Como configurar o log de eventos de diagnóstico do Active Directory e do LDS

Este artigo passo a passo descreve como configurar o log de eventos de diagnóstico do Active Directory nos sistemas operacionais Microsoft Windows Server.

Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Número original do KB: 314980

Resumo

O Active Directory registra eventos nos Serviços de Diretório ou no log da Instância LDS no Visualizador de Eventos. Você pode usar as informações coletadas no log para ajudá-lo a diagnosticar e resolve possíveis problemas ou monitorar a atividade de eventos relacionados ao Active Directory em seu servidor.

Por padrão, o Active Directory registra apenas eventos críticos e eventos de erro no log do Serviço de Diretório. Para configurar o Active Directory para registrar outros eventos, você deve aumentar o nível de log editando o registro.

Log de eventos de diagnóstico do Active Directory

As entradas do registro que gerenciam o log de diagnóstico para Active Directory são armazenadas nas subchaves de registro a seguir.

Controlador de domínio: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
LDS: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS instance name>\Diagnostics

Cada um dos seguintes valores REG_DWORD na Diagnostics subchave representa um tipo de evento que pode ser gravado no log de eventos:

1. Verificador de consistência de conhecimento (KCC)
2. Eventos de segurança
3. Eventos de interface do ExDS
4. Eventos de interface MAPI
5. Eventos de replicação
6. Coleta de Lixo
7. Configuração interna
8. Acesso ao Diretório
9. Processamento Interno
10. Contadores de desempenho
11. Inicialização/Término
12. Controle de Serviço
13. Resolução de nomes
14. Backup
15. Engenharia de Campo
16. Eventos de interface LDAP
17. Configurar
18. Catálogo Global
19. Mensagens entre sites
20. Cache de grupo
21. replicação Linked-Value
22. Cliente DS RPC
23. Servidor DS RPC
24. Esquema DS
25. Mecanismo de Transformação
26. Controle de Acesso baseado em declarações
27. Notificações de atualização de senha PDC

Níveis de registro

Cada entrada pode receber um valor de 0 a 5 e esse valor determina o nível de detalhes dos eventos registrados. Os níveis de log são descritos como:

• 0 (Nenhum): somente eventos críticos e eventos de erro são registrados nesse nível. Essa é a configuração padrão para todas as entradas e deve ser modificada somente se ocorrer um problema que você deseja investigar.
• 1 (Mínimo): eventos de alto nível são registrados no log de eventos nesta configuração. Os eventos podem incluir uma mensagem para cada tarefa principal executada pelo serviço. Use essa configuração para iniciar uma investigação quando você não souber o local do problema.
• 2 (Básico)
• 3 (Extenso): esse nível registra informações mais detalhadas do que os níveis inferiores, como etapas executadas para concluir uma tarefa. Use essa configuração quando tiver restringido o problema a um serviço ou a um grupo de categorias.
• 4 (Verbose)
• 5 (Interno): esse nível registra todos os eventos, incluindo cadeias de caracteres de depuração e alterações de configuração. Um log completo do serviço é registrado. Use essa configuração quando você tiver rastreado o problema para uma determinada categoria de um pequeno conjunto de categorias.

Como configurar o log de eventos de diagnóstico do Active Directory

Para configurar o log de eventos de diagnóstico do Active Directory, siga estas etapas.

1. Selecione Iniciar e Executar.

2. Na caixa Abrir, digite regedit e selecione OK.

3. Localize e selecione as seguintes chaves do registro.

   Controlador de domínio: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
   LDS: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS instance name>\Diagnostics

   Cada entrada exibida no painel direito da janela Editor do Registro representa um tipo de evento que o Active Directory pode registrar. Todas as entradas são definidas como o valor padrão de 0 (Nenhum).

4. Configurar o log de eventos para o componente apropriado:

   1. No painel direito do Registry Editor, clique duas vezes na entrada que representa o tipo de evento para o qual você deseja fazer logon. Por exemplo, Eventos de Segurança.
   2. Digite o nível de log desejado (por exemplo, 2) na caixa de dados Valor e selecione OK.

5. Repita a etapa 4 para cada componente que você deseja fazer log.

6. No menu Registro, selecione Sair para sair do Registro Editor.

   Observação

   • Os níveis de registro em log devem ser definidos como o valor padrão de 0 (Nenhum), a menos que você esteja investigando um problema.
   • Quando você aumenta o nível de log, o detalhe de cada mensagem e o número de mensagens gravadas no log de eventos também aumentam. Não é recomendável um nível de diagnóstico de 3 ou mais, pois o registro em log nesses níveis requer mais recursos do sistema e pode degradar o desempenho do servidor. Certifique-se de redefinir as entradas para 0 depois de concluir a investigação do problema.

Habilitar o log de eventos de diagnóstico da Engenharia de Campo

Esse log não está habilitado por padrão e só deve ser habilitado durante a solução de problemas ativa. Você pode habilitar o registro em log usando as seguintes etapas:

1. Aumente o tamanho dos logs de eventos do Directory Services para 200 MB.

2. Habilite a chave de registro diagnóstico engenharia de campo e defina o valor como 5.

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics\15 Field Engineering

3. Crie as seguintes chaves de registro para configurar filtros baseados em registro para pesquisas caras, ineficientes e de execução longa:

   Caminho do Registro	Tipo de dados	Valor padrão
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Expensive Search Results Threshold	REG_DWORD	1
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Inefficient Search Results Threshold	REG_DWORD	1
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Search Time Threshold (msecs)	REG_DWORD	1