Contact
Line : comsiam
Event Viewer คือเครื่องมือวิเคราะห์ปัญหาที่สำคัญที่สุดบน Windows Server 2025 เพราะแทบทุกเหตุการณ์ที่เกิดขึ้นในระบบ ไม่ว่าจะเป็น Server ล่ม, Service หยุดทำงาน, Login ไม่ได้, DNS มีปัญหา หรือ Application Crash ล้วนถูกบันทึกไว้ใน Event Log
ปัญหาของผู้ดูแลระบบจำนวนมากคือเปิด Event Viewer แล้วเจอ Log หลายพันรายการจนไม่รู้จะเริ่มจากตรงไหน บทความนี้จะสอนแนวคิดการอ่าน Event Viewer แบบช่าง IT ที่ใช้ในการวิเคราะห์ Root Cause จริงในองค์กร
① Event Viewer คืออะไร
Event Viewer คือระบบบันทึกเหตุการณ์ของ Windows
หน้าที่หลักคือเก็บข้อมูล
- Error
- Warning
- Information
- Audit Success
- Audit Failure
เพื่อใช้ในการวิเคราะห์ปัญหาและตรวจสอบระบบย้อนหลัง
② เปิด Event Viewer
ใช้คำสั่ง
eventvwr.msc
หรือ
Server Manager
Tools
Event Viewer
นี่คือจุดเริ่มต้นของการวิเคราะห์ปัญหาส่วนใหญ่บน Windows Server
③ อย่าดูทุก Log พร้อมกัน
ความผิดพลาดที่พบได้บ่อยคือ
เปิด Event Viewer แล้วไล่อ่านทุก Event
ซึ่งเสียเวลามาก
ให้เริ่มจาก
- Critical
- Error
- Warning
ก่อนเสมอ
④ Log ที่สำคัญที่สุด
สำหรับ Windows Server
Log หลักที่ควรดูคือ
System
ปัญหา Hardware, Driver, Service
Application
ปัญหา Application และ IIS
Security
Login และ Security Event
DNS Server
ปัญหา DNS
Directory Service
ปัญหา Active Directory
⑤ เริ่มจากเวลาที่เกิดปัญหา
เทคนิคสำคัญของช่าง IT
คือ
อย่าเริ่มจาก Event ล่าสุด
แต่ให้เริ่มจาก
เวลาที่ผู้ใช้แจ้งปัญหา
ตัวอย่าง
ผู้ใช้แจ้งว่า
10:35 ระบบล่ม
ให้ดู Event ช่วง
10:30–10:40
ก่อน
⑥ รู้จัก Event Level
Event มีหลายระดับ
Critical
ปัญหาร้ายแรง
Error
เกิดความผิดพลาด
Warning
มีความเสี่ยง
Information
ข้อมูลทั่วไป
ในการวิเคราะห์
ให้เริ่มจาก Critical และ Error ก่อน
⑦ ใช้ Filter ช่วยค้นหา
เลือก
Filter Current Log
สามารถกรอง
- Event ID
- Error Level
- Time Range
ช่วยลด Log หลายหมื่นรายการเหลือเพียงไม่กี่รายการ
⑧ อ่าน Event ID ก่อนอ่านข้อความ
ช่าง IT มืออาชีพมักดู
Event ID
ก่อนข้อความ
เพราะ Event ID สามารถค้นหาสาเหตุได้รวดเร็วกว่า
ตัวอย่าง
- 41 = Power Failure
- 4625 = Login Failed
- 4740 = Account Lockout
- 2213 = DFSR Error
⑨ ดู Source ของ Event
Source ช่วยบอกว่าใครเป็นผู้สร้าง Event
ตัวอย่าง
DNS Server
DFSR
Microsoft-Windows-Kerberos
Source มักบอกทิศทางการวิเคราะห์ได้เร็วกว่า Description
⑩ อย่าหลงกับ Error ตัวแรก
หลายครั้ง Event Error ที่เห็น
เป็นผลลัพธ์
ไม่ใช่ต้นเหตุ
ตัวอย่าง
- SQL ล่ม
- IIS ล่ม
- Application Error
แต่ต้นเหตุจริงคือ
Disk เต็ม
ดังนั้นควรมองย้อนกลับไปก่อนเกิดเหตุเสมอ
⑪ ใช้ Custom View
สร้าง
Custom View
สำหรับ
- Critical
- Error
- Security
ช่วยให้ติดตามปัญหาได้รวดเร็วขึ้นมาก
⑫ ใช้ Event Viewer ร่วมกับคำสั่งอื่น
ตัวอย่าง
DNS Error
ใช้ร่วมกับ
dcdiag
Replication Error
ใช้ร่วมกับ
repadmin /replsummary
DFS Error
ใช้ร่วมกับ
dfsrdiag backlog
จะช่วยวิเคราะห์ได้แม่นยำยิ่งขึ้น
⑬ เทคนิคหา Root Cause
แนวคิดสำคัญคือ
หา Event แรก
ไม่ใช่ Event ล่าสุด
เพราะ Event แรกมักเป็น
Root Cause
ส่วน Event ถัดมาเป็นผลกระทบ
นี่คือแนวคิดที่ช่าง IT ใช้จริงในการแก้ปัญหา
⑭ วิธีป้องกันปัญหาด้วย Event Viewer
แนวทางที่แนะนำ
- ตรวจสอบ Event Viewer ทุกวัน
- สร้าง Custom View
- ตั้ง Alert สำหรับ Critical Event
- ใช้ Monitoring System
- ตรวจสอบ Event ID สำคัญเป็นประจำ
- เก็บ Log ระยะยาว
ทีมงาน comsiam มักแนะนำให้ผู้ดูแลระบบฝึกอ่าน Event Viewer ทุกครั้งก่อนเริ่มแก้ปัญหา เพราะการวิเคราะห์จาก Log มักเร็วและแม่นยำกว่าการเดาหรือการรีสตาร์ทระบบ
⑮ สรุป
Event Viewer เป็นเครื่องมือสำคัญที่สุดในการวิเคราะห์ปัญหา Windows Server 2025 การรู้จัก Filter, Event ID, Source และการค้นหา Root Cause จะช่วยลดเวลาในการแก้ปัญหาได้อย่างมาก
สำหรับองค์กรที่ต้องการลด Downtime comsiam แนะนำให้ใช้ Event Viewer ร่วมกับ Monitoring System และสร้างมาตรฐานการตรวจสอบ Log เพื่อให้ทีม IT สามารถตอบสนองต่อเหตุการณ์ต่าง ๆ ได้อย่างรวดเร็วและแม่นยำ
คำถามชวนคิด
เมื่อ Server ล่ม คุณสามารถระบุ Root Cause ได้จาก Event Viewer ภายในไม่กี่นาที หรือยังต้องเริ่มจากการรีสตาร์ทเครื่องแล้วค่อยดูว่าอาการจะกลับมาอีกหรือไม่?
