Làm quản trị hệ thống không chỉ là "mọi thứ chạy được" mà còn là phát hiện sớm điều bất thường trước khi nó trở thành sự cố thật sự. Dưới đây là những log mà mỗi sysadmin nên kiểm tra hàng ngày 

1.  System Log / Event Viewer (Windows)

Kiểm tra Event ID 41, 6008, 10016… để phát hiện lỗi hệ thống hoặc khởi động bất thường. Các cảnh báo “Service Control Manager” có thể báo hiệu dịch vụ sập âm thầm.

2.  Security Log

Theo dõi đăng nhập thất bại, tài khoản bị khóa, thay đổi quyền user. Đặc biệt chú ý Event ID 4624, 4625, 4672 – thường liên quan đến brute force hoặc privilege escalation.

3.  Application Log

Nơi báo lỗi của dịch vụ nội bộ như SQL, IIS, Apache, Nginx... Những cảnh báo liên tục có thể là dấu hiệu resource leak hoặc cấu hình sai.

4. Firewall / Network Log

Theo dõi lưu lượng ra vào bất thường, IP bị block nhiều lần, hay kết nối outbound đến vùng không rõ. Cảnh báo sớm các hành vi C2 hoặc scan port.

5. Antivirus / EDR Log

Xem lại detection, quarantine, và alert bị bỏ qua. Đừng quên đối chiếu thời gian giữa log AV và event Windows để xác minh.

6. System Resource Log

CPU, RAM, Disk I/O và Network usage — phát hiện sớm tình trạng resource hogging hoặc DoS nội bộ.

Mẹo nhỏ: Dù có SIEM hay chưa, hãy tập thói quen xem nhanh log mỗi sáng. Một vài phút có thể giúp bạn tránh cả đêm mất ngủ vì sự cố.

Bạn thường xem log nào đầu tiên khi vào ca trực? Chia sẻ thói quen của bạn nhé!