Chuyển tới nội dung chính

Kiểm tra và Tối ưu Event Viewer để Giảm Lỗi Hệ Thống

Giới Thiệu

Event Viewer là một công cụ quản lý tích hợp trong Windows, ghi lại các sự kiện quan trọng xảy ra trên hệ thống của bạn, từ việc khởi động ứng dụng, lỗi driver, đến các sự cố bảo mật. Hiểu và sử dụng Event Viewer một cách hiệu quả là chìa khóa để chẩn oán, khắc phục sự cố và duy trì một hệ thống Windows ổn định, ít lỗi. Bài hướng dẫn này sẽ chỉ cho bạn cách kiểm tra, phân tích và tối ưu Event Viewer để giảm thiểu các vấn đề không mong muốn.

📋 Thời gian: 25 phút | Độ khó: Trung bình

Yêu Cầu

Để thực hiện theo hướng dẫn này, bạn cần:

  • Một máy tính chạy hệ điều hành Windows (Windows 10, 11 hoặc Windows Server).
  • Quyền quản trị viên (Administrator) trên hệ thống để truy cập và thay đổi cài đặt Event Viewer.
  • Kiến thức cơ bản về điều hướng trong Windows.

Các Bước Thực Hiện

Bước 1: Mở Event Viewer

Có nhiều cách để truy cập Event Viewer:

  1. Sử dụng Tìm kiếm Windows:

    • Nhấn Windows + S để mở thanh tìm kiếm.
    • Gõ "Event Viewer" và chọn kết quả phù hợp.

  2. Sử dụng Run (Chạy):

    • Nhấn Windows + R để mở hộp thoại Run.
    • eventvwr.msc và nhấn Enter.

Sau khi mở, bạn sẽ thấy giao diện Event Viewer với các danh mục log khác nhau ở khung bên trái.

Bước 2: Xác định và Phân tích Lỗi Quan trọng

Các log chính bạn cần chú ý là:

  • Application (Ứng dụng): Ghi lại các sự kiện liên quan đến ứng dụng và chương trình đã cài đặt.
  • System (Hệ thống): Chứa các sự kiện liên quan đến hệ điều hành, driver, và các dịch vụ Windows.
  • Security (Bảo mật): Ghi lại các sự kiện kiểm tra bảo mật như đăng nhập/đăng xuất, truy cập tài nguyên.
  • Setup (Thiết lập): Ghi lại các sự kiện cài đặt Windows.
  • Forwarded Events (Sự kiện Chuyển tiếp): Chứa các sự kiện được chuyển tiếp từ các máy tính khác.

Để tìm lỗi hiệu quả:

  1. Tạo Custom Views (Chế độ xem tùy chỉnh):

    • Trong khung bên trái, nhấp chuột phải vào "Custom Views" và chọn "Create Custom View...".
    • Trong cửa sổ mới, bạn có thể lọc theo:
      • Logged: Khoảng thời gian (ví dụ: Last 24 hours, Last 7 days).
      • Event level: Chọn "Critical", "Error", "Warning" để tập trung vào các vấn đề.
      • By log: Chọn "Application" và "System" là hai log quan trọng nhất.
      • By source: Lọc theo nguồn sự kiện cụ thể (ví dụ: Disk, Service Control Manager, Application Error).
    • Đặt tên cho chế độ xem tùy chỉnh của bạn (ví dụ: "Lỗi Hệ Thống Gần Đây") và nhấn OK.
    • Mẹo: Chế độ xem tùy chỉnh giúp bạn nhanh chóng quét qua các sự kiện quan trọng mà không bị nhiễu bởi hàng ngàn sự kiện thông tin.

  2. Phân tích sự kiện:

    • Khi bạn tìm thấy một sự kiện "Error" hoặc "Critical", nhấp đúp vào nó để xem chi tiết.
    • Chú ý đến các thông tin như: Log Name, Source, Event ID, Task Category, và General/Details.
    • Event IDSource là những thông tin quan trọng nhất để tìm kiếm giải pháp trên mạng.
    • ⚠️ Cảnh báo: Không phải mọi cảnh báo (Warning) đều là nghiêm trọng, nhưng chúng có thể là dấu hiệu sớm của một vấn đề tiềm ẩn.
# Ví dụ: Sử dụng PowerShell để nhanh chóng liệt kê 10 sự kiện lỗi nghiêm trọng nhất từ log System
# Mở PowerShell với quyền quản trị viên
Get-WinEvent -LogName System -MaxEvents 10 -ErrorAction SilentlyContinue | Where-Object {$_.LevelDisplayName -eq 'Critical' -or $_.LevelDisplayName -eq 'Error'} | Format-Table TimeCreated, Id, LevelDisplayName, ProviderName, Message -Wrap

Lệnh trên sẽ hiển thị 10 sự kiện gần nhất có mức độ "Critical" hoặc "Error" từ nhật kế Hệ thống, giúp bạn nhanh chóng nắm bắt các vấn đề cấp bách.

Bước 3: Tối ưu Cài đặt Event Log

Các tệp nhật ký sự kiện có thể phát triển rất lớn, chiếm dung lượng đĩa và đôi khi gây ra lỗi nếu chúng đầy.

