Khắc phục sự cố các entry bản ghi sự kiện

 Trong hướng dẫn này chúng tôi sẽ giới thiệu cho các bạn một số mẹo, khái niệm, công cụ cũng như các phương pháp để xác định nguyên nhân gốc của các sự kiện.

Chúng ta đã biết, xem lại bản ghi là công việc quan trọng đối với các quản trị viên mạng, giúp họ có thể xác định những gì đang diễn ra trên máy chủ của mình. Tuy nhiên các sự kiện trong bản ghi lại tỏ ra khá lộn xộn, thậm chí trong hệ điều hành máy chủ mới như Windows Server 2008/2008 R2 với sự trợ giúp của giao diện mới cũng như nhiều hỗ trợ khác. Trong bài này chúng tôi sẽ giới thiệu một số mẹo, khái niệm, công cụ và các phương pháp giúp bạn có thể thực hiện việc xác định nguyên nhân gốc của một số sự kiện trong bản ghi.

Bản ghi sự kiện và Event Viewer trong Windows Server 2003 và Windows Server 2008/2008 R2

Có một số thay đổi cơ bản trong Windows Server 2008 và Event Viewer. Có câu hỏi đặt ra rằng, liệu Event Viewer của Windows 2000/2003 có vấn đề gì. Quả thực Event Viewer của Windows 2000/2003 có một số hạn chế như:

• Nhiều thông báo khó hiểu không chỉ thị được vấn đề gốc
• Di chuyển khó khăn giữa các sự kiện
• Thiếu file trợ giúp chuyên sâu
• Hạn chế sự kiểm soát đối với các bộ lọc và phân loại bản ghi
• Không có khả năng ghi chép tập trung
• Không có bẫy sự kiện để gửi email hay thông báo.

Windows 2008/2008 R2 Event Viewer mới đã khắc phục được một số hạn chế trên, ngoài ra nó còn bổ sung thêm một số tính năng mới, đây là những tính năng giúp khắc phục sự cố bản ghi và sự kiện. Các tính năng trong 2008/2008 R2 gồm có:

• Các thông báo được hiển thị theo khung nhìn chuẩn, chi tiết và XML
• Dễ dàng di chuyển bản ghi qua bản ghi và sự kiện qua sự kiện
• Có các liên kết trợ giúp hữu dụng kết nối Internet
• Cho phép lọc để hiển thị thông tin trong các khung nhìn.
• Cho phép ghi chép tập trung (có khả năng tương thích với Windows XP và 2003)
• Các bẫy sự kiện cho phép gửi email, hiển thị thư hoặc chạy ứng dụng (hình 1).

Hình 1: Các sự kiện liên quan với event ID và bản ghi

Các vấn đề đối với sự kiện nói chung

Một lỗi ứng dụng có thể xuất hiện bởi không thể xác thực tài khoản dịch vụ. Một vấn đề bộ nhớ xuất hiện có thể là do quá trình nào đó đang lỗi vì không thể truyền thông với DNS,.... Có thể nói có rất nhiều vấn đề có thể xuất hiện và việc biết được những vấn đề hay xảy ra là một vấn đề quan trọng. Đây là một số vấn đề chung có thể gây ra những sự kiện ngẫu nhiên trên máy chủ:

• Không thể truyền thông được với DNS vì vậy Kerberos không được sử dụng
• Không thể truyền thông được với DNS vì vậy Group Policy đang áp dụng không đúng cách
• Các chứng chỉ được cache hiện đang bị sử dụng
• Bị mất session an toàn cho domain controller
• Sự truyền thông với domain controller bị gián đoạn và gây ra lỗi
• Cập nhật thiết lập Group Policy cũng có thể gây ra các vấn đề
• Các nâng cấp Group Policy đã thay đổi thiết lập cục bộ như quyền người dùng và thành viên nhóm, thiết lập IE,…
• Không thể xác thực tài khoản dịch vụ (bị khóa chặn, mật khẩu hết hạn, giao thức xác thực sai, nâng cấp hệ thống gây ra thay đổi đối với việc xác thực,…)
• DLL được nâng cấp bởi nâng cấp hoặc cài đặt sản phẩm khác
• Thay đổi sự cho phép đối với file, có thể gây ra từ chối truy cập dữ liệu

