Log hệ thống

Log hệ thống - Phần 1 (System Monitor) Bạn là nhà quản trị mạng của một doanh nghiệp, trong hệ thống mạng của bạn có một máy chủ chứa dữ liệu rất quan trọng. Một buổi tối bạn để máy chủ đó chạy suốt đêm nhưng khi về đến nhà bạn truy cập vào máy chủ thì báo lỗi từ chối dịch vụ do không thể kết nối, buổi sáng bạn vội vã đến xem xét tình hình thì thấy một số dữ liệu đã bị mất và vấn đề lúc này là xem ai đã gây ra vấn đề trên, việc ghi lại log của hệ thống ngoài việc cho phép người quản trị phát hiện ra các lỗi trong quá trình hoạt động của hệ thống còn cho phép phát hiện ra những truy cập bất hợp pháp. Trong bài viết này tôi giới thiệu với các bạn toàn bộ các vấn đề liên quan tới log hệ thống được tích hợp trên Windows với hai tool chính đó là Event Viewer và Performance tools. 1. Trước tiên tôi giới thiệu về Performance tools. Khi nói đến giám sát hệ thống người ta sẽ nghĩ ngay tới hai công cụ chủ yếu đó là Task Manager và System Monitor. a. Task Manager Đây là một tool trong hệ thống cho phép bạn giám sát các tiến trình chạy trên hệ thống, hay có thể giám sát Current Performance, ngoài ra bạn còn có thể thao tác và thực thi như chạy một ứng dụng, ngắt một tiến trình đang thực thi... Trong tab network cho phép bạn giám sát performance thực tế của card mạng thông qua các thông số khác mà bạn có thể lựa chọn trong view options của tab network này. Đây là một tool giám sát hệ thống một cách tổng quát nhất, chỉ chạy khi có sự thực thi của người dùng. Vậy trong tình huống đầu tiên của bài viết khi bạn về nhà nhưng hệ thống không vào được vậy bạn có sử lý nếu chỉ có task manager không? câu trả lời là không, nhưng thật may mắn hệ thống còn tích hợp một tool rất mạnh cho phép ghi lại log các thuộc tính (counters) của các đối tượng như (CPU, RAM, HDD, Network..). Thực tế Task Manager là một tool đơn giản cho phép giám sát hệ thống trong thời điểm hiện tại và không có khả năng ghi lại. Chính sự đơn giản dễ sử dụng đó nên công cụ này vẫn rất được nhiều nhà quản trị sử dụng để giải quyết các sự cố nhỏ như "treo máy" máy chạy tự nhiên chập chạp.... Các tool quá đơn giản chẳng hạn tôi muốn xem tốc độ đọc ghi dữ liệu trên ổ cứng thì cũng không thể thực hiện, task manager chỉ theo dõi những thuộc tính (counter) đặc chưng của những đối tượng như CPU, RAM, Network. System Monitor Counter Log Thật may mắn System Monitor là một tool rất mạnh để các bạn vừa có thể giám sát các counter chi tiết của những đối tượng khác nhau, với tính năng thêm bớt rất linh hoạt cho phép người dùng có thể chỉ cần nhấn vào dấu + để add thêm các counter khác, hoặc ta có thể nhấn X để không giám sát những counter không cần thiết. Mặc định hệ thống sẽ giám sát ba đối tượng là: Memory, PhysicalDisk, và Processor. Các thuộc tính đặc trưng của mỗi đỗi tượng là: Memory với thuộc tính Pages/sec, PhysicalDisk với thuộc tính AVG Disk Queue Length, với Processor có thuộc tính % Preccessor Time. Khi các bạn muốn add thêm các counter của một object cụ thể các bạn nhấn vào nút + sẽ suất hiện cửa cửa sổ chẳng hạn tôi add thêm thuộc tính %user time của Processor vào Sau đó tôi loại bỏ toàn bộ các counter khác của các đối tượng khác và chỉ giám sát mỗi counter %user time của processor mà thôi. Nhưng đó là cách giám sát trực tiếp, nhưng tôi muốn các tiến trình của các đối tượng xảy ra lúc tôi không có mặt thì sao, bình thường