Các m o trong qu n lý b n ghi b o m tẹ ả ả ả ậ
Trong bài hôm nay chúng tôi s gi i thi u cho các b n m t s m o có thẽ ớ ệ ạ ộ ố ẹ ể
đ c s d ng đ tìm ki m nhi u thông tin c n thi t h n trong các b n ghi b oượ ử ụ ể ế ề ầ ế ơ ả ả
m t; góp ph n h ng t i vi c b o m t t ng th cho m ng c a b nậ ầ ướ ớ ệ ả ậ ổ ể ạ ủ ạ .
B n ghi b o m t cho Windows có ch a r t nhi u thông tin h u d ng, tuy nhiên tr khiả ả ậ ứ ấ ề ữ ụ ừ
bi t cách đi u khi n, qu n lý và phân tích các thông tin này, b ng không nó s khi nế ề ể ả ằ ẽ ế
b n m t công s c và th i gian đ tìm ra các thông tin mà b n mu n có. Trong bài nàyạ ấ ứ ờ ể ạ ố
chúng tôi s gi i thi u m t s m o có th đ c s d ng đ tìm ki m nhi u thông tinẽ ớ ệ ộ ố ẹ ể ượ ử ụ ể ế ề
c n thi t h n trong các b n ghi b o m t v i m c đích làm cho công vi c c a b n trầ ế ơ ả ả ậ ớ ụ ệ ủ ạ ở
nên d dàng h n, hi u qu h n và vi c b o m t t ng th cho m ng c a b n tr nênễ ơ ệ ả ơ ệ ả ậ ổ ể ạ ủ ạ ở
t t h n.ố ơ
Thi t l p gì đ c l uế ậ ượ ư
Đ u tiên b n c n có đ c các thông tin trong b n ghi b o m t. Qua th i gian,ầ ạ ầ ượ ả ả ậ ờ
Microsoft đã c u hình nó cho phép ghi m t s th , tuy nhiên không ph i lúc nào cũngấ ở ộ ố ứ ả
nh v y. R t nhi u ng i trong s các b n đang đ c bài này có th v n đang s d ngư ậ ấ ề ườ ố ạ ọ ể ẫ ử ụ
Windows 2000, XP và 2003, do đó vi c bi t đ c n i b n có th xem và ki m đ nhệ ế ượ ơ ạ ể ể ị
b n ghi b o m t là m t v n đ quan tr ng.ả ả ậ ộ ấ ề ọ
T t c các thông tin đ c ghi trong b n ghi b o m t đ c đi u khi n b i vi c th mấ ả ượ ả ả ậ ượ ề ể ở ệ ẩ
đ nh Auditing. Auditing đ c thi t l p và qu n lý b i Group Policy. B n có th qu nị ượ ế ậ ả ở ạ ể ả
lý Group Policy c c b (gpedit.msc) ho c thông qua Active Directory b ng cách sụ ộ ặ ằ ử
d ng Group Policy Management Console (GPMC). Có th nói vi c s d ng GPMC vàụ ể ệ ử ụ
qu n lý th m đ nh b ng cách s d ng Active Directory t ra thú v h n.ả ẩ ị ằ ử ụ ỏ ị ơ
Bên trong Group Policy, ch nh s a đ i t ng Group Policy, sau đó đi u h ng theo câyỉ ử ố ượ ề ướ
th m c Computer Configuration\Windows Settings\Security Settings\Localư ụ
Policies\Audit Policy, b n có th xem trong hình 1 đ th y thông tin chi ti t.ạ ể ể ấ ế
Hình 1: Các thi t l p Audit Policy trong m t Group Policy Objectế ậ ộ
Không quan tâm đ n vi c b n s d ng Group Policy c c b hay m t GPO t Activeế ệ ạ ử ụ ụ ộ ộ ừ
Directory, các thi t l p này s đ u gi ng nhau. Nh v y nó s d dàng h n cho vi cế ậ ẽ ề ố ư ậ ẽ ễ ơ ệ
tri n khai các thi t l p đ n nhi u máy tính đang s d ng Active Directory.ể ế ậ ế ề ử ụ
T p trung hóa các b n ghi b o m tậ ả ả ậ
Gi đây gi s t t c các máy tính trong m ng c a b n đ u l u các b n ghi vào v tríờ ả ử ấ ả ạ ủ ạ ề ư ả ị
m c đ nh c a nó, nhi m v c a b n là c n xem chúng. C n bi t r ng, m i máy tínhặ ị ủ ệ ụ ủ ạ ầ ầ ế ằ ỗ
