Windows event log là gì - kỹ thuật phân tích event log trên windows
Remote Desktop Activity Log là Nhật ký buổi giao lưu của các kết nối Remote Desktop, khắc ghi những buổi giao lưu của kết nối điều khiển máy vi tính từ xa. Là 1 trong quản trị viên hệ thống, chúng ta không thể bỏ lỡ những log này, hãy thuộc tôi tìm hiểu về đầy đủ điều đáng chăm chú để áp dụng vào thực tiễn nhé.
Bạn đang xem: Windows event log là gì
Bài viết này hoàn toàn có thể ứng dụng khi so với log RDP (Remote Desktop Protocol) trên Windows server 2008 R2, 2012/R2, 2016 và bên trên phiên bạn dạng Windows Desktop (Windows 10, 8.1 and 7).
Khi người tiêu dùng thực hiện kết nối Remote Desktop, toàn bộ hoạt động sẽ được lưu lại trong Windows sự kiện Viewer. Bạn cũng có thể kiểm tra các kết nối RDP bằng phương pháp sử dụng sự kiện Viewer (eventvwr.msc), với xem cụ thể log và sự kiện chính như sau:
Network Connection Authentication Logon Session Disconnect/Reconnect Logoff1. Network Connection
Network connection là một trong kết nối từ vật dụng khách RDP tới thứ chủ.EventID 1149 (Remote Desktop Services: User authentication succeeded).Ý nghĩa: cho biết có một liên kết RDP từ fan dùng, nhưng chưa biết kết nối đó thành công xuất sắc hoặc không.Vị trí log: Applications & Services Logs -> Microsoft -> Windows -> Terminal-Services-Remote
Connection
Manager > Operational
2. Authentication
Ý nghĩa: cho biết kết quả xác thực thành công xuất sắc hoặc không.EventID 4624 (An tài khoản was successfully logged on): chuẩn xác thành công.Event
ID 4625 (An trương mục failed to lớn log on): tuyệt đối không thành công.Vị trí log: Windows -> Security
Chú ý quý hiếm Logon
Type vào phần miêu tả của một event:Logon
Type = 10: một session mới được tạo.Logon
Type = 7: người dùng kết nối lại vào một session sẽ tồn tại.
Mô tả sự kiện cho biết:
Account Name: tên bạn dùng.Workstation Name: tên thiết bị tính.Source Network Address: địa chỉ cửa hàng IP.Lưu ý quý giá của Target
Logon
ID, là một trong những ID độc nhất của RDP session, góp theo dõi các vận động tiếp theo của bạn dùng. Mặc dù nhiên, nếu như một RDP session bị ngắt kết nối, và người tiêu dùng kết nối lại, session đó sẽ được gán một Target
Logon
ID bắt đầu (mặc cho dù RDP session vẫn như thể nhau).
3. Logon
Ý nghĩa: người dùng đăng nhập vào hệ thống, event xuất hiện nay sau khi người dùng đã chính xác thành công.EventID 21 (Remote Desktop Services: Session logon succeeded): đăng nhập thành công.Event
ID 21 (Remote Desktop Services: Shell start notification received): màn hình hiển thị desktop đã lộ diện trong RDP session.Vị trí log: Applications & Services Logs -> Microsoft -> Windows -> Terminal
Services-Local
Session
Manager -> Operational
Event cho thấy Session
ID là ID của RDP session.
4. Session Disconnect/Reconnect
Các event ngắt liên kết và kết nối lại có các ID khác nhau tùy nằm trong vào tại sao gây ra ngắt kết nối.
Xem thêm: Cách tính góc trong tam giác vuông, top 12 công thức tính góc trong tam giác vuông
Vị trí log: Applications and Services Logs -> Microsoft -> Windows -> Terminal
Services-Local
Session
Manager -> Operational
ID 24 (Remote Desktop Services: Session has been disconnected): tín đồ dùng xong xuôi phiên đăng nhập.Event
ID 25 (Remote Desktop Services: Session reconnection succeeded): người tiêu dùng kết nối lại vào RDP session sẽ tồn tại.Event
ID 39 (Session has been disconnected by session ): tín đồ dùng xong xuôi phiên đăng nhập bằng cách chọn tùy lựa chọn trên menu khớp ứng (thay vì đóng cửa sổ RDP client). Trường hợp ID phiên singin khác nhau, tín đồ dùng đã bị ngắt kết nối từ một người dùng khác (hoặc administrator).Event
ID 40 (Session has been disconnected, reason code ):reason code 0 (No additional information is available): người dùng đã đóng cửa sổ RDP client.reason code 5 (The client’s connection was replaced by another connection): người tiêu dùng đã liên kết lại vào RDP session trước đó.reason code 11 (User activity has initiated the disconnect): người tiêu dùng đã click vào nút Disconnect trên start menu.Trong Windows -> Security log, Event
ID 4778 (A session was reconnected to lớn a Window Station): người tiêu dùng đã kết nối lại vào RDP session (người dùng được gán một Logon
ID mới).Trong Windows -> Security log, Event
ID 4799 (A session was disconnected from a Window Station): người tiêu dùng đã ngắt kết nối từ 1 RDP session.
5. Logoff
Ý nghĩa: người tiêu dùng đăng xuất ngoài hệ thống.EventID 23 (Remote Desktop Services: Session logoff succeeded)Vị trí log: Applications and Services Logs -> Microsoft -> Windows -> Terminal
Services-Local
Session
Manager -> Operational
ID 4634 (An tài khoản was logged off).Trong System Log, Event
ID 9009 (The Desktop Window Manager has exited with code ): thời điểm đó người dùng ban đầu đăng xuất, cả window và graphic shell đã bị đóng.
