Guide pratique pour configurer la journalisation des événements de diagnostic Active Directory et LDS
Cet article pas à pas explique comment configurer la journalisation des événements de diagnostic Active Directory dans les systèmes d’exploitation Microsoft Windows Server.
Sʼapplique à : Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Numéro de la base de connaissances d’origine : 314980
Résumé
Active Directory enregistre les événements dans le journal des services d’annuaire ou de l’instance LDS dans observateur d'événements. Vous pouvez utiliser les informations collectées dans le journal pour vous aider à diagnostiquer et résoudre les problèmes éventuels ou à surveiller l’activité des événements liés à Active Directory sur votre serveur.
Par défaut, Active Directory enregistre uniquement les événements critiques et les événements d’erreur dans le journal du service d’annuaire. Pour configurer Active Directory afin d’enregistrer d’autres événements, vous devez augmenter le niveau de journalisation en modifiant le registre.
Journalisation des événements de diagnostic Active Directory
Les entrées de Registre qui gèrent la journalisation des diagnostics pour Active Directory sont stockées dans les sous-clés de Registre suivantes.
Contrôleur de domaine : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
LDS: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS instance name>\Diagnostics
Chacune des valeurs de REG_DWORD suivantes sous la Diagnostics
sous-clé représente un type d’événement qui peut être écrit dans le journal des événements :
- Vérificateur de cohérence des connaissances (KCC)
- Événements de sécurité
- Événements de l’interface ExDS
- Événements d’interface MAPI
- Événements de réplication
- Garbage Collection
- Configuration interne
- Accès à l’annuaire
- Traitement interne
- Compteurs de performance
- Initialisation/arrêt
- Contrôle de service
- Résolution de noms
- Sauvegarde
- Ingénierie de terrain
- Événements d’interface LDAP
- Configuration
- Catalogue global
- Messagerie intersite
- Mise en cache de groupe
- réplication Linked-Value
- DS RPC Client
- Serveur RPC DS
- Schéma DS
- Moteur de transformation
- Access Control basée sur les revendications
- Notifications de mise à jour de mot de passe PDC
Niveaux de journalisation
Chaque entrée peut se voir attribuer une valeur comprise entre 0 et 5, et cette valeur détermine le niveau de détail des événements enregistrés. Les niveaux de journalisation sont décrits comme suit :
- 0 (Aucun) : seuls les événements critiques et les événements d’erreur sont enregistrés à ce niveau. Il s’agit du paramètre par défaut pour toutes les entrées. Il ne doit être modifié que si un problème que vous souhaitez examiner se produit.
- 1 (Minimal) : les événements de haut niveau sont enregistrés dans le journal des événements à ce paramètre. Les événements peuvent inclure un message pour chaque tâche principale effectuée par le service. Utilisez ce paramètre pour démarrer une investigation lorsque vous ne connaissez pas l’emplacement du problème.
- 2 (De base)
- 3 (Étendu) : ce niveau enregistre des informations plus détaillées que les niveaux inférieurs, comme les étapes effectuées pour effectuer une tâche. Utilisez ce paramètre lorsque vous avez limité le problème à un service ou à un groupe de catégories.
- 4 (Détaillé)
- 5 (Interne) : ce niveau journalise tous les événements, y compris les chaînes de débogage et les modifications de configuration. Un journal complet du service est enregistré. Utilisez ce paramètre lorsque vous avez suivi le problème vers une catégorie particulière d’un petit ensemble de catégories.
Comment configurer la journalisation des événements de diagnostic Active Directory
Pour configurer la journalisation des événements de diagnostic Active Directory, procédez comme suit.
Importante
Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour une meilleure protection, sauvegardez le registre avant de le modifier. Vous pouvez alors le restaurer en cas de problème. Pour plus d’informations, consultez Comment sauvegarder et restaurer le Registre dans Windows.
Sélectionnez Démarrer, puis Exécuter.
Dans la zone Ouvrir, tapez regedit, puis sélectionnez OK.
Recherchez et sélectionnez les clés de Registre suivantes.
Contrôleur de domaine :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
LDS:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS instance name>\Diagnostics
Chaque entrée affichée dans le volet droit de la fenêtre Rédacteur registre représente un type d’événement qu’Active Directory peut enregistrer. Toutes les entrées sont définies sur la valeur par défaut 0 (Aucun).
Configurez la journalisation des événements pour le composant approprié :
- Dans le volet droit du Registre Rédacteur, double-cliquez sur l’entrée qui représente le type d’événement pour lequel vous souhaitez journaliser. Par exemple, événements de sécurité.
- Tapez le niveau de journalisation souhaité (par exemple, 2) dans la zone Données de la valeur, puis sélectionnez OK.
Répétez l’étape 4 pour chaque composant que vous souhaitez journaliser.
Dans le menu Registre, sélectionnez Quitter pour quitter le Registre Rédacteur.
Remarque
- Les niveaux de journalisation doivent être définis sur la valeur par défaut 0 (Aucun), sauf si vous examinez un problème.
- Lorsque vous augmentez le niveau de journalisation, le détail de chaque message et le nombre de messages écrits dans le journal des événements augmentent également. Un niveau de diagnostic égal ou supérieur à 3 n’est pas recommandé, car la journalisation à ces niveaux nécessite davantage de ressources système et peut dégrader les performances de votre serveur. Veillez à rétablir les entrées sur 0 une fois que vous avez terminé d’examiner le problème.
Activer la journalisation des événements de diagnostic Field Engineering
Cette journalisation n’est pas activée par défaut et doit l’être uniquement pendant la résolution des problèmes actifs. Vous pouvez activer la journalisation en procédant comme suit :
Augmentez la taille des journaux des événements des services d’annuaire à 200 Mo.
Activez la clé de Registre Field Engineering diagnostics et définissez la valeur sur 5.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics\15 Field Engineering
Créez les clés de Registre suivantes pour configurer des filtres basés sur le Registre pour des recherches coûteuses, inefficaces et longues :
Chemin d’accès du Registre Type de données Valeur par défaut HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Expensive Search Results Threshold
REG_DWORD 1 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Inefficient Search Results Threshold
REG_DWORD 1 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Search Time Threshold (msecs)
REG_DWORD 1
Commentaires
https://aka.ms/ContentUserFeedback.
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultezEnvoyer et afficher des commentaires pour