Использование сборщика журналов Windows Server Essentials Use the Windows Server Essentials Log Collector

Область применения: Windows Server 2016 Essentials, Windows Server 2012 R2 Essentials, Windows Server 2012 Essentials Applies To: Windows Server 2016 Essentials, Windows Server 2012 R2 Essentials, Windows Server 2012 Essentials

При устранении неполадок, связанных с компьютером, у представителя службы поддержки пользователей Майкрософт могут попросить вас собрать журналы с серверов, компьютеров в сети или с помощью сборщика журналов Windows Server Essentials. When you are troubleshooting computer issues, a representative from Microsoft Customer Service and Support may ask you to gather logs from servers, computers on the network, or both by using the Windows Server Essentials Log Collector.

Сборщик журналов копирует журналы программ, событий и прочую информацию среды в единый ZIP-файл по указанному адресу. The Log Collector copies program logs, event reviewer logs, and related environment information into a single zip file at a specified location. Сборщик журналов можно запускать непосредственно c сервера или любого компьютер сети, а также через удаленное подключение к компьютерам. You can run the Log Collector directly from the server or any computer on the network, or by using a remote connection to the computers.

Сборщик журналов не проводит анализ сетевых проблем и не вносит изменения в настройки серверов или компьютеров сети. The Log Collector does not analyze network issues or make changes to any server or computer on the network. Дополнительную информацию об устранении сетевых неполадок см. в справочной документации по вашему серверу. For information about how to troubleshoot network issues, see the Help documentation for your server product. В этом разделе Компьютеры в сети, отличные от сервера, называются сетевыми компьютерами. In this guide, the computers on your network, other than your server, are called network computers.

Чтобы установить и запустить сборщик журналов, выполните шаги, описанные в следующих разделах. To install and run the Log Collector, perform the steps in the following topics:

Сбор сведений о среде Environment information collected

Для каждого компьютера сети или сервера, указанного вами, сборщик журналов собирает следующие сведения о среде и помещает их в файл журнала коллекции: For each network computer or server that you specify, the Log Collector gathers the following environment information and places it into the log collection file.

Версия операционной системы Operating system version

Изготовитель и описание ЦП CPU manufacturer and description

Объем памяти и ее выделение Memory amount and allocation

Сетевые адаптеры, связанные с TCP/IP Network adapters that are bound to TCP/IP

Языковой стандарт Locale

Конфигурация хранилища Storage configuration

Сведения о файле узла Host file information

Журналы событий, включая события приложений, системные события, события Windows Server и Media Center Event Logs including Application, System, Windows Server and Media Center

Сообщения диспетчера управления службами Service Control Manager messages

События перезагрузки и Центра обновления Windows Reboot events and Windows Update events

Системные ошибки и ошибки приложений System Errors and Application Errors

Собираемые сведения о службах Services information collected

Службы сервера Server services

Служба резервного копирования Windows Server клиентского компьютера Windows Server Client Computer Backup Service

Поставщик службы резервного копирования Windows Server клиентского компьютера Windows Server Client Computer Backup Provider Service

Поставщик устройств Windows Server Windows Server Devices Provider

Управление доменными именами Windows Server Windows Server Domain Name Management

Реестр поставщика службы Windows Server Windows Server Service Provider Registry

Поставщик параметров Windows Server Windows Server Settings Provider

Служба UPnP-устройств Windows Server Windows Server UPnP Device Service

Поставщик средств удаленного администрирования Windows Server Windows Server Remote Web Access Administration Provider

Служба работоспособности Windows Server Windows Server Health Service

Служба хранения данных Windows Server Windows Server Storage Service

Служба SQM Windows Server Windows Server SQM Service

Службы сетевых компьютеров Network computer services

Поставщик службы резервного копирования Windows Server клиентского компьютера Windows Server Client Computer Backup Provider Service

Служба работоспособности Windows Server Windows Server Health Service

Реестр поставщика службы Windows Server Windows Server Service Provider Registry

Служба SQM Windows Server Windows Server SQM Service

Сбор сведений из журналов и реестров Logs and registry information collected

Для каждого указанного компьютера сети или сервера сборщик журналов собирает следующие сведения из журналов и реестра от сервера и компьютеров сети: For each network computer or server specified, the Log Collector gathers log and registry information from the server and network computer as follows.

