Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Hier erfahren Sie, wie Sie erweiterte Protokollierungs-, Überwachungs- und Analyseereignisse für DNS für die DNS-Serverrolle in Windows Server aktivieren. DNS-Protokollierung und -Diagnose bieten detaillierte Informationen zu DNS-Servervorgängen, einschließlich Zonenänderungen, dynamischer Updates und DNSSEC-Vorgängen. Die DNS-Protokollierung und -Diagnose kann Ihnen helfen, die DNS-Serverleistung zu überwachen, DNS-Probleme zu beheben und DNS-Serveraktivitäten nachzuverfolgen.
Voraussetzungen
Bevor Sie die DNS-Protokollierung und -Diagnose aktivieren, stellen Sie sicher, dass Sie über Folgendes verfügen:
Eine Windows Server-Instanz mit installierter DNS-Serverrolle, einschließlich der DNS-Remoteserver-Verwaltungstools (Remote Server Administration Tools, RSAT).
Administratorrechte auf dem Server
Grundlegendes Verständnis von DNS-Servervorgängen
Anzeigen von DNS-Serverprotokollen
DNS-Überwachungsprotokolle sind standardmäßig aktiviert und wirken sich nicht erheblich auf die DNS-Serverleistung aus. DNS-Serverüberwachungsereignisse ermöglichen die Änderungsnachverfolgung auf dem DNS-Server. Jedes Mal, wenn Server-, Zonen- oder Ressourcendatensatzeinstellungen geändert werden, wird ein Überwachungsereignis protokolliert. Überwachungsereignisse umfassen Betriebsereignisse wie dynamische Updates, Zonenübertragungen und Signieren bzw. Entfernen der Signatur von DNSSEC-Zonen. So zeigen Sie DNS-Serverprotokolle an
Wählen Sie die Schaltfläche Start aus, geben Sie Ereignisanzeige ein, und öffnen Sie in der Liste „Beste Übereinstimmung“ die Ereignisanzeige.
Navigieren Sie in der Ereignisanzeige zu Anwendungen und Dienste > Protokolle > Microsoft > Windows > DNS-Server.
Wählen Sie Audit im Navigationsbereich aus, um DNS-Auditprotokolle anzuzeigen.
Überwachen von Ereignissen
In der folgenden Tabelle sind DNS-Serverüberwachungsereignisse zusammengefasst.
| Ereignis-ID | Typ | Kategorie | Ebene | Fehlermeldungstext |
|---|---|---|---|---|
| 513 | Zone delete |
Zonenvorgänge | Informativ | The zone %1 was deleted. |
| 514 | Zone updated |
Zonenvorgänge | Informativ | The zone %1 was updated. The %2 setting has been set to %3. |
| 515 | Record create |
Zonenvorgänge | Informativ | A resource record of type %1, name %2, TTL %3 and RDATA %5 was created in scope %7 of zone %6. |
| 516 | Record delete |
Zonenvorgänge | Informativ | A resource record of type %1, name %2 and RDATA %5 was deleted from scope %7 of zone %6. |
| 517 | RRSET delete |
Zonenvorgänge | Informativ | All resource records of type %1, name %2 were deleted from scope %4 of zone %3. |
| 518 | Node delete |
Zonenvorgänge | Informativ | All resource records at Node name %1 were deleted from scope %3 of zone %2. |
| 519 | Record create - dynamic update |
Dynamisches Update | Informativ | A resource record of type %1, name %2, TTL %3 and RDATA %5 was created in scope %7 of zone %6 via dynamic update from IP Address %8. |
| 520 | Record delete - dynamic update |
Dynamisches Update | Informativ | A resource record of type %1, name %2 and RDATA %5 was deleted from scope %7 of zone %6 via dynamic update from IP Address %8. |
| 521 | Record scavenge |
Alterung | Informativ | A resource record of type %1, name %2, TTL %3 and RDATA %5 was scavenged from scope %7 of zone %6. |
| 522 | Zone scope create |
Zonenvorgänge | Informativ | The scope %1 was created in zone %2. |
| 523 | Zone scope delete |
Zonenvorgänge | Informativ | The scope %1 was created in zone %2. |
| 525 | Zone sign |
Onlinesignierung | Informativ | The zone %1 was signed with following properties... |
| 526 | Zone unsign |
Onlinesignierung | Informativ | The zone %1 was unsigned. |
| 527 | Zone re-sign |
Onlinesignierung | Informativ | The zone %1 was re-signed with following properties... |
| 528 | Key rollover start |
DNSSEC-Vorgänge | Informativ | Rollover was started on the type %1 with GUID %2 of zone %3. |
| 529 | Key rollover end |
DNSSEC-Vorgänge | Informativ | Rollover was completed on the type %1 with GUID %2 of zone %3. |
| 530 | Key retire |
