Event Viewer – czego szuka administrator (a czego NIE)
Najważniejsza zasada
Event Viewer nie służy do czytania wszystkiego. Służy do znalezienia jednego konkretnego problemu.
90% logów = normalne działanie systemu. Admin szuka tylko: powtarzalnych, świeżych i krytycznych błędów.
Gdzie patrzymy (tylko te miejsca)
Na kontrolerze domeny:
- Event Viewer → Windows Logs → System
- Event Viewer → Windows Logs → Security
- Event Viewer → Applications and Services Logs → Directory Service
- Event Viewer → DNS Server
- Event Viewer → DFS Replication
Reszta prawie nigdy nie jest potrzebna.
1️⃣ SYSTEM – stan serwera
Tu widzisz czy serwer fizycznie działa poprawnie. Szukasz: restartów, utraty sieci, błędów usług.
| Event | Znaczenie |
|---|---|
| NETLOGON failed | brak komunikacji z domeną |
| Time service | problem z synchronizacją czasu |
| Disk warning | zbliżająca się awaria dysku |
| NIC link down | karta sieciowa traci połączenie |
👉 Jeśli pojawia się cyklicznie = realny problem.
2️⃣ DIRECTORY SERVICE – zdrowie Active Directory
To najważniejszy log domeny. Tu sprawdzasz: replikację, bazę AD, logowanie.
| Event ID | Co oznacza |
|---|---|
| 1311 | brak komunikacji między DC |
| 2042 | zatrzymana replikacja |
| 1864 | DC nie replikuje się |
| 2887 | problemy z uwierzytelnianiem |
Jeśli tu są błędy → użytkownicy będą mieć losowe problemy.
3️⃣ DNS SERVER – serce domeny
AD zależy od DNS w 100%. Szukasz: błędów rejestracji rekordów, braków SRV.
| Event | Znaczenie |
|---|---|
| DNS registration failed | komputer nie widzi DC |
| Missing SRV | logowanie nie działa |
| Dynamic update failed | GPO nie działa |
4️⃣ DFS REPLICATION – SYSVOL
Jeśli to padnie → GPO przestaje działać.
| Event | Znaczenie |
|---|---|
| 2213 | replikacja zatrzymana |
| 4012 | brak synchronizacji |
| backlog rośnie | domena się rozjedzie |
5️⃣ SECURITY – kto się loguje
Tu sprawdzasz: blokady kont, podejrzane logowania.
| Event ID | Znaczenie |
|---|---|
| 4625 | błędne logowanie |
| 4740 | konto zablokowane |
| 4672 | logowanie admina |
Jak administrator naprawdę używa Event Viewer
Nie: otwieram i czytam wszystko.
Tylko: 1) Filtr → last 24 hours, 2) Level → Error + Warning, 3) Szukam powtarzalności, 4) Sprawdzam tylko DC.
Myślenie administratora
Jednorazowy błąd = ignoruj. Powtarzający się błąd = przyszła awaria. Event Viewer pokazuje jutro, nie wczoraj.
Zapamiętaj (praktyka zawodowa)
Najważniejsze logi domeny: System, Directory Service, DNS Server, DFS Replication, Security. To 5 miejsc = 95% problemów firmowych.