đ u có các b n sao cho b n ghi b o m t c a chính nó. Đi uề ả ả ả ậ ủ ề này có nghĩa r ng, n uằ ế
m ng c a b n có 1000 máy ch và 10000 máy tr m thì b n s có t ng s 11000 b nạ ủ ạ ủ ạ ạ ẽ ổ ố ả
ghi s ki n c n ph i xem! Cho t i g n đây v n ch a có cách nào đ có th t p trungự ệ ầ ả ớ ầ ẫ ư ể ể ậ
các b n ghi này đ phân tích m t cách hi u qu .ả ể ộ ệ ả
M c dù v y, t phiên b n Windows Server 2008, Vista và 7, Microsoft đã đ a ra m tặ ậ ừ ả ư ộ
cách cho phép b n có th t p trung t t c các b n ghi c a mình, g m có các b n ghiạ ể ậ ấ ả ả ủ ồ ả
b o m t t t t c 11000 máy tính (s máy tính mà b n có). Gi i pháp là s d ng vi cả ậ ừ ấ ả ố ạ ả ử ụ ệ
chuy n ti p các b n ghi s ki n.ể ế ả ự ệ
Nhi m v c a b n là c n ph i có ít nh t m t máy tính Windows Server 2008, Vista,ệ ụ ủ ạ ầ ả ấ ộ
ho c 7, tuy nhiên t i thi u là m t. Máy tính này s đ c s d ng đ làm máy tính t pặ ố ể ộ ẽ ượ ử ụ ể ậ
trung b n ghi. T t c các máy tính còn l i đang s d ng các h đi u hành Windowsả ấ ả ạ ử ụ ệ ề
XP, 2003, Vista, 2008 và 7 có th g i các s ki n c a chúng đ n máy tính t p trungể ử ự ệ ủ ế ậ
này. (C n l u ý Windows 2000 không đ c h tr ).ầ ư ượ ỗ ợ
Khung nhìn tùy bi nế
Sau khi đã t p trung đ c các b n ghi c a mình, b n có th thi t l p cách xem cácậ ượ ả ủ ạ ể ế ậ
thông tin. C n l u ý r ng có đ n hàng ngàn các b n ghi s ki n khác nhau, v i hàngầ ư ằ ế ả ự ệ ớ
trăm event ID. Chính vì v y b n s không có đ th i gian đ đ c h t t t c các b nậ ạ ẽ ủ ờ ể ọ ế ấ ả ả
ghi này và tìm ra b n ghi nào có m t event ID c th . Có m t cách đ b n không ph iả ộ ụ ể ộ ể ạ ả
làm nh v y.ư ậ
Lúc này các b n ghi đ c t p trung c a b n n m trên máy tính Windows Server 2008,ả ượ ậ ủ ạ ằ
Vista ho c7, b n có th s d ng khung nhìn tùy bi n. Các khung nhìn tùy bi n choặ ạ ể ử ụ ế ế
phép b n t o m t “b n ghi đ c bi t” cho các b n ghi và event ID mà b n mu n xem.ạ ạ ộ ả ặ ệ ả ạ ố
Vì v y, b n có th t o nhi u khung nhìn tùy bi n cho các b n ghi đang t n t i, g mậ ạ ể ạ ề ế ả ồ ạ ồ
có các b n ghi đ c chuy n ti p mà b n mu n có.ả ượ ể ế ạ ố
Ví d , b n mu n có m t khung nhìn t t c các b n ghi đã x y ra trên t t c máy ch .ụ ạ ố ộ ấ ả ả ả ấ ả ủ
Khi đó b n ch c n t o m t khung nhìn tùy bi n c a Event ID 4624 (cho Windowsạ ỉ ầ ạ ộ ế ủ
2008, Vista và 7) và 528 (Windows 2000, XP, 2003) đ có th th y t t c các đăngể ể ấ ấ ả
nh p thành công. Hình 2 cho b n th y di n m o v khung nhìn tùy bi n này.ậ ạ ấ ệ ạ ề ế
Hình 2: Khung nhìn tùy bi n c a các s ki n 4624 và 528ế ủ ự ệ
Các nhi m v trên s ki nệ ụ ự ệ
B n không ch có th thi t l p các khung nhìn tùy bi n cho các b n ghi c a mình màạ ỉ ể ế ậ ế ả ủ
còn có th thi t l p các b y đ ghi (đăng ký) các s ki n nào đó. Tùy ch n này đ cể ế ậ ẫ ể ự ệ ọ ượ
coi nh vi c g n nhi m v cho m t s ki n ho c b n ghi, có s n trong Windowsư ệ ắ ệ ụ ộ ự ệ ặ ả ẵ
Server 2008, Vista và 7.