DNSSEC-Vorgänge | Informativ | The type %1 with GUID %2 of zone %3 was marked for retiral. The key will be removed after the rollover completion. |
| 531 | Key rollover triggered |
DNSSEC-Vorgänge | Informativ | Manual rollover was triggered on the type %1 with GUID %2 of zone %3. |
| 533 | Key poke rollover |
DNSSEC-Vorgänge | Warnung | The keys signing key with GUID %1 on zone %2 that was waiting for a Delegation Signer(DS) update on the parent has been forced to move to rollover completion. |
| 534 | Export DNSSEC |
DNSSEC-Vorgänge | Informativ | DNSSEC setting metadata was exported %1 key signing key metadata from zone %2. |
| 535 | Import DNSSEC |
DNSSEC-Vorgänge | Informativ | DNSSEC setting metadata was imported on zone %1. |
| 536 | Cache purge |
DNSSEC-Vorgänge | Informativ | A record of type %1, QNAME %2 was purged from scope %3 in cache. |
| 537 | Forwarder reset |
Cachevorgänge | Informativ | The forwarder list on scope %2 has been reset to %1. |
| 540 | Root hints |
Konfiguration | Informativ | The root hints have been modified. |
| 541 | Server setting |
Konfiguration | Informativ | The setting %1 on scope %2 has been set to %3. |
| 542 | Server scope create |
Konfiguration | Informativ | The scope %1 of DNS server was created. |
| 543 | Server scope delete |
Konfiguration | Informativ | The scope %1 of DNS server was deleted. |
| 544 | Add trust point DNSKEY |
Konfiguration | Informativ | The DNSKEY with Key Protocol %2, Base64 Data %4 and Crypto Algorithm %5 has been added at the trust point %1. |
| 545 | Add trust point DS |
Konfiguration | Informativ | The DS with Key Tag: %2, Digest Type: %3, Digest: %5 and Crypto Algorithm: %6 has been added at the trust point %1. |
| 546 | Remove trust point |
Konfiguration | Informativ | The trust point at %1 of type %2 has been removed. |
| 547 | Add trust point root |
DNSSEC-Vorgänge | Informativ | The trust anchor for the root zone has been added. |
| 548 | Restart server |
DNSSEC-Vorgänge | Informativ | A request to restart the DNS server service has been received. |
| 549 | Clear debug logs |
DNSSEC-Vorgänge | Informativ | The debug logs have been cleared from %1 on DNS server. |
| 550 | Write dirty zones |
DNSSEC-Vorgänge | Informativ | The in-memory contents of all the zones on DNS server have been flushed to their respective files. |
| 551 | Clear statistics |
Servervorgänge | Informativ | All the statistical data for the DNS server has been cleared. |
| 552 | Start scavenging |
Servervorgänge | Informativ | A resource record scavenging cycle has been started on the DNS Server. |
| 553 | Enlist directory partition |
Servervorgänge | Informativ | 1% |
| 554 | Abort scavenging |
Servervorgänge | Informativ | The resource record scavenging cycle has been terminated on the DNS Server. |
| 555 | Prepare for demotion |
Servervorgänge | Informativ | The DNS server has been prepared for demotion by removing references to it from all zones stored in the Active Directory. |
| 556 | Write root hints |
Servervorgänge | Informativ | The information about the root hints on the DNS server has been written back to the persistent storage. |
| 557 | Listen address |
Servervorgänge | Informativ | The addresses on which DNS server will listen has been changed to %1. |
| 558 | Active refresh trust points |
Servervorgänge | Informativ | An immediate RFC 5011 active refresh has been scheduled for all trust points. |
| 559 | Pause zone |
Servervorgänge | Informativ | The zone %1 is paused. |
| 560 | Resume zone |
Servervorgänge | Informativ | The zone %1 is resumed. |
| 561 | Reload zone |
DNSSEC-Vorgänge | Informativ | The data for zone %1 has been reloaded from %2. |
| 562 | Refresh zone |
Zonenvorgänge | Informativ | The data for zone %1 has been refreshed from the primary server %2. |
| 563 | Expire zone |
Zonenvorgänge | Informativ | The secondary zone %1 has been expired and new data has been requested from the primary server %2. |
| 564 | Update from DS |
Zonenvorgänge | Informativ | The zone %1 has been reloaded from the Active Directory. |
| 565 | Write and notify |
