SE の雑記

SQL Server の情報をメインに Microsoft 製品の勉強内容を日々投稿

Active Directory のトレースログを取得 ? Windows Server 2008 R2 –

leave a comment

昨日投稿したトレースログの 2008 R2 版です。

最初は 2008 で書こうかと思っていたのですがせっかくなので 2008 R2 にアップグレードした環境を準備してみました。

■Windows Server 2008 R2 でトレースログを取得

Windows Server 2008 / R2 のトレースログは、[管理ツール] の [パフォーマンス モニター] から取得をします。
[ファイル名を指定して実行] から実行する場合は Windows Server 2003 同様 [perfmon.exe] になります。
image
image

この中の、[イベント トレース セッション] に新規データコレクターセットを作成することで Active Directory の
トレースログを取得できます。
image?

それではさっそく作成してみたいと思います。

  1. [イベント トレース セッション] で右クリックして、[データ コレクター セット] をクリックします。
    image
  2. 名前を入力して、[次へ] をクリックします。
    image
  3. [追加] をクリックし、[Active Directory Domain Services: Core] を追加します。
    image image
  4. [次へ] をクリックします。
    この段階でフィルターを設定して取得情報が絞り込めればいいのですが、フィルターの使い方がわかりませんでした…。
    image
  5. データの保存場所を指定し、[次へ] をクリックします。
    image
  6. [完了] をクリックします。
    image

これでトレースの設定は終了です。
先ほど、すぐに開始にはしなかったので、取得するタイミングで右クリックして、[開始] をクリックします。
image

今回は PC 起動時のログを確認してみたいと思いますので、ログインはしない状態で。image

取得が終わりましたら停止します。
image

取得されたファイルは、2003 と同様 ETL ファイルになりますので今回も成形します。
image

?

■ログの成形

使用するコマンドは Windows Server 2003 と同様 [tracerpt] になります。

c:PerfLogs>tracerpt "Active Directoy Trace.etl" -of CSV -o log.txt -f HTML -report report.html

入力
—————-
ファイル:
???? Active Directoy Trace.etl

100.00%

出力
—————-
DumpFile:???????? log.txt
レポート:???????????? report.html

コマンドは、正しく完了しました。

後は FIND でログを切り出します。

find log.txt "DsDirSearch" > report.txt

今回はログオン前なので、コンピュータアカウント (EXCHANGE-XP-02$) の情報を切り出してみました。

Event Name,?????? Type,???? Event ID,??? Version,??? Channel,????? Level,???? Opcode,?????? Task,??????????? Keyword,??????? PID,??????? TID,???? Processor Number,? Instance ID,?? Parent Instance ID,????????????????????????????? Activity ID,????????????????????? Related Activity ID,?????????? Clock-Time, Kernel(ms),?? User(ms), User Data

DsDirSearch,????? Start,??????????? 0,????????? 4,????????? 0,????????? 0,????????? 1,????????? 0, 0x0000000000000000, 0x000001FC, 0x00000984,??????????????????? 0,???????????? ,???????????????????? ,?? {00000000-0000-0000-0000-000000000000},???????????????????????????????????????? ,?? 129104577092364013,??????? 105,??????? 210, "DS", 4, 6, 1141178432,??????? 0, "LSA", "deep", "DC=exchange,DC=local", " (sAMAccountName=EXCHANGE-XP-02$) ", "[types_only]", "SDflags:0x0;",? 0x5404000000000B0000000000
DsDirSearch,??????? End,??????????? 0,????????? 4,????????? 0,????????? 0,????????? 2,????????? 0, 0x0000000000000000, 0x000001FC, 0x00000984,??????????????????? 0,???????????? ,???????????????????? ,?? {00000000-0000-0000-0000-000000000000},???????????????????????????????????????? ,?? 129104577092366011,??????? 105,??????? 210, "DS", 4, 6, 1157955648,??????? 0, "0", " (sAMAccountName=EXCHANGE-XP-02$) ", "idx_sAMAccountName:1:N;", "1", "1", "NTDS", "",? 0x54040000000050145404

