การตรวจสอบเหตุการณ์สำคัญและข้อผิดพลาดต่างๆ ด้วย Event Viewer

การตรวจสอบเหตุการณ์สำคัญและข้อผิดพลาดต่างๆ ด้วย Event Viewer

ใน Windows Server เหตุการณ์สำคัญๆ ที่เกิดขึ้นในระบบหรือในโปรแกรมต่างๆ บน Server จะมีการบันทึกเหตุการณ์ต่างๆ ของ System, Application และ Security ไว้ เพื่อให้ Admin สามารถใช้ในการตรวจสอบ วิเคราะห์ และแก้ไขปัญหาที่เกิดขึ้นได้

ประเภทของ Event Log

Windows Server บันทึก Log อยู่ 5 ประเภทดังนี้

  • Application Application คือ ล็อกไฟล์ที่เกิดขึ้นกับโปรแกรมที่ทำงานบน Windows และการเตือนหาข้อผิดพลาดอื่นๆ
  • Security คือ ล็อกไฟล์สำหรับการตั้งค่าเกี่ยวกับความปลอดภัย และการตั้งค่าบัญชีผู้ใช้คนอื่นๆที่ถูกบันทึกไว้
  • System จะบอกรายละเอียดของปัญหาระบบทั่วๆไป รวมถึงปัญหาที่เกิดขึ้นกับอุปกรณ์และการติดตั้งไดร์เวอร์ต่างๆ
  • Setup คือ ล็อกไฟล์ที่เกี่ยวกับการติดตั้งโปรแกรมก่อนหน้าที่จะเกิดปัญหาขึ้นมา
  • Forwarded events จะบอกถึงปัญหาที่เกิดจากเหตุการณ์ Remote ด้วยเครื่องคอมพิวเตอร์ระยะไกล เพื่อให้สามารถเข้ามาตั้งค่าเกี่ยวกับล็อกไฟล์และจะบันทึกเหตุการณ์ครั้งล่าสุดเก็บไว้ด้วย

วิธีการดู Log

การเปิด Event Viewer แล้วทำตามขั้นตอนต่อไปนี้:

  1. คลิกปุ่ม Start > Administrative Tools > Event Viewer
  2. ที่หน้าต่าง Event Viewer ให้คลิกเข้าไปที่หัวข้อ Windows Logs แล้วคลิกเลือกประเภทของ Log ที่ต้องการตรวจสอบ
  3. หากต้องการดูรายละเอียดต่างๆ ของ Log ให้ดับเบิ้ลคลิกที่รายการนั้นๆ

ความหมายในหัวข้อต่างๆ ของ Log

หัวข้อต่างๆ จะบอกรายละเอียดและอธิบายถึงเหตุการณ์ต่างๆ ดังนี้

  • Date: คือวันที่เกิดเหตุการณ์
  • Time: คือเวลาที่เกิดเหตุการณ์
  • Source: คือแหล่งที่มาของเหตุการณ์
  • Category: คือประเภทของเหตุการณ์
  • Type: คือชนิดของเหตุการณ์
  • Event ID: คือหมายเลขประจำตัวของเหตุการณ์
  • User: คือชื่อผู้ใช้ขณะเกิดเหตุการณ์
  • Computer: คือชื่อเครื่องคอมพิวเตอร์ที่เกิดเหตุการณ์
  • Description: คือรายละเอียดของเหตุการณ์

ประเภทของเหตุการณ์ (Level)

Event Viewer แบ่งประเภทของเหตุการณ์ (Level) ได้เป็นหัวข้อดังนี้

•    Information : เหตุการณ์ที่อธิบายการทำงานที่สำเร็จของงาน เช่น แอปพลิเคชัน ไดรเวอร์หรือเซอร์วิส ตัวอย่างเช่น บันทึกเหตุการณ์เมื่อ Serverโหลดไดรเวอร์เครือข่ายสำเร็จ

•    Warning : เหตุการณ์ที่ไม่สำคัญมาก อย่างไรก็ตาม อาจบอกถึงโอกาสในการเกิดของปัญหาในอนาคต ตัวอย่างเช่น แจ้งเตือนเมื่อพื้นที่ดิสก์ว่างเหลือน้อยลงมาก

•    Error : เหตุการณ์ที่อธิบายปัญหาสำคัญ เช่น ความล้มเหลวของงานสำคัญ, เหตุการณ์ความผิดพลาดที่อาจเกี่ยวกับการสูญหายของข้อมูล หรือการสูญเสียฟังก์ชัน ตัวอย่างเช่น บันทึกเหตุการณ์ข้อผิดพลาดของเซอร์วิสที่ไม่สามารถโหลดเพื่อเริ่มต้นการทำงานได้

•    Success Audit : บันทึกเหตุการณ์ของระบบรักษาความปลอดภัยที่ผ่านการตรวจสอบได้สำเร็จ ตัวอย่างเช่น เหตุการณ์เมื่อผู้ใช้Log in เข้าสู่คอมพิวเตอร์หรือระบบ Domain ได้สำเร็จ

•    Failure Audit : บันทึกเหตุการณ์ของระบบรักษาความปลอดภัยที่ไม่ผ่านการตรวจสอบ ตัวอย่างเช่น เมื่อผู้ใช้ไม่สามารถเข้าถึงแชร์ไดรฟ์ต่างๆ ในเครือข่ายได้

วิธีการค้นหา Log

  1. ที่หน้าต่าง Event Viewer คลิกเลือกประเภทของ Log
  2. ให้คลิกเลือกเมนู Action > Find
  3. พิมพ์รายการของ Log ที่ต้องการค้นหาลงไป

วิธีการกรอง Log

  1. ที่หน้าต่าง Event Viewer คลิกเลือกประเภทของ Log
  2. ให้คลิกเลือกเมนู Action > Filter Current Log…
  3. คลิกแท็บ Filter แล้วระบุข้อมูลที่ต้องการกรองลงไป

การบันทึกและกำหนดขนาดของ Log

โดยค่าเริ่มต้น ขนาดสูงสุดของ Log จะได้รับการกำหนดเป็น 512 KB และเมื่อถูกใช้งานจนหมดแล้ว เหตุการณ์ใหม่ล่าสุดจะแทนที่เหตุการณ์เก่า เราสามารถเปลี่ยนแปลงแก้ไขค่าได้ โดยคลิกขวาที่ประเภทของ Log จากนั้นเลือกคำสั่ง Properties แล้วคลิกเลือกคำสั่งดังนี้

•    Maximum log size (KB) : กำหนดขนาดของ LogOverwrite events as needed (oldest events first) สั่งบันทึกเหตุการณ์ใหม่ทับเหตุการณ์เก่า

  • Overwrite events as needed (oldest events first) สั่งบันทึกเหตุการณ์ใหม่ทับเหตุการณ์เก่า

•    Archive the log when full, do not overwrite events บันทึก Log ไว้ในพาธตามประเภทของ Log เช่น C:\windows\system32\winevt\logs\Security.evtx โดยไม่มีการบันทึกซ้ำของเก่า

•    Do not overwrite events ไม่ให้มีการบันทึกเหตุการณ์ซ้ำ ต้องสั่งเคลียร์ Log ด้วยตัวเองก่อน

•    และหากต้องการเซฟไฟล์ Log เก็บไว้ ให้คลิกขวาที่ประเภทของ Log นั้นๆ แล้วเลือกคำสั่ง Save All Event As

•    และถ้าต้องการเคลียร์บันทึกเหตุการณ์ทั้งหมด ให้คลิกขวาที่ประเภทของ Log นั้นๆ แล้วเลือกคำสั่ง Clear Log…

Close Menu