Cómo habilitar Trace Logging para distintos componentes en Windows Vista/Windows Server 2008

Hola, soy Tolu Igbon, del equipo de Directorio Activo. Hoy vamos a hablar sobre cómo habilitar trace logging para diferentes componentes relacionados con Directorio Activo tanto en Windows Vista como en Windows Server 2008.

La herramienta Tracelog: https://msdn.microsoft.com/en-us/library/ms797927.aspx   se introdujo con el kit de recursos de Windows 2000.

Esta utilidad permite habilitar “event trace logging”, (un especie de logging detallado) de distintos componentes de Windows a la hora de intentar resolver problemas (por ejemplo autenticación Kerberos, acceso LDAP, etc).

Para interpretar los “event trace logs” (.etl) generados se necesitan otras herramientas como:

• Tracerpt: https://technet.microsoft.com/en-us/library/cc732700.aspx
• Tracefmt: https://msdn.microsoft.com/en-us/library/ms797564.aspx ,
• Traceview: https://msdn.microsoft.com/en-us/library/ms797981.aspx o
• Tracedmp: https://www.microsoft.com/downloads/details.aspx?familyid=8B7EE632-FB8C-4770-BF37-EED586469B2F&displaylang=en

La novedad real para Vista/2008 es que ha aumentado de manera significativa el numero de proveedores con los cuales podemos realizar este tipo de “logging”.

Aquí os proporcionamos unos ejemplos de cómo generar logging para componentes relacionados con Directorio Activo.

Cliente LDAP

En primer lugar, creamos una nueva clave de registro:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ ldap\Tracing\ProcessName

ProcessName es el nombre del proceso que queremos “tracear” (por ejemplo MMC.exe).

Dentro de esta clave, podemos crear un valor opcional de tipo DWORD llamado PID. (Si establecemos este valor a un PID concreto, solo se traceará la instancia de la aplicación con este PID).

Para habilitar el tracing, ejecutamos el siguiente comando:

tracelog.exe -start <sessionname> - guid #<guid for ldap tracing provider> -f <filename> -flag <traceFlags>

sessionname es un nombre arbitrario que utilizamos para identificar la session de tracing (tendremos que hacer referencia al mismo identificador cuando terminemos la sesión).

El GUID para el proveedor de tracing LDAP es "099614a5-5dd7-4788-8bc9-e29f43db28fc".

filename especifica el archive de registro donde se generarán los logs.

traceFlags puede ser una combinación de los siguientes valores:

DEBUG_TRACE1	0x00000001
DEBUG_TRACE2	0x00000002
DEBUG_REFCNT	0x00000004
DEBUG_HEAP	0x00000008
DEBUG_CACHE	0x00000010
DEBUG_SSL	0x00000020
DEBUG_SPEWSEARCH	0x00000040
DEBUG_SERVERDOWN	0x00000080
DEBUG_CONNECT	0x00000100
DEBUG_RECONNECT	0x00000200
DEBUG_RECEIVEDATA	0x00000400
DEBUG_BYTES_SENT	0x00000800
DEBUG_EOM	0x00001000
DEBUG_BER	0x00002000
DEBUG_OUTMEMORY	0x00004000
DEBUG_CONTROLS	0x00008000
DEBUG_BYTES_RECEIVED	0x00010000
DEBUG_CLDAP	0x00020000
DEBUG_FILTER	0x00040000
DEBUG_BIND	0x00080000
DEBUG_NETWORK_ERRORS	0x00100000
DEBUG_SCRATCH	0x00200000
DEBUG_PARSE	0x00400000
DEBUG_REFERRALS	0x00800000
DEBUG_REQUEST	0x01000000
DEBUG_CONNECTION	0x02000000
DEBUG_INIT_TERM	0x04000000
DEBUG_API_ERRORS	0x08000000
DEBUG_ERRORS	0x10000000

Para detener el tracing, ejecutamos el siguiente comando:

tracelog.exe -stop <sessionname>

Ejemplo práctico

Un administrador recibe un error inesperado en una aplicación que establece contraseñas para cuentas de Usuario.

Decide habilitar tracing para APP1.exe mediante los siguientes pasos:

1. Crear la clave de registro

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ ldap\Tracing\App1.exe

y habilitar una session de tracing mediante el siguiente comando:

C:\>tracelog.exe -start ldaptrace -guid #099614a5-5dd7-4788-8bc9-e29f43db28fc -f .\ldap.etl -flag 0x80000

2. Una vez ejecutado este comando, se escribirán mensajes de tipo DEBUG_BIND en el log .\ldap.etl.

3. Ejecutamos App1.exe para reproducir el comportamiento inesperado.

4. Detenemos la session de tracing:

C:\>tracelog.exe -stop ldaptrace

5. Eliminamos la clave HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ ldap\Tracing\App1.exe para que ningún otro usuario pueda obtener información de tracing de App1.exe.

6. Utilizamos otra herramienta como Tracerpt.exe para interpreter la información del log de tracing generado:

C:\>tracerpt.exe .\ldap.etl -o -report

Autenticación Kerberos

Habilitar el “tracing detallado” de kerberos mediante el siguiente comando

tracelog.exe -kd -rt -start kerb - guid #6B510852-3583-4e2d-AFFE-A67F9F223438 -f .\kerb.etl -flags 0x43 -ft 1

Para detener el logging, una vez reproducido el problema, ejecutar el siguiente comando:

tracelog.exe -stop kerb

Autenticación NTLM

Para habilitar el logging:

tracelog.exe -kd -rt -start ntlm - guid #5BBB6C18-AA45-49b1-A15F-085F7ED0AA90 -f .\ntlm.etl -flags 0x15003 -ft 1

Para detener el logging:

tracelog -stop ntlm

KDC

Para habilitar logging en el KDC (el servicio de validación y distribución de tickets kerberos en un DC):

tracelog.exe -kd -rt -start kdc - guid #1BBA8B19-7F31-43c0-9643-6E911F79A06B -f .\kdc.etl -flags 0x803 -ft 1

Para detener el logging:

tracelog.exe -stop kdc

Usando el editor del registro

Tambien podemos habilitar el logging a través del registro de Windows:

Ubicación de los ficheros de salida

Si habilitamos el logging mediante tracelog.exe se generarán los archivos correspondientes de registro, kerb.etl/kdc.etl/ntlm.etl en el directorio desde donde hemos ejecutado el comando

Si lo hemos habilitado en el registro, los archivos se generarán en las siguientes ubicaciones:

• NTLM: %systemroot%\tracing\msv1_0
• Kerberos: %systemroot%\tracing\kerberos
• KDC: %systemroot%\tracing\kdcsvc

Esperamos que esta información os pueda resultar de utilidad a la hora de buscar las posibles causas de problemas relacionados con Directorio Activo.

Tolu Igbon