DsDirSearch,????? Start,??????????? 0,????????? 4,????????? 0,????????? 0,????????? 1,????????? 0, 0x0000000000000000, 0x000001FC, 0x00000984,??????????????????? 0,???????????? ,???????????????????? ,?? {00000000-0000-0000-0000-000000000000},???????????????????????????????????????? ,?? 129104577093494882,??????? 105,??????? 210, "DS", 4, 6, 1141178432,??????? 0, "NTDSAPI", "deep", "DC=exchange,DC=local", " (sAMAccountName=EXCHANGE-XP-02$) ", "distinguishedName", "", "", "",? 0x0000540400000000
DsDirSearch,??????? End,??????????? 0,????????? 4,????????? 0,????????? 0,????????? 2,????????? 0, 0x0000000000000000, 0x000001FC, 0x00000984,??????????????????? 0,???????????? ,???????????????????? ,?? {00000000-0000-0000-0000-000000000000},???????????????????????????????????????? ,?? 129104577093497496,??????? 105,??????? 210, "DS", 4, 6, 1157955648,??????? 0, "0", " (sAMAccountName=EXCHANGE-XP-02$) ", "idx_sAMAccountName:1:N;", "1", "1", "NTDS",? 0x00314EFCFE070000E0060901

DsDirSearch,????? Start,??????????? 0,????????? 4,????????? 0,????????? 0,????????? 1,????????? 0, 0x0000000000000000, 0x000001FC, 0x00000984,??????????????????? 0,???????????? ,???????????????????? ,?? {00000000-0000-0000-0000-000000000000},???????????????????????????????????????? ,?? 129104577093738939,??????? 105,??????? 225, "DS", 4, 6, 1141178432,??????? 0, "NTDSAPI", "deep", "DC=exchange,DC=local", " (sAMAccountName=EXCHANGE-XP-02$) ", "distinguishedName", "", "", "",? 0x0000540400000000
DsDirSearch,??????? End,??????????? 0,????????? 4,????????? 0,????????? 0,????????? 2,????????? 0, 0x0000000000000000, 0x000001FC, 0x00000984,??????????????????? 0,???????????? ,???????????????????? ,?? {00000000-0000-0000-0000-000000000000},???????????????????????????????????????? ,?? 129104577093741473,??????? 105,??????? 225, "DS", 4, 6, 1157955648,??????? 0, "0", " (sAMAccountName=EXCHANGE-XP-02$) ", "idx_sAMAccountName:1:N;", "1", "1", "NTDS",? 0x00314EFCFE070000E0060901

DsDirSearch,????? Start,??????????? 0,????????? 4,????????? 0,????????? 0,????????? 1,????????? 0, 0x0000000000000000, 0x000001FC, 0x00000530,??????????????????? 0,???????????? ,???????????????????? ,?? {00000000-0000-0000-0000-000000000000},???????????????????????????????????????? ,?? 129104577094493737,??????? 165,??????? 825, "DS", 4, 6, 1141178432,? 4194304, "10.2.0.2:1052", "base", "CN=EXCHANGE-XP-02,CN=Computers,DC=exchange,DC=local", " (objectClass=*) ", "objectClass", "",? 0xAC2981770000000000005404
DsDirSearch,??????? End,??????????? 0,????????? 4,????????? 0,????????? 0,????????? 2,????????? 0, 0x0000000000000000, 0x000001FC, 0x00000530,??????????????????? 0,???????????? ,???????????????????? ,?? {00000000-0000-0000-0000-000000000000},???????????????????????????????????????? ,?? 129104577094494885,??????? 165,??????? 825, "DS", 4, 6, 1157955648,? 4194304, "0", "[]", "[]", "1", "1", "NTDS", "",? 0x0F000000000000000000

DsDirSearch,????? Start,??????????? 0,????????? 4,????????? 0,????????? 0,????????? 1,????????? 0, 0x0000000000000000, 0x000001FC, 0x00000530,??????????????????? 0,???????????? ,???????????????????? ,?? {00000000-0000-0000-0000-000000000000},???????????????????????????????????????? ,?? 129104577094915903,??????? 165,??????? 825, "DS", 4, 6, 1141178432,? 4194304, "10.2.0.2:1052", "base", "CN=Windows Virtual Machine,CN=EXCHANGE-XP-02,CN=Computers,DC=exchange,DC=local", " (objectClass=*) ", "objectClass", "", "", "",? 0x5404000000000B00
DsDirSearch,??????? End,??????????? 0,????????? 4,????????? 0,????????? 0,????????? 2,????????? 0, 0x0000000000000000, 0x000001FC, 0x00000530,??????????????????? 0,???????????? ,???????????????????? ,?? {00000000-0000-0000-0000-000000000000},???????????????????????????????????????? ,?? 129104577095060716,??????? 165,??????? 825, "DS", 4, 6, 1157955648,? 4194304, "0", "[]", "[]", "1", "1", "NTDS", "",? 0x0F000000000000000000

?

