Khắc phục sự cố các entry bản ghi sự kiện
Trong hướng dẫn này chúng tôi sẽ giới thiệu cho các bạn một số mẹo,
khái niệm, công cụ cũng như các phương pháp để xác định nguyên nhân
gốc của các sự kiện.
Chúng ta đã biết, xem lại bản ghi là công việc quan trọng đối với các quản trị
viên mạng, giúp họ có thể xác định những gì đang diễn ra trên máy chủ của
mình. Tuy nhiên các sự kiện trong bản ghi lại tỏ ra khá lộn xộn, thậm chí
trong hệ điều hành máy chủ mới như Windows Server 2008/2008 R2 với sự
trợ giúp của giao diện mới cũng như nhiều hỗ trợ khác. Trong bài này chúng
tôi sẽ giới thiệu một số mẹo, khái niệm, công cụ và các phương pháp giúp
bạn có thể thực hiện việc xác định nguyên nhân gốc của một số sự kiện trong
bản ghi.
Bản ghi sự kiện và Event Viewer trong Windows Server 2003 và
Windows Server 2008/2008 R2
Có một số thay đổi cơ bản trong Windows Server 2008 và Event Viewer. Có
câu hỏi đặt ra rằng, liệu Event Viewer của Windows 2000/2003 có vấn đề gì.
Quả thực Event Viewer của Windows 2000/2003 có một số hạn chế như:
Nhiều thông báo khó hiểu không chỉ thị được vấn đề gốc
Di chuyển khó khăn giữa các sự kiện
Thiếu file trợ giúp chuyên sâu
Hạn chế sự kiểm soát đối với các bộ lọc và phân loại bản ghi
Không có khả năng ghi chép tập trung
Không có bẫy sự kiện để gửi email hay thông báo.
Windows 2008/2008 R2 Event Viewer mới đã khắc phục được một số hạn
chế trên, ngoài ra nó còn bổ sung thêm một số tính năng mới, đây là những
tính năng giúp khắc phục sự cố bản ghi và sự kiện. Các tính năng trong
2008/2008 R2 gồm có:
Các thông báo được hiển thị theo khung nhìn chuẩn, chi tiết và XML
Dễ dàng di chuyển bản ghi qua bản ghi và sự kiện qua sự kiện
Có các liên kết trợ giúp hữu dụng kết nối Internet
Cho phép lọc để hiển thị thông tin trong các khung nhìn.
Cho phép ghi chép tập trung (có khả năng tương thích với Windows XP
và 2003)
Các bẫy sự kiện cho phép gửi email, hiển thị thư hoặc chạy ứng dụng
(hình 1).
Hình 1: Các sự kiện liên quan với event ID và bản ghi
Các vấn đề đối với sự kiện nói chung
Một lỗi ứng dụng có thể xuất hiện bởi không thể xác thực tài khoản dịch vụ.
Một vấn đề bộ nhớ xuất hiện có thể là do quá trình nào đó đang lỗi vì không
thể truyền thông với DNS,.... Có thể nói có rất nhiều vấn đề có thể xuất hiện
và việc biết được những vấn đề hay xảy ra là một vấn đề quan trọng. Đây là
một số vấn đề chung có thể gây ra những sự kiện ngẫu nhiên trên máy chủ:
Không thể truyền thông được với DNS vì vậy Kerberos không được sử
dụng
Không thể truyền thông được với DNS vì vậy Group Policy đang áp
dụng không đúng cách
Các chứng chỉ được cache hiện đang bị sử dụng
Bị mất session an toàn cho domain controller
Sự truyền thông với domain controller bị gián đoạn và gây ra lỗi
Cập nhật thiết lập Group Policy cũng có thể gây ra các vấn đề
Các nâng cấp Group Policy đã thay đổi thiết lập cục bộ như quyền
người dùng và thành viên nhóm, thiết lập IE,…
Không thể xác thực tài khoản dịch vụ (bị khóa chặn, mật khẩu hết hạn,
giao thức xác thực sai, nâng cấp hệ thống gây ra thay đổi đối với việc
xác thực,…)
DLL được nâng cấp bởi nâng cấp hoặc cài đặt sản phẩm khác
Thay đổi sự cho phép đối với file, có thể gây ra từ chối truy cập dữ liệu
Với các domain controller, một số vấn đề khác có thể phát sinh:
Vấn đề tạo bản sao do thay đổi tên, vấn đề địa chỉ IP, nâng cấp,..