Lời kết
Như vậy họ cũng đã tìm hiểu qua một số sự kiện log đáng chú ý, rất có ích khi theo dõi và phân tích chuyển động liên quan đến Remote Desktop, xuất xắc khi người quản trị viên khối hệ thống phải đem thông tin người dùng đăng nhập vào RDS Server,…
Nếu có những tay nghề về kiểm tra event Log, chúng ta hãy phản hồi phía bên dưới để cùng trao đổi nhé.
Tài liệu tham khảo
Khác
eventviewer
Log
Windows
LO sử dụng zabbix
Next post
Leave a Reply Cancel reply
Your thư điện tử address will not be published. Required fields are marked *
Khi thao tác với máy chủ windows hoặc các máy chạy hệ điều hành quản lý windows, đôi lúc bạn được đồng nghiệp, quý khách hỏi : do sao máy của tôi bị reboot? Máy của tớ bị reboot vào thời khắc nào, lý do là gì? máy chủ của tôi bị ai tắt vậy?…
Bạn thiết yếu hỏi từng bạn rằng ai hoặc tại sao nào đã thực hiện shutdown, reboot máy. Vậy làm thế nào để rất có thể tìm ra vì sao dẫn tới sự việc windows bị restart?
Thật là may mắn cho bạn vì những nhà cải cách và phát triển Windows đã giám sát tới các việc này và hỗ trợ tiện ích sự kiện Viewer để chúng ta có thể tra cứu cùng tìm những lý do. Trong nội dung bài viết này, Học chủ động sẽ chỉ dẫn bạn áp dụng Windows sự kiện Viewer để tìm nguyên nhân, thời gian mà những máy nhà windows bị reboot hoặc shutdown.
Hiển thị log shutdown trong sự kiện Viewer
Windows event Viewer là hình thức để đánh dấu nhật ký các vấn đề, chú ý cơ bạn dạng xảy ra cùng với hệ thống. Trong những số ấy nó sẽ đánh dấu các sự kiện, thời hạn và nguyên nhân mà máy chủ windows bị reboot hoặc shutdown là gì.
Khởi động sự kiện Viewer và tìm tìm các sự kiện liên quan tiền đến khối hệ thống bị shutdowns. Nhấn Win + R nhập vào eventvwr.msc và nhấp OK nhằm mở event Viewer.
Ta đang thấy giao diện event Viewer như sau:
Log shutdown của windows được gìn giữ System của Windows log, vậy phải trước tiên ta chọn Windows Logs tiếp nối chọn System để hiển thị những log hệ thống.
Log Shutdown cùng Restart của windows được biểu lộ ở ID của sự việc kiện. Đối cùng với log shutdown với restart bao gồm 4 ID sự kiện được kết nối với bài toán tắt cùng khởi hễ lại:
Event ID 41 – Nó cho biết thêm đây là log cho thấy thêm máy đã có khởi hễ lại cùng trước đó máy đã bị tắt do các vì sao chẳng hạn như: sản phẩm công nghệ bị treo phải bị tắt bằng phương pháp giữ vào nút mối cung cấp hoặc mất điện bỗng nhiên ngột. Sự kiện ID 1074 – Nó cho biết máy khởi động lại khi một ứng dụng khiến khối hệ thống khởi hễ lại hoặc khi người tiêu dùng tiến hành khởi cồn lại, tắt máy. Lấy một ví dụ nó có thể khởi đụng lại vị Windows Update.Event ID 6006 – Nó cho biết thêm dịch vụ event log đã bị stop. Sự khiếu nại này xẩy ra trong quy trình khởi rượu cồn hoặc tắt máy. Nó thường mở ra cùng với sự kiện id 1074.Event ID 6008 – Nó cho biết trước kia windows bị tắt bất chợt ngột. Nó rất có thể do nguồn tích điện bị mất bất ngờ hoặc hartware đang chuyển động không đúng cách dẫn cho máy bị tắt (có thể vày CPU quá lạnh hoặc từ thẻ đồ họa, ổ cứng …).Để lọc các sự kiện liên quan đến các event ID làm việc trên, nên lựa chọn Filter Current Log nhằm lọc sự kiện id.
Sau đó hãy nhập vào các sự kiện ID là 1074,6006,6008,41 nhằm chỉ coi các event id liên quan đến log shutdown.
Sau lúc nhấp OK, ta vẫn thấy event Viewer chỉ hiển thị những sự kiện tương quan đến log shutdown của windows.
Hãy kích đúp chuột vào 1 event để xem cụ thể về ngườ vẫn khởi cồn lại thứ chủ, ngày giờ máy chủ bị reboot hoặc shutdown và những thông tin chi tiết khác của sự việc kiện.
Sau lúc xem chi tiết các sự kiện, chúng ta có thể đóng lại sự kiện Viewer nếu còn muốn hoặc chúng ta có thể tìm hiểu một số trong những thông tin hữu dụng khác liên quan đến khởi động khối hệ thống như:
Event ID 6005 – cho thấy dịch vụ sự kiện Log đã làm được start. Nó được ghi nhật ký sau khi windows được khởi cồn lại hoặc tắt vật dụng do bạn dùng, ứng dụng. Sự kiện ID 6009 – Sự kiện được ghi lúc khởi cồn máy. Nó cất 1 chuỗi khẳng định phiên phiên bản hệ điều hành.Event ID 6013 – cho biết thời gian máy chủ vận động (từ lần reboot vừa mới đây nhất).Event ID 1076 – người dùng có độc quyền tắt máy đã đăng nhập trước tiên vào thứ chủ sau khi khởi động lại hoặc tắt đột nhiên ngột.Đối với những thắc mắc hoặc lời khuyên mọi người có thể để lại bình luận phía dưới để mình có thể giải đáp hoặc tiếp thu chủ kiến để hoàn thiện hơn.