出力の項目は増えているようですが、[Start] [End] [TID] で一組になっているのは変わらないようですね。
[Windows Virtual Machine] となっているものが面白そうですので、これを使って [dsquery] を実行してみたいと思います。

dsquery *? "CN=Windows Virtual Machine,CN=EXCHANGE-XP-02,CN=Computers,DC=exchange,DC=local" -filter " (objectClass=*) " -attr *
objectClass: top
objectClass: leaf
objectClass: connectionPoint
objectClass: serviceConnectionPoint
cn: Windows Virtual Machine
distinguishedName: CN=Windows Virtual Machine,CN=EXCHANGE-XP-02,CN=Computers,DC=exchange,DC=local
instanceType: 4
whenCreated: 02/11/2010 07:57:43
whenChanged: 02/11/2010 07:57:43
uSNCreated: 78287
uSNChanged: 78287
showInAdvancedViewOnly: TRUE
name: Windows Virtual Machine
objectGUID: {2608F212-1FBE-4F97-913A-7DF0AA097AB5}
objectCategory: CN=Service-Connection-Point,CN=Schema,CN=Configuration,DC=exchange,DC=local
dSCorePropagationData: 01/01/1601 00:00:00
ADsPath: LDAP://EXCHANGE-AD-01.exchange.local/CN=Windows Virtual Machine,CN=EXCHANGE-XP-02,CN=Computers,DC=exchange,DC=local

今まで気にしたことがなかったのですが、コンピュータアカウントの下に [Windows Virtual Machine] というコンテナがあったんですね。
image

2003 / 2008 / R2 ともに基本的な操作は変わらないですね。

2008 / R2 の注意点としては、イベントトレースセッションは再起動すると消えてしまうということでしょうか。
image

常時起動や、設定を残しておきたい場合は、テンプレートとして保存するか、スタートアップ イベント トレース セッションとして作成して、
イベント トレース セッションとして開始する必要がありそうです。
image
image

イベントトレースセッションは、使いこなせるとトラブルシューティング時にとても便利そうなのですが、情報を集められていません…。
まだまだ勉強が足りないですね~。 自分の懐の浅さを思い知る限りです。

Share

Written by Masayuki.Ozawa

2月 12th, 2010 at 3:19 pm

Posted in Active Directory

Leave a Reply

Active Directory のトレースログを取得 – Windows Server 2008 R2 –

leave a comment

昨日投稿したトレースログの 2008 R2 版です。

最初は 2008 で書こうかと思っていたのですがせっかくなので 2008 R2 にアップグレードした環境を準備してみました。

■Windows Server 2008 R2 でトレースログを取得

Windows Server 2008 / R2 のトレースログは、[管理ツール] の [パフォーマンス モニター] から取得をします。
[ファイル名を指定して実行] から実行する場合は Windows Server 2003 同様 [perfmon.exe] になります。
image
image

この中の、[イベント トレース セッション] に新規データコレクターセットを作成することで Active Directory の
トレースログを取得できます。
image 

それではさっそく作成してみたいと思います。

  1. [イベント トレース セッション] で右クリックして、[データ コレクター セット] をクリックします。
    image
  2. 名前を入力して、[次へ] をクリックします。
    image
  3. [追加] をクリックし、[Active Directory Domain Services: Core] を追加します。
    image image
  4. [次へ] をクリックします。
    この段階でフィルターを設定して取得情報が絞り込めればいいのですが、フィルターの使い方がわかりませんでした…。
    image
  5. データの保存場所を指定し、[次へ] をクリックします。
    image
  6. [完了] をクリックします。
    image

