troushoo

Message Analyzer を用いて、Netlogon のログを解析

概要

Message Analyzer を用いた Netlogon のログの解析方法を、ユーザーアカウントがロックされた、という事象を例にとり紹介します。

内容

Netlogon のログの有効方法
1. Netlogon のログの有効化は、以下の方法できます。

Nltest /DBFlag:2080FFFF

今回は、ドメインコントローラーで Netlogon のログを有効化しました。

2. Netlogon のログが、C:\Windows\debug\netlogon.log に作成されます。


3. Netlogon のログの無効化は、以下の方法でできます。
Nltest /DBFlag:0x0


Message Analyzer を用いた、Netlogon のログの解析
1. Message Analyzer を起動します。

2. 「File」→「Open」→「From File Explorer」から、netlogon.log を開きます。


3. 「Text Log Configuration」にて「Netlogon」を選択します。


4. ログが表示されます。
「ACCOUNT WARNING: Authentication failure of ACCOUNT LOCKED OUT returned for mydomain\locktest2 from TR-COMPUTER. This was proxied by 16MEM1. The type of logon was a Transitive Network logon, and the result was 0xc0000234.」が確認できます。
これにより、TR-COMPUTER から 16MEM1 に接続し (RDP 接続しました)、mydomain\locktest2 に対するログインを試みた結果、アカウントがロックアウトされたことがわかります。


ちなみに該当部分をメモ帳で開くと以下のようになっています。
「[LOGON] [636] MYDOMAIN: SamLogon: Transitive Network logon of mydomain\locktest2 from TR-COMPUTER (via 16MEM1) Returns 0xC0000234」


表示されているエラーコード 0xC0000234 は、Web で調べることにより「STATUS_ACCOUNT_LOCKED_OUT」とわかり、該当のログはアカウントがロックされたということがわかりますが、Message Analyzer で開くことにより、わざわざ別途調べる必要がなくなります。


情報元
Diving into the Netlogon Parser (v3.5) for Message Analyzer (英語)
Enabling debug logging for the Netlogon service (英語)
Quick Reference: Troubleshooting Netlogon Error Codes (英語)

関連記事
Message Analyzer を用いて、IPsec の通信を復号した状態でキャプチャー
  1. 2016/11/19(土) 23:05:36|
  2. ツール
  3. | トラックバック:0
  4. | コメント:0
<<追加ソフトのインストールなく Windows Server 2016 で使用可能な DNS サーバーのログの方法 (2012 R2 用の hotfix も有り) | ホーム | Microsoft よりオープンソースで公開されている Linux 用のネットワークレイテンシー測定ツール:lagscope>>

コメント

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
http://troushoo.blog.fc2.com/tb.php/317-f4f82449
この記事にトラックバックする(FC2ブログユーザー)

スポンサーリンク

最新記事

月別アーカイブ

カテゴリ

ツール (92)
ネットワーク (76)
Visual Studio (56)
SOS・Psscor2/Psscor4 (25)
WinDbg (25)
Linux (23)
Azure (17)
Tips (20)
英語 (1)
About Me (1)
未分類 (0)

全記事表示リンク

全ての記事を表示する

検索フォーム

RSSリンクの表示

リンク

このブログをリンクに追加する