  1. Thay đổi kích thước và chính sách ghi đè:
    • Trong Event Viewer, điều hướng đến "Windows Logs" (Nhật ký Windows).
    • Nhấp chuột phải vào một log (ví dụ: "Application") và chọn "Properties" (Thuộc tính).
    • Trong tab "General" (Chung), bạn sẽ thấy phần "Log size" (Kích thước nhật ký).
    • Thay đổi "Maximum log size" (Kích thước nhật ký tối đa) thành một giá trị hợp lý (ví dụ: 20480 KB hoặc 51200 KB).
    • Chọn chính sách ghi đè:
      • Overwrite events as needed (oldest events first): Tự động ghi đè lên các sự kiện cũ nhất khi nhật ký đầy. Đây là lựa chọn được khuyến nghị cho hầu hết người dùng.
      • Archive the log when full, and do not overwrite events: Lưu trữ nhật ký hiện tại và tạo nhật ký mới khi đầy. Thích hợp cho môi trường yêu cầu lưu giữ lịch sử lâu dài.
      • Do not overwrite events (Clear log manually): Không ghi è. Nhật ký sẽ ngừng ghi khi đầy, yêu cầu bạn phải xóa thủ công. Tránh chọn tùy chọn này nếu bạn không muốn bỏ lỡ các sự kiện mới.
    • Nhấn "Apply" (Áp dụng) và "OK". Lặp lại cho các log "System" và "Security".
# Ví dụ: Thay đổi kích thước tối đa của log Application thành 20MB và đặt chính sách ghi đè
# Mở Command Prompt hoặc PowerShell với quyền quản trị viên
wevtutil sl Application /ms:20971520 /ret:true
# Giải thích:
# sl: Set Log
# Application: Tên log
# /ms:20971520: Maximum Size (20MB tính bằng byte)
# /ret:true: Overwrite events as needed (oldest events first)

💡 Mẹo: Đặt kích thước nhật ký quá nhỏ có thể khiến các sự kiện quan trọng bị ghi đè quá nhanh. Đặt quá lớn có thể chiếm nhiều dung lượng đĩa. Cân bằng là chìa khóa.

Bước 4: Hành động Khắc phục và Giảm thiểu Lỗi

Sau khi xác định một lỗi:

  1. Tìm kiếm trực tuyến: Sử dụng "Event ID" và "Source" để tìm kiếm trên Google hoặc các diễn đàn hỗ trợ của Microsoft. Rất có thể người khác đã gặp và tìm ra giải pháp cho vấn đề tương tự.
  2. Cập nhật Driver/Phần mềm: Nhiều lỗi xuất phát từ driver cũ hoặc phần mềm lỗi thời. Đảm bảo tất cả driver thiết bị và ứng dụng quan trọng đều được cập nhật lên phiên bản mới nhất.
  3. Chạy các công cụ chẩn đoán:
    • System File Checker (SFC): sfc /scannow (trong Command Prompt với quyền Admin) để kiểm tra và sửa chữa các tệp hệ thống bị hỏng.
    • Deployment Image Servicing and Management (DISM): DISM /Online /Cleanup-Image /RestoreHealth để sửa chữa hình ảnh Windows.
  4. Kiểm tra phần cứng: Đối với các lỗi liên quan đến ổ đĩa hoặc bộ nhớ, hãy chạy các công cụ kiểm tra phần cứng tích hợp của Windows hoặc của nhà sản xuất.
  5. Gỡ cài đặt/Cài đặt lại: Nếu lỗi liên quan đến một ứng dụng cụ thể, hãy thử gỡ cài đặt và cài đặt lại ứng dụng đó.

Troubleshooting

  • Event Viewer không mở: Thử chạy sfc /scannowDISM /Online /Cleanup-Image /RestoreHealth. Đôi khi, các dịch vụ liên quan đến nhật ký sự kiện có thể bị hỏng. Đảm bảo dịch vụ "Windows Event Log" đang chạy (kiểm tra trong services.msc).
  • Các log đầy và không ghi thêm sự kiện: Điều này xảy ra khi chính sách ghi đè được đặt là "Do not overwrite events" và nhật ký đã đạt kích thước tối đa. Bạn cần xóa nhật ký thủ công hoặc thay đổi chính sách ghi đè như đã hướng dẫn ở Bước 3.
  • Khó hiểu ý nghĩa các sự kiện: Event Viewer cung cấp nhiều thông tin kỹ thuật. Tập trung vào "Event ID", "Source" và "Description" để tìm kiếm trực tuyến. Các từ khóa như "bug check" hoặc mã lỗi (ví dụ: 0x00000133) là rất quan trọng.
  • Quá nhiều sự kiện "Warning" hoặc "Information": Đây là điều bình thường. Không phải mọi sự kiện đều yêu cầu hành động. Tập trung vào "Error" và "Critical" trước tiên. Sử dụng các Custom Views để lọc bỏ những sự kiện không cần thiết.

Kết Luận

Event Viewer là một công cụ mạnh mẽ nhưng thường bị bỏ qua, giúp bạn nhìn sâu vào "sức khỏe" của hệ thống Windows. Bằng cách thường xuyên kiểm tra các log, phân tích các lỗi quan trọng và tối ưu cài đặt nhật ký, bạn có thể chủ động xác định và giải quyết các vấn đề, giảm thiểu lỗi, và duy trì một hệ thống hoạt động trơn tru hơn.

Best practices:

  • Thường xuyên kiểm tra các Custom Views cóa bạn, đặc biệt là sau khi cài đặt phần mềm mới, driver hoặc gặp sự cố bất thường.
  • Luôn tìm kiếm giải pháp cho các lỗi "Critical" và "Error" bằng cách sử dụng "Event ID" và "Source".
  • Đảm bảo chính sách ghi đè nhật ký được đặt thành "Overwrite events as needed" để không bỏ lỡ các sự kiện mới.
  • Giữ cho hệ điều hành và các driver của bạn luôn được cập nhật.

Xem thêm: