Công Cụ Xem Log Máy Tính Windows 10

Nhập thông tin để phân tích log hệ thống Windows 10 của bạn

Kết quả phân tích log

Tổng số sự kiện: 0
Sự kiện Critical: 0
Sự kiện Error: 0
Sự kiện Warning: 0
Sự kiện Information: 0
Thời gian phân tích: 0 ms

Hướng dẫn toàn tập về xem log máy tính Windows 10 (2024)

Windows Event Log là công cụ mạnh mẽ giúp bạn theo dõi và chẩn đoán các sự cố trên hệ thống Windows 10. Bài viết này sẽ hướng dẫn chi tiết cách xem, phân tích và quản lý các file log trên Windows 10, từ cơ bản đến nâng cao.

1. Giới thiệu về Windows Event Log

Windows Event Log là hệ thống ghi lại các sự kiện quan trọng xảy ra trên máy tính Windows của bạn. Các sự kiện này được phân loại thành nhiều loại khác nhau:

  • Application Logs: Ghi lại các sự kiện từ các chương trình phần mềm
  • Security Logs: Theo dõi các hoạt động liên quan đến bảo mật như đăng nhập, thay đổi quyền
  • Setup Logs: Ghi lại quá trình cài đặt các ứng dụng và cập nhật Windows
  • System Logs: Theo dõi các sự kiện từ hệ thống như lỗi driver, sự cố phần cứng
  • Forwarded Events: Các sự kiện được chuyển tiếp từ các máy tính khác trong mạng

Mỗi sự kiện trong log đều có các thuộc tính chính:

  1. Level/Type: Mức độ nghiêm trọng (Information, Warning, Error, Critical)
  2. Date and Time: Thời gian xảy ra sự kiện
  3. Source: Ứng dụng hoặc thành phần hệ thống tạo ra sự kiện
  4. Event ID: Mã số định danh duy nhất cho loại sự kiện
  5. Task Category: Phân loại chi tiết hơn về sự kiện
  6. User: Tài khoản người dùng liên quan
  7. Computer: Máy tính nơi sự kiện xảy ra
  8. Description: Mô tả chi tiết về sự kiện

2. Cách mở Event Viewer trên Windows 10

Có nhiều cách khác nhau để truy cập Event Viewer trên Windows 10:

Phương pháp 1: Sử dụng hộp thoại Run

  1. Nhấn tổ hợp phím Windows + R để mở hộp thoại Run
  2. Nhập eventvwr.msc và nhấn Enter
  3. Cửa sổ Event Viewer sẽ mở ra

Phương pháp 2: Từ menu Start

  1. Nhấn nút Start hoặc phím Windows
  2. Gõ “Event Viewer” và chọn ứng dụng từ kết quả tìm kiếm

Phương pháp 3: Từ Computer Management

  1. Nhấn chuột phải vào This PC trên desktop
  2. Chọn Manage
  3. Trong cửa sổ Computer Management, chọn Event Viewer

Phương pháp 4: Từ Command Prompt

  1. Mở Command Prompt với quyền admin
  2. Nhập lệnh: eventvwr và nhấn Enter

3. Các loại log quan trọng cần theo dõi

Loại Log Mô tả Sự kiện quan trọng cần chú ý Tần suất kiểm tra đề nghị
Application Ghi lại sự kiện từ các ứng dụng phần mềm Lỗi ứng dụng (Event ID 1000), sự cố khởi động Hàng tuần
Security Theo dõi các hoạt động bảo mật Đăng nhập thất bại (Event ID 4625), thay đổi quyền (Event ID 4732) Hàng ngày
System Sự kiện từ hệ thống và driver Lỗi driver (Event ID 219), sự cố khởi động (Event ID 6008) Hàng ngày
Setup Quá trình cài đặt và cập nhật Lỗi cập nhật Windows (Event ID 20), lỗi cài đặt phần mềm Khi có cập nhật
Forwarded Events Sự kiện từ các máy tính khác Các sự kiện bảo mật từ máy chủ Theo nhu cầu