Сведения из журналов и реестра сервера Server logs and registry information

Журналы серверных продуктов, с \Микрософт\виндовс сервер\логс Server product logs, from

Запланированные задачи Scheduled tasks

Журналы API установки Setup API logs

Журналы центра обновления Windows Windows Update logs

Файл оповещений о работоспособности Health Alerts file

Файл сведений об устройствах Devices Info file

Файл журнала архивации сервера Server Backup Log file

Файл журнала Panther Panther Log file

Разделы реестра из Registry keys, from

\\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Server \\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Server \

Сведения из журналов и реестра компьютеров сети Network computer logs and registry information

Журналы продуктов для сетевого компьютера в \Микрософт\виндовс сервер\логс Network computer product logs at

Файл оповещений о работоспособности в \Микрософт\виндовс сервер\дата Health Alerts file at

Журналы центра обновления Windows Windows Update logs

Журналы API установки Setup API logs

Сведения о запланированных задачах Scheduled tasks info

Разделы реестра от \ \ HKEY_LOCAL_MACHINE \Софтваре\микрософт\виндовс Server Registry keys from \\HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows Server \

Журналы компьютеров, которые работают не под управлением ОС Windows Logs for computers that do not run a version of the Windows operating system

Сборщик журналов не собирает файлы журналов с компьютеров, которые работают не под управлением ОС Windows. The Log Collector does not gather log files from computers that do not run a version of the Windows operating system. При использовании компьютеров, работающих под управлением ОС, отличной от Windows, вручную скопируйте следующие файлы журналов в ту же папку, где хранятся файлы сборщика журналов: For non-Windows computers, manually copy the following log files to the same location where you are storing the Log Collector files.

Library/Logs/Windows Server.log Library/Logs/Windows Server.log

Библиотека/журналы/Крашрепортер/панель запуска — (копирование всех файлов панели запуска- . Crash) Library/Logs/CrashReporter/LaunchPad- (copy all of the LaunchPad- .crash files)

Библиотека/журналы/Диагностикрепортс/панель запуска — (копирование всех файлов панели запуска- . Crash) Library/Logs/DiagnosticReports/LaunchPad- (copy all of the LaunchPad- .crash files)

Просмотр журнала обновлений WindowsUpdate.log в Windows 10 / Windows Server 2016

Исторически для анализа работы агента и службы обновления Windows используется текстовый файл WindowsUpdate.log. Однако в Windows 10 (Windows Server 2016/2019) вместо привычного текстового файла логи Windows Update ведутся в формате Event Tracing for Windows (ETW). За счет этого увеличивается быстродействие подсистемы записи логов и экономится место на диске.

Таким образом, события Windows Update теперь больше не записываются в реальном времени в файл %windir%\WindowsUpdate.log. И хотя сам файл все еще присутствует в корне папки Windows, в нем лишь указано, что для сбора логов теперь применяется формат ETW.

Главное неудобство для администраторов – теперь вы не можете быстро проанализировать текстовый файл WindowsUpdate.log, найти ошибки в службе агента обновлений Windows (см. полный список ошибок Windows Update), проверить настройки WSUS и проанализировать историю установки обновлений.

Вы можете сконвертировать события ETW в привычный текстовый формат WindowsUpdate.log для более удобного анализа событий службы обновлений. Для этого используется командлет PowerShell — Get-WindowsUpdateLog. Данный командлет позволяет собрать информацию со всех .etl файлов (хранятся в каталоге C:\WINDOWS\Logs\WindowsUpdate) и сформировать один файл WindowsUpdate.log.