Zonenvorgänge | Informativ | The content of the zone %1 has been written to the disk and the notification has been sent to all the notify servers. |
| 566 | Force aging |
Zonenvorgänge | Informativ | All DNS records at the node %1 in the zone %2 will have their aging time stamp set to the current time.%3 |
| 567 | Scavenge servers |
Zonenvorgänge | Informativ | The Active Directory-integrated zone %1 has been updated. Only %2 can run scavenging. |
| 568 | Transfer primary key server |
Zonenvorgänge | Informativ | The key management role for zone %1 has been %2.%3 |
| 569 | Add SKD |
Zonenvorgänge | Informativ | A %1 singing key (%2) descriptor has been added on the zone %3 with following properties: KeyId=%4; KeyType=%5; CurrentState=%6; KeyStorageProvider=%7; StoreKeysInAD=%8; CryptoAlgorithm=%9; KeyLength=%10; DnsKeySignatureValidityPeriod=%11; DSSignatureValidityPeriod=%12; ZoneSignatureValidityPeriod=%13; InitialRolloverOffset=%14; RolloverPeriod=%15; RolloverType=%16; NextRolloverAction=%17; LastRolloverTime=%18; NextRolloverTime=%19; CurrentRolloverStatus=%20; ActiveKey=%21; StandbyKey=%22; NextKey=%23. The zone will be resigned with the %2 generated with these properties. |
| 570 | Modify SKD |
Zonenvorgänge | Informativ | A %1 singing key (%2) descriptor with GUID %3 has been updated on the zone %4. The properties of this %2 descriptor have been set to: KeyId=%5; KeyType=%6; CurrentState=%7; KeyStorageProvider=%8; StoreKeysInAD=%9; CryptoAlgorithm=%10; KeyLength=%11; DnsKeySignatureValidityPeriod=%12; DSSignatureValidityPeriod=%13; ZoneSignatureValidityPeriod=%14; InitialRolloverOffset=%15; RolloverPeriod=%16; RolloverType=%17; NextRolloverAction=%18; LastRolloverTime=%19; NextRolloverTime=%20; CurrentRolloverStatus=%21; ActiveKey=%22; StandbyKey=%23; NextKey=%24. The zone will be resigned with the %2 generated with these properties. |
| 571 | Delete SKD |
DNSSEC-Vorgänge | Informativ | A %1 singing key (%2) descriptor %4 has been removed from the zone %3. |
| 572 | Modify SKD state |
DNSSEC-Vorgänge | Informativ | The state of the %1 signing key (%2) %3 has been modified on zone %4. The new active key is %5, standby key is %6 and next key is %7. |
| 573 | Add delegation |
DNSSEC-Vorgänge | Informativ | A delegation for %1 in the scope %2 of zone %3 with the name server %4 has been added. |
| 574 | Create client subnet record |
DNSSEC-Vorgänge | Informativ | The client subnet record with name %1 value %2 has been added to the client subnet map. |
| 575 | Delete client subnet record |
DNSSEC-Vorgänge | Informativ | The client subnet record with name %1 has been deleted from the client subnet map. |
| 576 | Update client subnet record |
Zonenvorgänge | Informativ | The client subnet record with name %1 has been updated from the client subnet map. The new client subnets that it refers to are %2. |
| 577 | Create server level policy |
Richtlinienvorgänge | Informativ | A server level policy %6 for %1 has been created on server %2 with following properties: ProcessingOrder:%3; Criteria:%4; Action:%5. |
| 578 | Create zone level policy |
Richtlinienvorgänge | Informativ | A zone level policy %8 for %1 has been created on zone %6 on server %2 with following properties: ProcessingOrder:%3; Criteria:%4; Action:%5; Scopes:%7. |
| 579 | Create forwarding policy |
Richtlinienvorgänge | Informativ | A forwarding policy %6 has been created on server %2 with following properties: ProcessingOrder:%3; Criteria:%4; Action:%5; Scope:%1. |
| 580 | Delete server level policy |
Richtlinienvorgänge | Informativ | The server level policy %1 has been deleted from server %2. |
| 581 | Delete zone level policy |
Richtlinienvorgänge | Informativ | The zone level policy %1 has been deleted from zone %3 on server %2. |
| 582 | Delete forwarding policy |
Richtlinienvorgänge | Informativ | The forwarding policy %1 has been deleted from server %2. |
Aktivieren der Analyseereignisprotokollierung
Die verbesserte DNS-Protokollierung und -Diagnose in Windows Server beinhalten DNS-Überwachungsereignisse und DNS-Analyseereignisse. DNS-Überwachungsprotokolle sind standardmäßig aktiviert und wirken sich nicht erheblich auf die DNS-Serverleistung aus.