4. Cách đọc và phân tích log hiệu quả

4.1 Lọc sự kiện quan trọng

Để tìm kiếm các sự kiện cụ thể:

  1. Trong Event Viewer, chọn loại log cần xem (ví dụ: Windows Logs > System)
  2. Nhấn chuột phải vào log và chọn “Filter Current Log”
  3. Trong cửa sổ lọc, bạn có thể:
    • Chọn mức độ sự kiện (Critical, Error, Warning, etc.)
    • Chọn khoảng thời gian cụ thể
    • Nhập Event IDs cụ thể (ví dụ: 1001, 6005)
    • Chọn nguồn sự kiện (Event sources)
    • Chọn category cụ thể
    • Chọn người dùng cụ thể
    • Chọn máy tính cụ thể (trong môi trường mạng)
  4. Nhấn OK để áp dụng bộ lọc

4.2 Xuất log để phân tích offline

Để xuất log ra file:

  1. Chọn loại log cần xuất
  2. Nhấn chuột phải và chọn “Save All Events As…”
  3. Chọn định dạng file (EVTX hoặc CSV)
  4. Chọn vị trí lưu và nhấn Save

Bạn có thể mở file EVTX sau này bằng Event Viewer hoặc sử dụng các công cụ phân tích log chuyên nghiệp như:

  • Windows Event Collector
  • Log Parser từ Microsoft
  • Công cụ của bên thứ ba như Splunk, ELK Stack

4.3 Các Event ID quan trọng cần biết

Event ID Loại log Mô tả Mức độ Hành động khuyên nghị
1000 Application Application Error – Ứng dụng gặp lỗi và đóng bất thường Error Kiểm tra ứng dụng gây lỗi, cập nhật hoặc cài đặt lại
1001 Application Application Hang – Ứng dụng không phản hồi Warning Kiểm tra nguyên nhân treo, cập nhật driver
6005 System Event log service started – Dịch vụ log được khởi động Information Bình thường, không cần hành động
6006 System Event log service stopped – Dịch vụ log dừng Information Bình thường, không cần hành động
6008 System Previous system shutdown was unexpected – Tắt máy không đúng cách Error Kiểm tra nguồn điện, phần cứng, driver
4624 Security An account was successfully logged on – Đăng nhập thành công Information Theo dõi các đăng nhập bất thường
4625 Security An account failed to log on – Đăng nhập thất bại Information Kiểm tra nguyên nhân thất bại, có thể là tấn công brute force
4648 Security A process has been created – Quá trình mới được tạo Information Theo dõi các quá trình đáng ngờ
4672 Security Special privileges assigned to new logon – Quyền đặc biệt được gán Information Kiểm tra các quyền bất thường
7000 System Service Control Manager – Dịch vụ không khởi động được Error Kiểm tra dịch vụ lỗi, phụ thuộc và quyền

5. Sử dụng PowerShell để quản lý log

PowerShell cung cấp các cmdlet mạnh mẽ để làm việc với event log:

5.1 Xem danh sách tất cả các log

Get-WinEvent -ListLog *

5.2 Lấy các sự kiện cụ thể

Get-WinEvent -FilterHashtable @{
    LogName = 'System'
    Level = 2 # 1=Critical, 2=Error, 3=Warning, 4=Information
    StartTime = [DateTime]::Today.AddDays(-1)
}

5.3 Lọc sự kiện theo Event ID

Get-WinEvent -FilterHashtable @{
    LogName = 'Application'
    ID = 1000
    StartTime = [DateTime]::Today.AddDays(-7)
} | Select-Object TimeCreated, Id, LevelDisplayName, Message

5.4 Xuất log ra file CSV

Get-WinEvent -LogName System -MaxEvents 1000 |
Export-Csv -Path "C:\logs\system_events.csv" -NoTypeInformation

5.5 Xóa log cũ

Clear-EventLog -LogName Application
Clear-EventLog -LogName System
Clear-EventLog -LogName Security

Lưu ý: Các lệnh PowerShell yêu cầu quyền admin để thực thi.