これでトレースの設定は終了です。
先ほど、すぐに開始にはしなかったので、取得するタイミングで右クリックして、[開始] をクリックします。
image

今回は PC 起動時のログを確認してみたいと思いますので、ログインはしない状態で。image

取得が終わりましたら停止します。
image

取得されたファイルは、2003 と同様 ETL ファイルになりますので今回も成形します。
image

 

■ログの成形

使用するコマンドは Windows Server 2003 と同様 [tracerpt] になります。

c:PerfLogs>tracerpt "Active Directoy Trace.etl" -of CSV -o log.txt -f HTML -report report.html

入力
—————-
ファイル:
     Active Directoy Trace.etl

100.00%

出力
—————-
DumpFile:         log.txt
レポート:             report.html

コマンドは、正しく完了しました。

後は FIND でログを切り出します。

find log.txt "DsDirSearch" > report.txt

今回はログオン前なので、コンピュータアカウント (EXCHANGE-XP-02$) の情報を切り出してみました。

Event Name,       Type,     Event ID,    Version,    Channel,      Level,     Opcode,       Task,            Keyword,        PID,        TID,     Processor Number,  Instance ID,   Parent Instance ID,                              Activity ID,                      Related Activity ID,           Clock-Time, Kernel(ms),   User(ms), User Data

DsDirSearch,      Start,            0,          4,          0,          0,          1,          0, 0x0000000000000000, 0x000001FC, 0x00000984,                    0,             ,                     ,   {00000000-0000-0000-0000-000000000000},                                         ,   129104577092364013,        105,        210, "DS", 4, 6, 1141178432,        0, "LSA", "deep", "DC=exchange,DC=local", " (sAMAccountName=EXCHANGE-XP-02$) ", "[types_only]", "SDflags:0x0;",  0x5404000000000B0000000000
DsDirSearch,        End,            0,          4,          0,          0,          2,          0, 0x0000000000000000, 0x000001FC, 0x00000984,                    0,             ,                     ,   {00000000-0000-0000-0000-000000000000},                                         ,   129104577092366011,        105,        210, "DS", 4, 6, 1157955648,        0, "0", " (sAMAccountName=EXCHANGE-XP-02$) ", "idx_sAMAccountName:1:N;", "1", "1", "NTDS", "",  0x54040000000050145404

DsDirSearch,      Start,            0,          4,          0,          0,          1,          0, 0x0000000000000000, 0x000001FC, 0x00000984,                    0,             ,                     ,   {00000000-0000-0000-0000-000000000000},                                         ,   129104577093494882,        105,        210, "DS", 4, 6, 1141178432,        0, "NTDSAPI", "deep", "DC=exchange,DC=local", " (sAMAccountName=EXCHANGE-XP-02$) ", "distinguishedName", "", "", "",  0x0000540400000000
DsDirSearch,        End,            0,          4,          0,          0,          2,          0, 0x0000000000000000, 0x000001FC, 0x00000984,                    0,             ,                     ,   {00000000-0000-0000-0000-000000000000},                                         ,   129104577093497496,        105,        210, "DS", 4, 6, 1157955648,        0, "0", " (sAMAccountName=EXCHANGE-XP-02$) ", "idx_sAMAccountName:1:N;", "1", "1", "NTDS",  0x00314EFCFE070000E0060901

DsDirSearch,      Start,            0,          4,          0,          0,          1,          0, 0x0000000000000000, 0x000001FC, 0x00000984,                    0,             ,                     ,   {00000000-0000-0000-0000-000000000000},                                         ,   129104577093738939,        105,        225, "DS", 4, 6, 1141178432,        0, "NTDSAPI", "deep", "DC=exchange,DC=local", " (sAMAccountName=EXCHANGE-XP-02$) ", "distinguishedName", "", "", "",  0x0000540400000000
DsDirSearch,        End,            0,          4,          0,          0,          2,          0, 0x0000000000000000, 0x000001FC, 0x00000984,                    0,             ,                     ,   {00000000-0000-0000-0000-000000000000},                                         ,   129104577093741473,        105,        225, "DS", 4, 6, 1157955648,        0, "0", " (sAMAccountName=EXCHANGE-XP-02$) ", "idx_sAMAccountName:1:N;", "1", "1", "NTDS",  0x00314EFCFE070000E0060901