máy chủ hoạt động 24/7 nhưng tôi chỉ là việc giờ hành chính, để đảm bảo toàn bộ các tiến trình xảy ra với các counter của object được ghi lại tôi thực hiện một công cụ trong System Monitor đó là Counter Log. Counter log ngoài việc cho ta giám sát trực tiếp counter của đối tượng cụ thể mà còn cho ta ghi lại với những thiết lập cụ thể, cửa sổ counter log bạn nhấn New Log Setting Sau khi tạo ra một log file bạn thiết lập add các counter, như tên của log này là Log %Processor time của CPU nên nhấn vào add counter trong cửa sổ log setting. Nếu bạn chọn vào add object thì hệ thống tự động add toàn bộ các counter của object đó. Đó là cách bạn thiết lập ghi lại với counter log vậy bạn muốn xem lại thì phải làm thế nào? tôi chuột phải vào Log setting chọn save as file ra định dạng html với định dạng này bạn có thể view trực tiếp hoặc có thể xem các quá trình đã được ghi lại trong hệ thống Với tính năng hỗ trợ save ra file html bạn có thể tích hợp trên web site và có thể giám sát hệ thông trực tiếp qua hệ thống web site của công ty Tính năng hỗ trợ web là một tính năng cao cấp của system monitor bạn có thể ngồi bất kỳ đâu miễn có internet và vào được trang web của công ty bạn có thể giám sát hệ thống như ngồi trực tiếp trên máy chủ. Trace log Việc giám sát các tài nguyên phần cứng những counter của các object cụ thể là rất quan trọng. Một tình huống đặt ra khi bạn về nhà không truy cập được vào máy chủ và sáng hôm sau bạn đi làm xem lại log các counter thì thấy CPU lúc nào cũng hoạt động 100% và vấn đề lúc bạn nên thì hệ thống đã hoạt động bình thường. Việc cần thiết đặt ra của bạn là nguyên nhân nào đã gây nên việc CPU luôn ở mức 100%. Nếu chỉ xem counter log thì bạn không thể thực hiện được việc này. Thật may mắn System Monitor cung cấp cho bạn một tool đó là Trace Log để ghi lại các tiến trình của các Service như DNS, Active Directory, Web... Toàn bộ việc add các đối tượng của trace log cũng tương tụ như Counter log các bạn có thể tự mình thực hiện có vấn đề gì bạn có thể post câu hỏi của mình lên forum hoặc Alert log. Ban đêm bạn về nhà thấy máy chủ không truy cập được và bạn phải đợi tới sáng hôm sau mới có thể giải quyết được sự cố, vậy sao bạn không nghĩ ra một cách là sẽ cảnh báo nếu hệ thống cảm thấy nguy hiểm, ví dụ khi %Processor time vượt 95% trong 30 phút thì khởi động lại máy tính... Đó chính là ứng dụng của Alert log. Bạn có thể tự mình khám phá và mọi thắc mắc của bạn có thể post lên 2 forum trên chúng tôi sẽ trả lời giúp bạn. Trong phần sau của bài viết tôi sẽ trình bày với các bạn một công cụ khác của hệ thống đó là Event Viewer để xem lại các event của hệ thống. Chúc các bạn thành công! Theo vnexperts Trong bài viết này tôi giới thiệu với các bạn toàn bộ các vấn đề liên quan tới log hệ thống được tích hợp trên Windows với hai tool chính đó là Event Viewer và Performance tools. 1. Trước tiên tôi giới thiệu về Performance tools. Khi nói đến giám sát hệ thống người ta sẽ nghĩ ngay tới hai công cụ chủ yếu đó là Task Manager và System Monitor. a. Task Manager Đây là một tool trong hệ thống cho phép bạn giám sát các tiến trình chạy trên hệ thống, hay có thể giám sát Current Performance, ngoài ra bạn còn có thể thao tác và thực thi như chạy một ứng dụng, ngắt một tiến trình đang thực thi... Trong tab network cho phép bạn giám sát performance thực tế của card mạng thông qua các