6. Các công cụ phân tích log nâng cao

Ngoài Event Viewer và PowerShell, bạn có thể sử dụng các công cụ chuyên nghiệp sau:

  • Windows Event Collector (WEC): Thu thập và lưu trữ sự kiện từ nhiều máy tính trong mạng tại một vị trí trung tâm
  • Log Parser: Công cụ dòng lệnh từ Microsoft để truy vấn và phân tích log
  • Splunk: Nền tảng phân tích dữ liệu máy tính mạnh mẽ với khả năng tìm kiếm và báo cáo nâng cao
  • ELK Stack (Elasticsearch, Logstash, Kibana): Bộ công cụ mã nguồn mở để thu thập, xử lý và visualize log
  • Graylog: Nền tảng quản lý log tập trung với giao diện web thân thiện
  • PRTG Network Monitor: Công cụ giám sát mạng với khả năng theo dõi event log

7. Các mẹo quản lý log hiệu quả

  1. Thiết lập kích thước log hợp lý:
    • Mở Event Viewer
    • Nhấn chuột phải vào log cần cấu hình (ví dụ: Windows Logs > Application)
    • Chọn Properties
    • Trong phần “When maximum event log size is reached”, chọn hành động phù hợp:
      • Overwrite events as needed (default)
      • Archive the log when full, do not overwrite
      • Overwrite events older than X days
    • Đặt kích thước tối đa phù hợp (ví dụ: 20MB cho Application log)
  2. Tạo custom views cho các sự kiện quan trọng:
    • Trong Event Viewer, chọn “Create Custom View” từ menu Action
    • Thiết lập các tiêu chí lọc cần thiết
    • Đặt tên cho view và lưu lại
    • Custom view sẽ xuất hiện trong mục “Custom Views”
  3. Thiết lập subscription để thu thập log từ nhiều máy:
    • Mở Event Viewer
    • Nhấn chuột phải vào “Subscriptions” và chọn “Create Subscription”
    • Nhập tên subscription và chọn “Source Computers”
    • Thêm các máy tính cần thu thập log
    • Chọn các log cần thu thập và thiết lập bộ lọc nếu cần
    • Chọn tài khoản có quyền truy cập các máy tính nguồn
  4. Sử dụng Task Scheduler để tự động hóa:
    • Tạo task tự động xuất log hàng ngày
    • Thiết lập cảnh báo khi có sự kiện quan trọng xảy ra
    • Tự động xóa log cũ định kỳ
  5. Theo dõi các sự kiện bảo mật quan trọng:
    • Event ID 4625 (đăng nhập thất bại) – Có thể chỉ ra tấn công brute force
    • Event ID 4672 (quyền admin được gán) – Theo dõi các thay đổi quyền bất thường
    • Event ID 4688 (quá trình mới được tạo) – Phát hiện phần mềm độc hại
    • Event ID 4698 (thay đổi nhóm local) – Theo dõi thay đổi thành viên nhóm
    • Event ID 4720 (tài khoản người dùng được tạo) – Phát hiện tài khoản đáng ngờ

8. Giải quyết các sự cố phổ biến với event log

8.1 Lỗi “Event Log service is not running”

Nguyên nhân và cách khắc phục:

  1. Mở Services.msc (nhấn Windows + R, gõ services.msc)
  2. Tìm dịch vụ “Windows Event Log”
  3. Kiểm tra trạng thái dịch vụ:
    • Nếu đang Stopped, nhấn Start
    • Nếu không thể start, kiểm tra phụ thuộc (Dependencies tab)
  4. Kiểm tra quyền của tài khoản hệ thống:
    • Mở Local Users and Groups
    • Kiểm tra tài khoản SYSTEM có đầy đủ quyền
  5. Chạy lệnh sau trong Command Prompt (admin): 
    sc config eventlog start= auto
net start eventlog
  6. Kiểm tra xung đột phần mềm:
    • Vô hiệu hóa tạm thời phần mềm bảo mật
    • Kiểm tra các ứng dụng giám sát hệ thống