Чтобы сформировать файл WindowsUpdate.log и поместить его в каталог C:\PS\Logs, выполните следующую команду в консоли PowerShell:

Get-WindowsUpdateLog -logpath C:\PS\Logs\WindowsUpdate.log

Файл “C:\Program Files\Windows Defender\SymSrv.dll” обычно отсутствует, если на сервере не установлен антивирус Windows Defender.

Чтобы исправить ошибку, вы можете установить Defender, скопировать файл SymSrv.dll с другого Windows Server 2016/ Windows 10 или поиском найти его в каталоге “C:\Windows\WinSxS\” (у меня каталог назывался C:\Windows\WinSxS\amd64_windows-defender-service-cloudclean_…) и скопировать его в папку C:\Program Files\Windows Defender.

В старых версиях Windows 10 при первом запуске командлет Get-WindowsUpdateLog скачает и установит сервер символов Microsoft (Microsoft Internet Symbol Store). В последних версиях Windows 10 выполняется онлайн доступ к серверу символов Microsoft в Azure. Затем командлет:

1. Собирает данные из всех .etl файлов;
2. Преобразует данные в CSV (по-умолчанию) или XML формат;
3. Переконвертирует данные из промежуточных файлов и добавляет их в текстовый файл журнала, указанного в параметре LogPath (если параметр LogPath не задан, файл WindowsUpdate.log создается на рабочем столе пользователя, запустившего команду).

Это значит, что у вас не установлен сервер символов Windows Symbol (сейчас нельзя скачать отдельную программу установки Windows symbols, т.к. они автоматически загружаются из хранилища символов в Azure). Для изолированных сред вы можете использовать офлайн версию сервера символов согласно статье Offline Symbols for Windows Update.

Откройте файл журнала с помощью такой команды PowerShell:

Invoke-Item -Path C:\PS\Logs\WindowsUpdate.log

Анализировать получившийся файл WindowsUpdate.log довольно сложно, т.к. в нем собираются данные из множества источников:

• AGENT- события агента Windows Update;
• AU – автоматическое обновление;
• AUCLNT- взаимодействие с пользователем;
• HANDLER- управление установщиком обновлений;
• MISC- общая информация;
• PT- синхронизация обновлений с локальным хранилищем;
• REPORT- сбор отчетов;
• SERVICE- запуск/выключение службы wuauserv;
• SETUP- установка новых версий клиента Windows Update;
• DownloadManager – загрузка обновлений в локальных кэш;
• Handler, Setup – заголовки установщиков (CBS и т.п.);
• И т.д.

Вы можете выбрать последние 30 событий от агента обновления Windows (agent) с помощью простого регулярного выражения:

Select-String -Pattern ‘\sagent\s’ -Path C:\PS\Logs\WindowsUpdate.log | Select-Object -Last 30

Можно отфильтровать события в логе по нескольким источникам:

Select-String -Pattern ‘\sagent\s|\smisc\s’ -Path c:\PS\Logs\WindowsUpdate.log | Select-Object -Last 50

Аналогично вы можете искать события по номеру KB, ошибка (строки FAILED, Exit Code, FATAL).

Также вы можете сформировать файл WindowsUpdate.log для удаленного компьютера/сервера:

Get-WindowsUpdateLog -ETLPath \\PC221\C$\windows\Logs\WindowsUpdate -LogPath C:\PS\Logs\windowsupdatePC221.log

Также для анализа работы службы обновлений Windows может быть полезны журналы Event Viewer в разделе Applications and Services Logs -> Microsoft -> Windows –> WindowsUpdateClient -> Operational.

Как включить ведение журнала событий Kerberos

В этой статье описывается, как включить ведение журнала событий Kerberos.

Исходная версия продукта: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10 версии 1809 и более поздних версий, Windows 7 Пакет обновления 1
Исходный номер КБ: 262177

Аннотация

Windows 7 Пакет обновления 1, Windows Server 2012 R2 и более поздних версий предоставляют возможность трассить подробные события Kerberos через журнал событий. Эти сведения можно использовать при устранении неполадок Kerberos.