thông số khác mà bạn có thể lựa chọn trong view options của tab network này. Đây là một tool giám sát hệ thống một cách tổng quát nhất, chỉ chạy khi có sự thực thi của người dùng. Vậy trong tình huống đầu tiên của bài viết khi bạn về nhà nhưng hệ thống không vào được vậy bạn có sử lý nếu chỉ có task manager không? câu trả lời là không, nhưng thật may mắn hệ thống còn tích hợp một tool rất mạnh cho phép ghi lại log các thuộc tính (counters) của các đối tượng như (CPU, RAM, HDD, Network..). Thực tế Task Manager là một tool đơn giản cho phép giám sát hệ thống trong thời điểm hiện tại và không có khả năng ghi lại. Chính sự đơn giản dễ sử dụng đó nên công cụ này vẫn rất được nhiều nhà quản trị sử dụng để giải quyết các sự cố nhỏ như "treo máy" máy chạy tự nhiên chập chạp.... Các tool quá đơn giản chẳng hạn tôi muốn xem tốc độ đọc ghi dữ liệu trên ổ cứng thì cũng không thể thực hiện, task manager chỉ theo dõi những thuộc tính (counter) đặc chưng của những đối tượng như CPU, RAM, Network. System Monitor Counter Log Thật may mắn System Monitor là một tool rất mạnh để các bạn vừa có thể giám sát các counter chi tiết của những đối tượng khác nhau, với tính năng thêm bớt rất linh hoạt cho phép người dùng có thể chỉ cần nhấn vào dấu + để add thêm các counter khác, hoặc ta có thể nhấn X để không giám sát những counter không cần thiết. Mặc định hệ thống sẽ giám sát ba đối tượng là: Memory, PhysicalDisk, và Processor. Các thuộc tính đặc trưng của mỗi đỗi tượng là: Memory với thuộc tính Pages/sec, PhysicalDisk với thuộc tính AVG Disk Queue Length, với Processor có thuộc tính % Preccessor Time. Khi các bạn muốn add thêm các counter của một object cụ thể các bạn nhấn vào nút + sẽ suất hiện cửa cửa sổ chẳng hạn tôi add thêm thuộc tính %user time của Processor vào Sau đó tôi loại bỏ toàn bộ các counter khác của các đối tượng khác và chỉ giám sát mỗi counter %user time của processor mà thôi. Nhưng đó là cách giám sát trực tiếp, nhưng tôi muốn các tiến trình của các đối tượng xảy ra lúc tôi không có mặt thì sao, bình thường máy chủ hoạt động 24/7 nhưng tôi chỉ là việc giờ hành chính, để đảm bảo toàn bộ các tiến trình xảy ra với các counter của object được ghi lại tôi thực hiện một công cụ trong System Monitor đó là Counter Log. Counter log ngoài việc cho ta giám sát trực tiếp counter của đối tượng cụ thể mà còn cho ta ghi lại với những thiết lập cụ thể, cửa sổ counter log bạn nhấn New Log Setting Sau khi tạo ra một log file bạn thiết lập add các counter, như tên của log này là Log %Processor time của CPU nên nhấn vào add counter trong cửa sổ log setting. Nếu bạn chọn vào add object thì hệ thống tự động add toàn bộ các counter của object đó. Đó là cách bạn thiết lập ghi lại với counter log vậy bạn muốn xem lại thì phải làm thế nào? tôi chuột phải vào Log setting chọn save as file ra định dạng html với định dạng này bạn có thể view trực tiếp hoặc có thể xem các quá trình đã được ghi lại trong hệ thống Với tính năng hỗ trợ save ra file html bạn có thể tích hợp trên web site và có thể giám sát hệ thông trực tiếp qua hệ thống web site của công ty Tính năng hỗ trợ web là một tính năng cao cấp của system monitor bạn có thể ngồi bất kỳ đâu miễn có internet và vào được trang web của công ty bạn có thể giám sát hệ thống như ngồi trực tiếp trên máy chủ. Trace log Việc giám sát các tài nguyên phần cứng những