Nhi m v này không có gì khác nhi m v t p l ch trình, tuy nhiên đi u quan tr ng làệ ụ ệ ụ ậ ị ề ọ
b n c n bi t nó có s n. B n có th thi t l p các nhi m v này bên trong công cạ ầ ế ẵ ạ ể ế ậ ệ ụ ụ
Event Viewer ho c Scheduled Tasks. Các nhi m v có th m c cao ho c c b n,ặ ệ ụ ể ở ứ ặ ơ ả
ho c b n có th tùy ch nh các thi t l p cho các nhi m v c a mình.ặ ạ ể ỉ ế ậ ệ ụ ủ
V i các nhi m v c b n, b n ch c n thi t l p các thành ph n sau:ớ ệ ụ ơ ả ạ ỉ ầ ế ậ ầ
•Event ID
•Hành đ ng khi m t s ki n đ c đăng kýộ ộ ự ệ ượ
B n có th th y các tùy ch n này trong hình 3.ạ ể ấ ọ
Hình 3: Nhi m v c b n cho các s ki n ệ ụ ơ ả ự ệ
Đ thi t l p theo tùy ch nh c a b n. B n có th ch đ nh các chi ti t c th có liênể ế ậ ỉ ủ ạ ạ ể ỉ ị ế ụ ể
quan đ n s ki n, th i gian trong ngày, nh ng,… Hình 4 mô t m t m t trong các tabế ự ệ ờ ữ ả ộ ộ
thi t l p các nhi m v chi ti t này.ế ậ ệ ụ ế
Hình 4: Nhi m v chi ti t cho m t s ki nệ ụ ế ộ ự ệ
V i các hành đ ng trên các nhi m v c b n và chi ti t, b n có th th c hi n m t sớ ộ ệ ụ ơ ả ế ạ ể ự ệ ộ ố
tùy ch n. Có th thi t l p m t email s đ c g i ra khi m t nhi m v c th đ cọ ể ế ậ ộ ẽ ượ ử ộ ệ ụ ụ ể ượ
t o. B n cũng có th thi t l p m t hành đ ng n i m t ch ng trình đ c ch y n uạ ạ ể ế ậ ộ ộ ở ơ ộ ươ ượ ạ ế
có m t s ki n x y ra. Cách th c ti n hành có th b ng k ch b n, ch ng trình đi kèmộ ự ệ ả ứ ế ể ằ ị ả ươ
ho c b t c th gì b n mu n h th ng th c hi n n u s ki n xu t hi n. B n cũng cóặ ấ ứ ứ ạ ố ệ ố ự ệ ế ự ệ ấ ệ ạ
th hi n th m t thông báo v i m c đích giúp qu n tr viên bi t r ng s ki n đã xu tể ể ị ộ ớ ụ ả ị ế ằ ự ệ ấ
hi n và cho phép h đ a ra hành đ ng sau khi th y s ki n đó.ệ ọ ư ộ ấ ự ệ
K t lu nế ậ
Nh nh ng gì b n th y, các tùy ch n m i cho vi c đi u khi n s ki n và các s ki nư ữ ạ ấ ọ ớ ệ ề ể ự ệ ự ệ
b n ghi r t h u d ng. Nh ng gì tr c đây ch có qua các s n ph m c a các hãng thả ấ ữ ụ ữ ướ ỉ ả ẩ ủ ứ
ba thì hi n nay b n có th s d ng nó trên các máy tính ch y phiên b n Windowsệ ạ ể ử ụ ạ ả
2008, Vista, ho c 7. Rõ ràng các b n c n cài đ t ph n m m trên các máy tính m cặ ạ ầ ặ ầ ề ứ
th p h n đ chúng có th chuy n ti p các s ki n, tuy nhiên đây là m t nhi m v đ nấ ơ ể ể ể ế ự ệ ộ ệ ụ ơ
gi n so v i nh ng l i ích thu đ c khi b n t p trung đ c các s ki n. Kh năng t oả ớ ữ ợ ượ ạ ậ ượ ự ệ ả ạ
các khung nhìn tùy bi n và th m chí gán các nhi m v v i các s ki n nào đó làm choế ậ ệ ụ ớ ự ệ
event viewer tr thành m t công c đáng đ m t và đáng nâng c p.ở ộ ụ ể ắ ấ
![Sổ tay Kỹ năng nhận diện & phòng chống lừa đảo trực tuyến [Mới nhất]](https://cdn.tailieu.vn/images/document/thumbnail/2025/20251017/kimphuong1001/135x160/8271760665726.jpg)
![Cẩm nang An toàn trực tuyến [Mới nhất]](https://cdn.tailieu.vn/images/document/thumbnail/2025/20251017/kimphuong1001/135x160/8031760666413.jpg)
![Câu hỏi ôn tập An toàn mạng [năm hiện tại]](https://cdn.tailieu.vn/images/document/thumbnail/2025/20250702/kimphuong555/135x160/56191751442800.jpg)
