วิธีการกรอง Log
- ที่หน้าต่าง Event Viewer คลิกเลือกประเภทของ Log
- ให้คลิกเลือกเมนู Action > Filter Current Log…
- คลิกแท็บ Filter แล้วระบุข้อมูลที่ต้องการกรองลงไป
การบันทึกและกำหนดขนาดของ Log
โดยค่าเริ่มต้น ขนาดสูงสุดของ Log จะได้รับการกำหนดเป็น 512 KB และเมื่อถูกใช้งานจนหมดแล้ว เหตุการณ์ใหม่ล่าสุดจะแทนที่เหตุการณ์เก่า เราสามารถเปลี่ยนแปลงแก้ไขค่าได้ โดยคลิกขวาที่ประเภทของ Log จากนั้นเลือกคำสั่ง Properties แล้วคลิกเลือกคำสั่งดังนี้
• Maximum log size (KB) : กำหนดขนาดของ LogOverwrite events as needed (oldest events first) สั่งบันทึกเหตุการณ์ใหม่ทับเหตุการณ์เก่า
- Overwrite events as needed (oldest events first) สั่งบันทึกเหตุการณ์ใหม่ทับเหตุการณ์เก่า
• Archive the log when full, do not overwrite events บันทึก Log ไว้ในพาธตามประเภทของ Log เช่น C:\windows\system32\winevt\logs\Security.evtx โดยไม่มีการบันทึกซ้ำของเก่า
• Do not overwrite events ไม่ให้มีการบันทึกเหตุการณ์ซ้ำ ต้องสั่งเคลียร์ Log ด้วยตัวเองก่อน
• และหากต้องการเซฟไฟล์ Log เก็บไว้ ให้คลิกขวาที่ประเภทของ Log นั้นๆ แล้วเลือกคำสั่ง Save All Event As
• และถ้าต้องการเคลียร์บันทึกเหตุการณ์ทั้งหมด ให้คลิกขวาที่ประเภทของ Log นั้นๆ แล้วเลือกคำสั่ง Clear Log…