counter của các object cụ thể là rất quan trọng. Một tình huống đặt ra khi bạn về nhà không truy cập được vào máy chủ và sáng hôm sau bạn đi làm xem lại log các counter thì thấy CPU lúc nào cũng hoạt động 100% và vấn đề lúc bạn nên thì hệ thống đã hoạt động bình thường. Việc cần thiết đặt ra của bạn là nguyên nhân nào đã gây nên việc CPU luôn ở mức 100%. Nếu chỉ xem counter log thì bạn không thể thực hiện được việc này. Thật may mắn System Monitor cung cấp cho bạn một tool đó là Trace Log để ghi lại các tiến trình của các Service như DNS, Active Directory, Web... Toàn bộ việc add các đối tượng của trace log cũng tương tụ như Counter log các bạn có thể tự mình thực hiện có vấn đề gì bạn có thể post câu hỏi của mình lên forum hoặc Alert log. Ban đêm bạn về nhà thấy máy chủ không truy cập được và bạn phải đợi tới sáng hôm sau mới có thể giải quyết được sự cố, vậy sao bạn không nghĩ ra một cách là sẽ cảnh báo nếu hệ thống cảm thấy nguy hiểm, ví dụ khi %Processor time vượt 95% trong 30 phút thì khởi động lại máy tính... Đó chính là ứng dụng của Alert log. Bạn có thể tự mình khám phá và mọi thắc mắc của bạn có thể post lên 2 forum trên chúng tôi sẽ trả lời giúp bạn. Trong phần sau của bài viết tôi sẽ trình bày với các bạn một công cụ khác của hệ thống đó là Event Viewer để xem lại các event của hệ thống. Chúc các bạn thành công! Trong bài viết này tôi giới thiệu với các bạn toàn bộ các vấn đề liên quan tới log hệ thống được tích hợp trên Windows với hai tool chính đó là Event Viewer và Performance tools. 1. Trước tiên tôi giới thiệu về Performance tools. Khi nói đến giám sát hệ thống người ta sẽ nghĩ ngay tới hai công cụ chủ yếu đó là Task Manager và System Monitor. a. Task Manager Đây là một tool trong hệ thống cho phép bạn giám sát các tiến trình chạy trên hệ thống, hay có thể giám sát Current Performance, ngoài ra bạn còn có thể thao tác và thực thi như chạy một ứng dụng, ngắt một tiến trình đang thực thi... Trong tab network cho phép bạn giám sát performance thực tế của card mạng thông qua các thông số khác mà bạn có thể lựa chọn trong view options của tab network này. Đây là một tool giám sát hệ thống một cách tổng quát nhất, chỉ chạy khi có sự thực thi của người dùng. Vậy trong tình huống đầu tiên của bài viết khi bạn về nhà nhưng hệ thống không vào được vậy bạn có sử lý nếu chỉ có task manager không? câu trả lời là không, nhưng thật may mắn hệ thống còn tích hợp một tool rất mạnh cho phép ghi lại log các thuộc tính (counters) của các đối tượng như (CPU, RAM, HDD, Network..). Thực tế Task Manager là một tool đơn giản cho phép giám sát hệ thống trong thời điểm hiện tại và không có khả năng ghi lại. Chính sự đơn giản dễ sử dụng đó nên công cụ này vẫn rất được nhiều nhà quản trị sử dụng để giải quyết các sự cố nhỏ như "treo máy" máy chạy tự nhiên chập chạp.... Các tool quá đơn giản chẳng hạn tôi muốn xem tốc độ đọc ghi dữ liệu trên ổ cứng thì cũng không thể thực hiện, task manager chỉ theo dõi những thuộc tính (counter) đặc chưng của những đối tượng như CPU, RAM, Network. System Monitor Counter Log Thật may mắn System Monitor là một tool rất mạnh để các bạn vừa có thể giám sát các counter chi tiết của những đối tượng khác nhau, với tính năng thêm bớt rất linh hoạt cho phép người dùng có thể chỉ cần nhấn vào dấu + để add thêm các counter khác, hoặc ta có thể nhấn X để không giám sát