Изменение уровня ведения журнала приведет к регистрации всех ошибок Kerberos в событии. В протоколе Kerberos ожидается ряд ошибок, основанных на спецификации протокола. В результате включение ведения журнала Kerberos может создавать события, содержащие ожидаемые ошибки ложного срабатывания, даже если нет операционных ошибок Kerberos.

Примеры ошибок ложного срабатываирования:

KDC_ERR_PREAUTH_REQUIRED возвращается по первоначальному запросу Kerberos AS. По умолчанию клиент Windows Kerberos не включит данные предварительной проверки подлинности в этот первый запрос. Ответ содержит сведения о поддерживаемых типах шифрования в KDC, а в случае AES — о солях, которые будут использоваться для шифрования хеш-кодов паролей.

Рекомендация: всегда игнорируйте этот код ошибки.

KDC_ERR_S_BADOPTION используется клиентом Kerberos для получения билетов с определенным набором параметров, например с определенными флагами делегирования. Если запрашиваемая возможность делегирования не является возможной, возвращается ошибка. Затем клиент Kerberos попытается получить запрашиваемую заявку с помощью других флагов, которые могут быть успешными.

Рекомендация: если не возникла проблема делегирования, игнорируйте эту ошибку.

KDC_ERR_S_PRINCIPAL_UNKNOWN регистрируются в журнале для различных проблем, связанных с взаимодействием клиента приложения и сервера. Причиной может быть:

• Отсутствуют или дублируются SPNs, зарегистрированные в AD.
• Неправильные имена серверов или DNS-суффиксы, используемые клиентом, например, клиент использует записи DNS CNAME и использует итоговую запись A в SPN.
• Использование имен серверов без FQDN, которые необходимо разрешить за пределами леса AD.

Рекомендация: изучение использования имен серверов приложениями. Скорее всего, это проблема с конфигурацией клиента или сервера.

KRB_AP_ERR_MODIFIED регистрируется, когда spN занося в неправильную учетную запись, не совпадая с учетной записью, с помощью которая запущена на сервере. Вторая распространенная проблема заключается в том, что пароль между KDC, выдаваемым билетом, и сервером, на который размещена служба, не синхронизирован.

Рекомендация. Как и KDC_ERR_S_PRINCIPAL_UNKNOWN, проверьте правильность задаваемой spN.

Другие сценарии или ошибки требуют внимания системных администраторов или администраторов домена.

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения см. в сведениях о том, как создать и восстановить реестр в Windows.

Включить ведение журнала событий Kerberos на определенном компьютере

Откройте редактор реестра.

Добавьте следующее значение реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Значение реестра: LogLevel
Тип значения: REG_DWORD
Значение: 0x1

Если подмайка Parameters не существует, создайте его.

Удалите это значение реестра, если оно больше не требуется, чтобы не ухудшить производительность на компьютере. Кроме того, это значение реестра можно удалить, чтобы отключить ведение журнала событий Kerberos на определенном компьютере.

Закройте редактор реестра. Этот параметр начнет действовать сразу в Windows Server 2012 R2, Windows 7 и более поздних версиях.

В системном журнале можно найти любые события, связанные с Kerberos.

Дополнительные сведения

Ведение журнала событий Kerberos предназначено только для устранения неполадок, если ожидается дополнительная информация для клиента Kerberos в определенный период действия. При переустанавливлении ведение журнала kerberos должно быть отключено, если устранение неполадок не активно.

С общей точки зрения вы можете получить дополнительные ошибки, которые правильно обрабатываются клиентом-принимающим клиентом без вмешательства пользователя или администратора. Переустанавлившиеся ошибки, захваченные в журнале Kerberos, не отражают серьезной проблемы, которую необходимо решить или даже можно решить.

Например, журнал событий 3 об ошибке Kerberos с кодом ошибки 0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN for Server Name cifs/ будет регистрироваться при доступе к совместному доступу с IP-адресом сервера без имени сервера. Если эта ошибка зарегистрирована, клиент Windows автоматически пытается вернуться к проверке подлинности NTLM для учетной записи пользователя. Если эта операция работает, ошибка не будет.