วิธีแก้ Event ID ยอดนิยม บน Windows Server 2025

Event Viewer เป็นเครื่องมือสำคัญที่สุดอย่างหนึ่งสำหรับผู้ดูแลระบบ Windows Server 2025 เพราะเกือบทุกปัญหาที่เกิดขึ้นในระบบจะทิ้งร่องรอยไว้ในรูปแบบของ Event ID

หลายครั้งผู้ดูแลระบบมองข้าม Event Viewer แล้วเริ่มแก้ปัญหาจากการคาดเดา ส่งผลให้ใช้เวลานานกว่าจะหาสาเหตุที่แท้จริงเจอ ในขณะที่ Event ID มักบอกต้นเหตุได้ค่อนข้างชัดเจน

บทความนี้จะรวบรวม Event ID ยอดนิยมที่ช่าง IT และ System Administrator พบเจอบ่อย พร้อมแนวทางวิเคราะห์และแก้ไขเบื้องต้น

① Event ID คืออะไร

Event ID คือรหัสเหตุการณ์ที่ Windows ใช้บันทึก

• Error
• Warning
• Information
• Audit Success
• Audit Failure

แต่ละ Event ID จะมีความหมายเฉพาะ

และช่วยให้วิเคราะห์ปัญหาได้รวดเร็วกว่าการดูข้อความ Error เพียงอย่างเดียว

② เปิด Event Viewer อย่างไร

เปิดด้วยคำสั่ง

eventvwr.msc

หรือ

Server Manager

Tools

Event Viewer

Log สำคัญที่ควรตรวจสอบ

• System
• Application
• Security
• DNS Server
• Directory Service

③ Event ID 41 (Kernel-Power)

Event ยอดนิยมที่สุดตัวหนึ่ง

Event ID 41

หมายถึง

Server Shutdown หรือ Restart โดยไม่ถูกต้อง

สาเหตุที่พบบ่อย

• ไฟดับ
• UPS มีปัญหา
• Power Supply เสีย
• Server Hang

ควรตรวจสอบ Hardware และระบบไฟฟ้า

④ Event ID 1000 (Application Error)

Event ID 1000

หมายถึง

Application Crash

มักพบกับ

• IIS
• SQL Server
• Application ภายนอก

ตรวจสอบชื่อ Process ที่ล้มเหลวในรายละเอียด Event

⑤ Event ID 4625 (Failed Login)

Event ID 4625

หมายถึง

Login ล้มเหลว

ใช้วิเคราะห์

• Password ผิด
• Brute Force Attack
• Service Account ผิด

เป็น Event สำคัญด้าน Security

⑥ Event ID 4740 (Account Lockout)

Event ID 4740

หมายถึง

User Account ถูก Lock

ใช้ตรวจสอบว่า

เครื่องใดส่ง Password ผิดเข้ามา

โดยดูค่า

Caller Computer Name

⑦ Event ID 4013 (DNS)

Event ID 4013

มักเกี่ยวข้องกับ

DNS และ Active Directory

พบหลังจาก

• Server Boot
• DNS Service เริ่มทำงาน

หากค้างนานผิดปกติ

ควรตรวจสอบ AD และ DNS Health

⑧ Event ID 1311 (Active Directory)

Event ID 1311

เกี่ยวข้องกับ

AD Replication

มักเกิดจาก

• Site Link Error
• DNS Error
• Network Problem

ควรใช้

repadmin /replsummary

ตรวจสอบเพิ่มเติม

⑨ Event ID 2213 (DFSR)

Event ID 2213

เกี่ยวข้องกับ

DFS Replication

มักเกิดหลัง

• ไฟดับ
• Shutdown ไม่ถูกต้อง
• Storage Error

ส่งผลให้ SYSVOL ไม่ Sync

⑩ Event ID 36888 (Schannel)

Event ID 36888

เกี่ยวข้องกับ

SSL/TLS

มักพบใน

• IIS
• HTTPS
• LDAPS

ควรตรวจสอบ

• Certificate
• TLS Version
• Cipher Suite

⑪ Event ID 10016 (DistributedCOM)

Event ID 10016

เป็น Event ที่พบได้บ่อยมาก

ส่วนใหญ่ไม่ได้ส่งผลกระทบต่อระบบ

หากไม่มีอาการผิดปกติ

มักสามารถมองข้ามได้

⑫ Event ID 7036 และ 7031

เกี่ยวข้องกับ Service

Event ID 7031

Service Crash

Event ID 7036

Service Start/Stop

ใช้วิเคราะห์ปัญหา Service ได้ดีมาก

⑬ วิธีค้นหา Event ID อย่างรวดเร็ว

ใน Event Viewer

ใช้

Filter Current Log

จากนั้นกรอก

Event ID

ที่ต้องการ

ช่วยลดเวลาในการค้นหา Log จำนวนมาก

⑭ วิธีป้องกันปัญหาจาก Event ต่าง ๆ

แนวทางที่แนะนำ

• ตรวจสอบ Event Viewer ทุกวัน
• ใช้ Monitoring System
• ตั้ง Alert สำหรับ Critical Event
• ตรวจสอบ Replication Health
• ตรวจสอบ DNS Health
• ตรวจสอบ Disk และ Hardware

ทีมงาน comsiam มักแนะนำให้สร้างรายการ Event ID สำคัญขององค์กร และกำหนด Alert อัตโนมัติ เพื่อให้สามารถรับรู้ปัญหาก่อนที่ผู้ใช้งานจะเริ่มได้รับผลกระทบ

⑮ สรุป

Event ID บน Windows Server 2025 เป็นเครื่องมือสำคัญในการวิเคราะห์ปัญหาระบบ ไม่ว่าจะเป็น Active Directory, DNS, DFS, IIS, Security หรือ Hardware การเข้าใจ Event ID ที่พบบ่อยจะช่วยลดเวลาในการแก้ปัญหาได้อย่างมาก

สำหรับองค์กรที่ต้องการเพิ่มความเสถียรของระบบ comsiam แนะนำให้ใช้ Event Viewer ร่วมกับ Monitoring Platform เพื่อเปลี่ยนจากการแก้ปัญหาเมื่อเกิดเหตุ มาเป็นการตรวจพบปัญหาก่อนที่จะส่งผลกระทบต่อธุรกิจ

คำถามชวนคิด

เมื่อ Server มีปัญหา คุณเริ่มต้นจากการเปิด Event Viewer เพื่อหาหลักฐานก่อน หรือยังคงเริ่มจากการรีสตาร์ทเครื่องแล้วหวังว่าปัญหาจะหายไปเอง?