DsDirSearch,      Start,            0,          4,          0,          0,          1,          0, 0x0000000000000000, 0x000001FC, 0x00000530,                    0,             ,                     ,   {00000000-0000-0000-0000-000000000000},                                         ,   129104577094493737,        165,        825, "DS", 4, 6, 1141178432,  4194304, "10.2.0.2:1052", "base", "CN=EXCHANGE-XP-02,CN=Computers,DC=exchange,DC=local", " (objectClass=*) ", "objectClass", "",  0xAC2981770000000000005404
DsDirSearch,        End,            0,          4,          0,          0,          2,          0, 0x0000000000000000, 0x000001FC, 0x00000530,                    0,             ,                     ,   {00000000-0000-0000-0000-000000000000},                                         ,   129104577094494885,        165,        825, "DS", 4, 6, 1157955648,  4194304, "0", "[]", "[]", "1", "1", "NTDS", "",  0x0F000000000000000000

DsDirSearch,      Start,            0,          4,          0,          0,          1,          0, 0x0000000000000000, 0x000001FC, 0x00000530,                    0,             ,                     ,   {00000000-0000-0000-0000-000000000000},                                         ,   129104577094915903,        165,        825, "DS", 4, 6, 1141178432,  4194304, "10.2.0.2:1052", "base", "CN=Windows Virtual Machine,CN=EXCHANGE-XP-02,CN=Computers,DC=exchange,DC=local", " (objectClass=*) ", "objectClass", "", "", "",  0x5404000000000B00
DsDirSearch,        End,            0,          4,          0,          0,          2,          0, 0x0000000000000000, 0x000001FC, 0x00000530,                    0,             ,                     ,   {00000000-0000-0000-0000-000000000000},                                         ,   129104577095060716,        165,        825, "DS", 4, 6, 1157955648,  4194304, "0", "[]", "[]", "1", "1", "NTDS", "",  0x0F000000000000000000

 

出力の項目は増えているようですが、[Start] [End] [TID] で一組になっているのは変わらないようですね。
[Windows Virtual Machine] となっているものが面白そうですので、これを使って [dsquery] を実行してみたいと思います。

dsquery *  "CN=Windows Virtual Machine,CN=EXCHANGE-XP-02,CN=Computers,DC=exchange,DC=local" -filter " (objectClass=*) " -attr *
objectClass: top
objectClass: leaf
objectClass: connectionPoint
objectClass: serviceConnectionPoint
cn: Windows Virtual Machine
distinguishedName: CN=Windows Virtual Machine,CN=EXCHANGE-XP-02,CN=Computers,DC=exchange,DC=local
instanceType: 4
whenCreated: 02/11/2010 07:57:43
whenChanged: 02/11/2010 07:57:43
uSNCreated: 78287
uSNChanged: 78287
showInAdvancedViewOnly: TRUE
name: Windows Virtual Machine
objectGUID: {2608F212-1FBE-4F97-913A-7DF0AA097AB5}
objectCategory: CN=Service-Connection-Point,CN=Schema,CN=Configuration,DC=exchange,DC=local
dSCorePropagationData: 01/01/1601 00:00:00
ADsPath: LDAP://EXCHANGE-AD-01.exchange.local/CN=Windows Virtual Machine,CN=EXCHANGE-XP-02,CN=Computers,DC=exchange,DC=local

今まで気にしたことがなかったのですが、コンピュータアカウントの下に [Windows Virtual Machine] というコンテナがあったんですね。
image

2003 / 2008 / R2 ともに基本的な操作は変わらないですね。

2008 / R2 の注意点としては、イベントトレースセッションは再起動すると消えてしまうということでしょうか。
image

常時起動や、設定を残しておきたい場合は、テンプレートとして保存するか、スタートアップ イベント トレース セッションとして作成して、
イベント トレース セッションとして開始する必要がありそうです。
image
image

イベントトレースセッションは、使いこなせるとトラブルシューティング時にとても便利そうなのですが、情報を集められていません…。
まだまだ勉強が足りないですね~。 自分の懐の浅さを思い知る限りです。

Share

Written by Masayuki.Ozawa

2月 12th, 2010 at 3:19 pm

Posted in Active Directory

Leave a Reply