những counter không cần thiết. Mặc định hệ thống sẽ giám sát ba đối tượng là: Memory, PhysicalDisk, và Processor. Các thuộc tính đặc trưng của mỗi đỗi tượng là: Memory với thuộc tính Pages/sec, PhysicalDisk với thuộc tính AVG Disk Queue Length, với Processor có thuộc tính % Preccessor Time. Khi các bạn muốn add thêm các counter của một object cụ thể các bạn nhấn vào nút + sẽ suất hiện cửa cửa sổ chẳng hạn tôi add thêm thuộc tính %user time của Processor vào Sau đó tôi loại bỏ toàn bộ các counter khác của các đối tượng khác và chỉ giám sát mỗi counter %user time của processor mà thôi. Nhưng đó là cách giám sát trực tiếp, nhưng tôi muốn các tiến trình của các đối tượng xảy ra lúc tôi không có mặt thì sao, bình thường máy chủ hoạt động 24/7 nhưng tôi chỉ là việc giờ hành chính, để đảm bảo toàn bộ các tiến trình xảy ra với các counter của object được ghi lại tôi thực hiện một công cụ trong System Monitor đó là Counter Log. Counter log ngoài việc cho ta giám sát trực tiếp counter của đối tượng cụ thể mà còn cho ta ghi lại với những thiết lập cụ thể, cửa sổ counter log bạn nhấn New Log Setting Sau khi tạo ra một log file bạn thiết lập add các counter, như tên của log này là Log %Processor time của CPU nên nhấn vào add counter trong cửa sổ log setting. Nếu bạn chọn vào add object thì hệ thống tự động add toàn bộ các counter của object đó. Đó là cách bạn thiết lập ghi lại với counter log vậy bạn muốn xem lại thì phải làm thế nào? tôi chuột phải vào Log setting chọn save as file ra định dạng html với định dạng này bạn có thể view trực tiếp hoặc có thể xem các quá trình đã được ghi lại trong hệ thống Với tính năng hỗ trợ save ra file html bạn có thể tích hợp trên web site và có thể giám sát hệ thông trực tiếp qua hệ thống web site của công ty Tính năng hỗ trợ web là một tính năng cao cấp của system monitor bạn có thể ngồi bất kỳ đâu miễn có internet và vào được trang web của công ty bạn có thể giám sát hệ thống như ngồi trực tiếp trên máy chủ. Trace log Việc giám sát các tài nguyên phần cứng những counter của các object cụ thể là rất quan trọng. Một tình huống đặt ra khi bạn về nhà không truy cập được vào máy chủ và sáng hôm sau bạn đi làm xem lại log các counter thì thấy CPU lúc nào cũng hoạt động 100% và vấn đề lúc bạn nên thì hệ thống đã hoạt động bình thường. Việc cần thiết đặt ra của bạn là nguyên nhân nào đã gây nên việc CPU luôn ở mức 100%. Nếu chỉ xem counter log thì bạn không thể thực hiện được việc này. Thật may mắn System Monitor cung cấp cho bạn một tool đó là Trace Log để ghi lại các tiến trình của các Service như DNS, Active Directory, Web... Toàn bộ việc add các đối tượng của trace log cũng tương tụ như Counter log các bạn có thể tự mình thực hiện có vấn đề gì bạn có thể post câu hỏi của mình lên forum hoặc Alert log. Ban đêm bạn về nhà thấy máy chủ không truy cập được và bạn phải đợi tới sáng hôm sau mới có thể giải quyết được sự cố, vậy sao bạn không nghĩ ra một cách là sẽ cảnh báo nếu hệ thống cảm thấy nguy hiểm, ví dụ khi %Processor time vượt 95% trong 30 phút thì khởi động lại máy tính... Đó chính là ứng dụng của Alert log. Bạn có thể tự mình khám phá và mọi thắc mắc của bạn có thể post lên 2 forum trên chúng tôi sẽ trả lời giúp bạn. Trong phần sau của bài viết tôi sẽ trình bày với các bạn một công cụ khác của hệ thống đó là Event Viewer để xem lại các event của hệ thống.