Поделиться через

Настройка ведения журнала событий диагностики Active Directory и LDS

  • Статья

В этой пошаговой статье описывается настройка ведения журнала диагностических событий Active Directory в операционных системах Microsoft Windows Server.

Исходный номер базы знаний: 314980

Итоги

Active Directory записывает события в журнал службы каталогов или экземпляра LDS в Просмотр событий. Сведения, собранные в журнале, позволяют диагностировать и устранять возможные проблемы или отслеживать действия событий, связанных с Active Directory на сервере.

По умолчанию Active Directory записывает только критические события и события ошибок в журнале службы каталогов. Чтобы настроить Active Directory для записи других событий, необходимо увеличить уровень ведения журнала, изменив реестр.

Ведение журнала диагностических событий Active Directory

Записи реестра, управляющие ведением журнала диагностики для Active Directory, хранятся в следующих подразделах реестра.

Контроллер домена: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
СПД: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS instance name>\Diagnostics

Каждое из следующих REG_DWORD значений в подразделе Diagnostics представляет тип события, которое можно записать в журнал событий:

  1. Средство проверки согласованности знаний (KCC)
  2. События безопасности
  3. События интерфейса ExDS
  4. События интерфейса MAPI
  5. События репликации
  6. Сборка мусора
  7. Внутренняя конфигурация
  8. Доступ к каталогу
  9. Внутренняя обработка
  10. Счетчики производительности
  11. Инициализация и завершение
  12. Управление службами
  13. Разрешение имен
  14. Резервное копирование
  15. Проектирование полей
  16. События интерфейса LDAP
  17. Настройка
  18. Глобальный каталог
  19. Обмен сообщениями между сайтами
  20. Кэширование групп
  21. Репликация связанных значений
  22. Клиент RPC DS
  23. Сервер RPC DS
  24. Схема DS
  25. Подсистема преобразования
  26. Контроль доступа на основе утверждений
  27. Уведомления об обновлении паролей PDC

Уровни ведения журнала

Каждая запись может быть назначена значением от 0 до 5, и это значение определяет уровень детализации событий, которые регистрируются. Уровни ведения журнала описаны следующим образом:

  • 0 (Нет). На этом уровне регистрируются только критические события и события ошибок. Это параметр по умолчанию для всех записей, и его следует изменить только в том случае, если возникла проблема, которую требуется исследовать.
  • 1 (минимальное): события высокого уровня записываются в журнал событий по этому параметру. События могут содержать одно сообщение для каждой основной задачи, выполняемой службой. Используйте этот параметр, чтобы начать исследование, если вы не знаете расположение проблемы.
  • 2 (базовый)
  • 3 (обширный): этот уровень записывает более подробные сведения, чем более низкие уровни, такие как шаги, выполняемые для выполнения задачи. Используйте этот параметр, если вы сузили проблему до службы или группы категорий.
  • 4 (подробные сведения)
  • 5 (Внутренний): этот уровень регистрирует все события, включая отладочные строки и изменения конфигурации. Записывается полный журнал службы. Используйте этот параметр при трассировки проблемы с определенной категорией небольшого набора категорий.

Настройка ведения журнала событий диагностики Active Directory

Чтобы настроить ведение журнала событий диагностики Active Directory, выполните следующие действия.

Важно!

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому убедитесь, что вы внимательно выполните следующие действия. Для дополнительной защиты создайте резервную копию реестра перед его изменением. В этом случае реестр можно восстановить, если возникнет проблема. Дополнительные сведения см. в статье "Резервное копирование и восстановление реестра в Windows".

  1. Нажмите Пуск и выберите Выполнить.

  2. В поле Открыть введите команду regedit и нажмите кнопку ОК.

  3. Найдите и выберите следующие разделы реестра.

    Контроллер домена: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
    СПД: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS instance name>\Diagnostics

    Каждая запись, отображаемая в правой области окна редактора реестра, представляет тип события, которое Active Directory может записывать. Для всех записей задано значение по умолчанию 0 (Нет).

  4. Настройте ведение журнала событий для соответствующего компонента:

    1. В правой области редактора реестра дважды щелкните запись, представляющую тип события, для которого требуется записать журнал. Например, события безопасности.
    2. Введите нужный уровень ведения журнала (например, 2) в поле данных "Значение", а затем нажмите кнопку "ОК".

  5. Повторите шаг 4 для каждого компонента, который требуется записать.

  6. В меню "Реестр" выберите "Выйти ", чтобы выйти из редактора реестра.

    Примечание.

    • Уровни ведения журнала должны иметь значение по умолчанию 0 (Нет), если вы не расследуете проблему.
    • При увеличении уровня ведения журнала подробные сведения о каждом сообщении и количестве сообщений, записанных в журнал событий, также увеличиваются. Не рекомендуется использовать уровень диагностики 3 или более поздней версии, так как ведение журнала на этих уровнях требует большего количества системных ресурсов и может снизить производительность сервера. После завершения исследования проблемы необходимо сбросить записи на 0.

Включение ведения журнала событий диагностики в области инженерии

Это ведение журнала не включено по умолчанию и должно быть включено только во время активного устранения неполадок. Ведение журнала можно включить, выполнив следующие действия.

  1. Увеличьте размер журналов событий служб каталогов до 200 МБ.

  2. Включите раздел реестра "Инженерия полей" диагностика и задайте значение 5.

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics\15 Field Engineering

  3. Создайте следующие разделы реестра, чтобы настроить фильтры на основе реестра для дорогостоящих, неэффективных и длительных поисков:

    Путь к разделу реестра Тип данных Default value
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Expensive Search Results Threshold REG_DWORD 1
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Inefficient Search Results Threshold REG_DWORD 1
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Search Time Threshold (msecs) REG_DWORD 1