Active Directory と LDS 診断イベント ログを構成する方法

  • [アーティクル]

この記事では、Microsoft Windows Server オペレーティング システムで Active Directory 診断イベント ログを構成する方法について説明します。

適用対象:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
元の KB 番号: 314980

概要

Active Directory は、イベント ビューアーで Directory Services または LDS インスタンス のログにイベントを記録します。 ログに収集された情報を使用して、考えられる問題を診断して解決したり、サーバー上の Active Directory 関連イベントのアクティビティを監視したりするのに役立ちます。

既定では、Active Directory は重要なイベントとエラー イベントのみをディレクトリ サービス ログに記録します。 他のイベントを記録するように Active Directory を構成するには、レジストリを編集してログ レベルを上げる必要があります。

Active Directory 診断イベント ログ

Active Directory の診断ログを管理するレジストリ エントリは、次のレジストリ サブキーに格納されます。

ドメイン コントローラー: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
Lds: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS instance name>\Diagnostics

サブキーの下Diagnosticsの次のREG_DWORD値はそれぞれ、イベント ログに書き込み可能なイベントの種類を表します。

  1. ナレッジ整合性チェッカー (KCC)
  2. セキュリティ イベント
  3. ExDS インターフェイス イベント
  4. MAPI インターフェイス イベント
  5. レプリケーション イベント
  6. ガベージ コレクション
  7. 内部構成
  8. ディレクトリ アクセス
  9. 内部処理
  10. パフォーマンス カウンター
  11. 初期化/終了
  12. サービス制御
  13. 名前解決
  14. バックアップ
  15. フィールド エンジニアリング
  16. LDAP インターフェイス イベント
  17. セットアップ
  18. グローバル カタログ
  19. サイト間メッセージング
  20. グループ キャッシュ
  21. Linked-Value レプリケーション
  22. DS RPC クライアント
  23. DS RPC サーバー
  24. DS スキーマ
  25. 変換エンジン
  26. 要求ベースのAccess Control
  27. PDC パスワード更新通知

ログ 記録レベル

各エントリには 0 から 5 までの値を割り当てることができます。この値は、ログに記録されるイベントの詳細レベルを決定します。 ログ 記録レベルは、次のように記述されています。

  • 0 (なし): 重要なイベントとエラー イベントのみがこのレベルでログに記録されます。 これはすべてのエントリの既定の設定であり、調査する問題が発生した場合にのみ変更する必要があります。
  • 1 (最小): この設定では、イベント ログに高レベルのイベントが記録されます。 イベントには、サービスによって実行される主要なタスクごとに 1 つのメッセージが含まれる場合があります。 この設定を使用して、問題の場所がわからない場合に調査を開始します。
  • 2 (Basic)
  • 3 (広範): このレベルでは、タスクを完了するために実行される手順など、下位レベルよりも詳細な情報が記録されます。 この設定は、問題をサービスまたはカテゴリのグループに絞り込んだ場合に使用します。
  • 4 (詳細)
  • 5 (内部): このレベルでは、デバッグ文字列や構成の変更を含むすべてのイベントがログに記録されます。 サービスの完全なログが記録されます。 この設定は、問題を小さなカテゴリセットの特定のカテゴリにトレースした場合に使用します。

Active Directory 診断イベント ログを構成する方法

Active Directory 診断イベント ログを構成するには、次の手順に従います。

重要

このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 保護を強化するため、レジストリを変更する前にレジストリをバックアップします。 こうしておけば、問題が発生した場合にレジストリを復元できます。 詳細については、「 Windows でレジストリをバックアップおよび復元する方法」を参照してください。

  1. [スタート]、[ファイル名を指定して実行] の順に選択します。

  2. [名前] ボックスに regedit と入力し、[OK] を選択します。

  3. 次のレジストリ キーを見つけて選択します。

    ドメイン コントローラー: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
    Lds: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS instance name>\Diagnostics

    [レジストリ エディター] ウィンドウの右側のウィンドウに表示される各エントリは、Active Directory がログに記録できるイベントの種類を表します。 すべてのエントリは既定値の 0 (なし) に設定されます。

  4. 適切なコンポーネントのイベント ログ記録を構成します。

    1. レジストリ エディターの右側のウィンドウで、ログに記録するイベントの種類を表すエントリをダブルクリックします。 たとえば、セキュリティ イベントです。
    2. [ 値データ ] ボックスに目的のログ レベル (2 など) を入力し、[ OK] を選択します

  5. ログに記録するコンポーネントごとに手順 4 を繰り返します。

  6. [レジストリ] メニューの [終了] を選択してレジストリ エディターを終了します。

    注:

    • 問題を調査している場合を除き、ログ レベルは既定値の 0 (なし) に設定する必要があります。
    • ログ レベルを上げると、各メッセージの詳細と、イベント ログに書き込まれるメッセージの数も増加します。 これらのレベルでのログ記録には、より多くのシステム リソースが必要であり、サーバーのパフォーマンスが低下する可能性があるため、診断レベル 3 以上はお勧めしません。 問題の調査が完了したら、エントリを必ず 0 にリセットしてください。

フィールド エンジニアリング診断イベント ログを有効にする

このログは既定では有効ではなく、アクティブなトラブルシューティング中にのみ有効にする必要があります。 ログ記録を有効にするには、次の手順を使用します。

  1. Directory Services イベント ログのサイズを 200 MB に増やします。

  2. Field Engineering 診断 レジストリ キーを有効にし、値を 5 に設定します。

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics\15 Field Engineering

  3. 次のレジストリ キーを作成して、高価で非効率的で実行時間の長い検索用のレジストリ ベースのフィルターを構成します。

    レジストリ パス データ型 既定値
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Expensive Search Results Threshold REG_DWORD 1
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Inefficient Search Results Threshold REG_DWORD 1
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Search Time Threshold (msecs) REG_DWORD 1