Với các domain controller, một số vấn đề khác có thể phát sinh:

• Vấn đề tạo bản sao do thay đổi tên, vấn đề địa chỉ IP, nâng cấp,..
• Ủy nhiệm sai bên trong Active Directory
• Ủy nhiệm sai bên trong Group Policy Management
• Thiết lập Group Policy sai đối với quyền người dùng, thành viên nhóm,…
• Sự cho phép sai gây ra lỗi trong ghi chép, đồng bộ và truy cập Active Directory, các file đăng nhập,…

Sử dụng Event Viewer mới để trợ giúp khắc phục sự cố các sự kiện

Như những gì bạn thấy, có nhiều lý do gây ra một sự kiện nào đó. Việc biết cách đọc sự kiện, kết hợp với bản ghi khác và sự kiện đó trong một danh sách có thể rất hữu dụng. Chìa khóa ở đây là sử dụng sự kết hợp của các tính năng mới, sự kết hợp này sẽ cho phép bạn có được một cái nhìn rõ ràng nhất về những gì đang diễn ra theo luồng sự kiện.

Đầu tiên, cần thiết lập chuyển tiếp bản ghi sự kiện. Cách thức này cho phép nhận các sự kiện từ các máy tính khác trong một bản ghi. Cần bảo đảm chỉ chuyển tiếp event ID mà bạn cần trong bản ghi của mình. Việc lấy toàn bộ các bản ghi bảo mật và hệ thống từ mọi máy tính là điều khó khăn. Tuy nhiên việc lấy các sự kiện có liên quan đến xác thực, thay đổi nhóm,… sẽ dễ dàng hơn và chúng cung cấp nhiều thông tin hữu dụng.

Thứ hai, cần kết hợp các sự kiện từ nhiều bản ghi, gồm có bản ghi được chuyển tiếp từ bước 1, vào khung nhìn tùy chỉnh. Custom Views như thể hiện trong hình 2, cho phép bạn xem những gì bạn muốn từ nhiều bản ghi theo một dòng chảy liên tục.

Hình 2: Custom Views cho phép bạn chọn các ID sự kiện từ nhiều bản ghi khác nhau

Thứ ba, thiết lập nhiệm vụ được lập lịch trình để ghi event ID vào bản ghi. Thao tác này sẽ cho phép bạn kiểm soát một cách liên tục các bản ghi và sự kiện xảy ra. Vì vậy, khi có một lỗi xác thực, bạn sẽ nhận được email cho phép xác định liệu lỗi có đó là do máy chủ, mạng hay domain controller.

Thứ tư, quan sát xu hướng. Hầu hết các ứng dụng, dịch vụ, và việc xác thực xuất hiện theo một tuần suất nào đó.  Ví dụ như cứ 10, 12, 15, 20, 30,.. phút lại có một lỗi xác thực tài khoản dịch vụ. Cần xem sự kiện đó có tính chất định kỳ hay không. Nếu có tính định kỳ, hãy quan sát các sự kiện trong bản ghi System và Application để xem các lỗi xác thực có xảy ra đồng thời với các vấn đề khác đang được kiểm tra hay không.

Kết luận

Rất khó trong việc giám sát và khắc phục sự cố các bản ghi sự kiện và event ID. Tuy nhiên với các tính năng mới trong Event Viewer của Windows Server 2008 và Windows Server 2008 R2, việc khắc phục sự cố các máy chủ trở nên đơn giản hơn, lúc này bạn có thể xem nhiều bản ghi và sự kiện theo một dòng chảy liên tục. Điều này cho phép thấy rõ xu hướng, sự kết hợp và cùng với đó là các sự kiện không liên quan. Ngoài ra việc chuyển tiếp bản ghi sự kiện, khung nhìn tùy chỉnh cũng như các nhiệm vụ có thể lập lịch trình cho event ID đã trợ giúp rất nhiều cho Event Viewer trong việc khắc phục sự cố các sự kiện.