Ủy nhiệm sai bên trong Active Directory
Ủy nhiệm sai bên trong Group Policy Management
Thiết lập Group Policy sai đối với quyền người dùng, thành viên
nhóm,…
Sự cho phép sai gây ra lỗi trong ghi chép, đồng bộ và truy cập Active
Directory, các file đăng nhập,…
Sử dụng Event Viewer mới để trợ giúp khắc phục sự cố các sự kiện
Như những gì bạn thấy, có nhiều lý do gây ra một sự kiện nào đó. Việc biết
cách đọc sự kiện, kết hợp với bản ghi khác và sự kiện đó trong một danh sách
có thể rất hữu dụng. Chìa khóa ở đây là sử dụng sự kết hợp của các tính năng
mới, sự kết hợp này sẽ cho phép bạn có được một cái nhìn rõ ràng nhất về
những gì đang diễn ra theo luồng sự kiện.
Đầu tiên, cần thiết lập chuyển tiếp bản ghi sự kiện. Cách thức này cho phép
nhận các sự kiện từ các máy tính khác trong một bản ghi. Cần bảo đảm chỉ
chuyển tiếp event ID mà bạn cần trong bản ghi của mình. Việc lấy toàn bộ
các bản ghi bảo mật và hệ thống từ mọi máy tính là điều khó khăn. Tuy nhiên
việc lấy các sự kiện có liên quan đến xác thực, thay đổi nhóm,… sẽ dễ dàng
hơn và chúng cung cấp nhiều thông tin hữu dụng.
Thứ hai, cần kết hợp các sự kiện từ nhiều bản ghi, gồm có bản ghi được
chuyển tiếp từ bước 1, vào khung nhìn tùy chỉnh. Custom Views như thể hiện
trong hình 2, cho phép bạn xem những gì bạn muốn từ nhiều bản ghi theo
một dòng chảy liên tục.
Hình 2: Custom Views cho phép bạn chọn các ID sự kiện từ nhiều bản ghi
khác nhau
Thứ ba, thiết lập nhiệm vụ được lập lịch trình để ghi event ID vào bản ghi.
Thao tác này sẽ cho phép bạn kiểm soát một cách liên tục các bản ghi và sự
kiện xảy ra. Vì vậy, khi có một lỗi xác thực, bạn sẽ nhận được email cho
phép xác định liệu lỗi có đó là do máy chủ, mạng hay domain controller.
Thứ tư, quan sát xu hướng. Hầu hết các ứng dụng, dịch vụ, và việc xác thực
xuất hiện theo một tuần suất nào đó. Ví dụ như cứ 10, 12, 15, 20, 30,.. phút
lại có một lỗi xác thực tài khoản dịch vụ. Cần xem sự kiện đó có tính chất
định kỳ hay không. Nếu có tính định kỳ, hãy quan sát các sự kiện trong bản
ghi System và Application để xem các lỗi xác thực có xảy ra đồng thời với
các vấn đề khác đang được kiểm tra hay không.
Kết luận
Rất khó trong việc giám sát và khắc phục sự cố các bản ghi sự kiện và event
ID. Tuy nhiên với các tính năng mới trong Event Viewer của Windows
Server 2008 và Windows Server 2008 R2, việc khắc phục sự cố các máy chủ
trở nên đơn giản hơn, lúc này bạn có thể xem nhiều bản ghi và sự kiện theo
một dòng chảy liên tục. Điều này cho phép thấy rõ xu hướng, sự kết hợp và
cùng với đó là các sự kiện không liên quan. Ngoài ra việc chuyển tiếp bản ghi
sự kiện, khung nhìn tùy chỉnh cũng như các nhiệm vụ có thể lập lịch trình
cho event ID đã trợ giúp rất nhiều cho Event Viewer trong việc khắc phục sự
cố các sự kiện.