8.2 Log bị đầy và không ghi thêm được

Cách xử lý:

  1. Mở Event Viewer
  2. Nhấn chuột phải vào log bị đầy, chọn Properties
  3. Trong phần “When maximum event log size is reached”, chọn:
    • “Overwrite events as needed” (tự động ghi đè)
    • Hoặc tăng kích thước tối đa của log
  4. Xóa log hiện tại nếu cần:
    • Nhấn “Clear Log”
    • Chọn “Save and Clear” nếu muốn lưu lại trước khi xóa

8.3 Không thể mở Event Viewer

Các bước khắc phục:

  1. Kiểm tra dịch vụ Windows Event Log như phần 8.1
  2. Chạy System File Checker: 
    sfc /scannow
  3. Đăng ký lại các file DLL liên quan: 
    regsvr32 %windir%\system32\winevt.dll
regsvr32 %windir%\system32\wevtsvc.dll
regsvr32 %windir%\system32\wevtapi.dll
  4. Tạo tài khoản người dùng mới và thử mở Event Viewer
  5. Khôi phục hệ thống về thời điểm trước khi xảy ra sự cố

9. Bảo mật event log

Event log chứa nhiều thông tin nhạy cảm, cần được bảo vệ:

  1. Hạn chế quyền truy cập:
    • Chỉ admin mới nên có quyền đọc Security log
    • Sử dụng Group Policy để kiểm soát quyền truy cập:
      • Computer Configuration > Windows Settings > Security Settings > Event Log
      • Thiết lập quyền cho từng loại log
  2. Bật audit cho các hoạt động quan trọng:
    • Mở Local Security Policy (secpol.msc)
    • Đi đến: Security Settings > Local Policies > Audit Policy
    • Bật audit cho:
      • Audit logon events
      • Audit object access
      • Audit privilege use
      • Audit process tracking
      • Audit system events
  3. Mã hóa log khi lưu trữ:
    • Sử dụng BitLocker để mã hóa ổ đĩa chứa log
    • Khi xuất log ra file, lưu ở vị trí được bảo vệ
  4. Giám sát các thay đổi đối với dịch vụ log:
    • Thiết lập cảnh báo cho Event ID 7040 (thay đổi trạng thái dịch vụ)
    • Theo dõi các thay đổi trong registry liên quan đến event log
  5. Sao lưu log định kỳ:
    • Tạo lịch trình tự động xuất và sao lưu log
    • Lưu trữ log ở vị trí an toàn, ngoài site nếu cần

10. Tài nguyên hữu ích

10.1 Tài liệu chính thức từ Microsoft

10.2 Công cụ phân tích

  • Log Parser 2.2 – Công cụ truy vấn log mạnh mẽ từ Microsoft
  • Splunk – Nền tảng phân tích dữ liệu máy tính

10.3 Cộng đồng hỗ trợ

10.4 Khóa học trực tuyến

11. Kết luận

Việc theo dõi và phân tích event log trên Windows 10 là kỹ năng quan trọng đối với cả người dùng thông thường và quản trị viên hệ thống. Thông qua event log, bạn có thể:

  • Phát hiện sớm các sự cố hệ thống
  • Chẩn đoán nguyên nhân của các lỗi
  • Theo dõi hoạt động bảo mật
  • Giám sát hiệu suất hệ thống
  • Tuân thủ các yêu cầu kiểm toán

Bằng cách làm chủ các kỹ thuật được trình bày trong bài viết này, bạn sẽ có thể quản lý hệ thống Windows 10 của mình một cách hiệu quả hơn, giảm thiểu thời gian ngừng hoạt động và cải thiện bảo mật tổng thể.

Hãy bắt đầu bằng việc khám phá Event Viewer trên máy tính của bạn và thực hành với các kỹ thuật lọc, xuất và phân tích log. Đừng quên thiết lập các custom view cho các sự kiện quan trọng và định cấu hình cảnh báo cho các sự kiện bảo mật then chốt.

Leave a Reply

Your email address will not be published. Required fields are marked *