DNS-Analyseprotokolle sind standardmäßig nicht aktiviert und wirken sich in der Regel nur auf die DNS-Serverleistung bei hohen DNS-Abfrageraten aus. Beispielsweise kann bei einem DNS-Server, der auf moderner Hardware ausgeführt wird, die 100.000 Abfragen pro Sekunde (Queries Per Second, QPS) empfängt, eine Leistungsbeeinträchtigung von 5 % auftreten, wenn Analyseprotokolle aktiviert sind. Es gibt keine offensichtlichen Leistungsauswirkungen für Abfrageraten von 50.000 QPS und weniger. Es wird jedoch empfohlen, die Leistung des DNS-Servers zu überwachen, wenn die Protokollierung aktiviert ist.
So aktivieren Sie die DNS-Diagnoseprotokollierung
Navigieren Sie zum Knoten Anwendungen und Dienste > Protokolle > Microsoft > Windows > DNS-Server und wählen Sie mithilfe der rechten Maustaste den DNS-Server aus. Wählen Sie anschließend Ansicht und Anzeigen von Analyse und Debugprotokollen aus. Das Analyseprotokoll wird angezeigt.
Klicken Sie erst mit der rechten Maustaste auf Analytisch, und wählen Sie dann Eigenschaften aus.
Wenn Sie die Protokolle aus der Ereignisanzeige abfragen und anzeigen möchten, wählen Sie Wenn die maximale Ereignisprotokollgrößeerreicht ist, wählen Sie Ereignisse nicht überschreiben (Protokolle manuell löschen), aktivieren Sie das Kontrollkästchen Protokollierung aktivieren, und wählen Sie dann OK aus, wenn Sie gefragt werden, ob Sie dieses Protokoll aktivieren möchten.
Wenn Sie die Umlaufprotokollierung aktivieren möchten, wählen Sie Nach Bedarf überschreiben (älteste Ereignisse zuerst) und dann Protokollierung aktivieren aus. Nachdem Sie OKausgewählt haben, wird ein Abfragefehler angezeigt. Die Protokollierung erfolgt, auch wenn dieser Fehler angezeigt wird. Der Fehler bedeutet nur, dass Sie die Ereignisse, die derzeit in der Ereignisanzeige protokolliert werden, nicht anzeigen können.
Wählen Sie OK aus, um das Analyseereignisprotokoll für DNS-Server zu aktivieren.
Analyseprotokolle werden standardmäßig in die Datei %SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-DNSServer%4Analytical.etl geschrieben. Ereignisse, die in den Überwachungs- und Analyseereignisprotokollen von DNS-Servern angezeigt werden, werden im nächsten Abschnitt behandelt.
Analyseereignisse
Mit Analyseereignissen für DNS-Server können Aktivitäten auf dem DNS-Server überwacht werden. Ein Analyseereignis wird jedes Mal protokolliert, wenn der Server DNS-Informationen sendet oder empfängt. In der folgenden Tabelle sind DNS-Serveranalyseereignisse zusammengefasst.
| Ereignis-ID | Typ | Kategorie | Ebene | Fehlermeldungstext |
|---|---|---|---|---|
| 257 | Response success |
Suche | Informativ | RESPONSE_SUCCESS: TCP=%1; InterfaceIP=%2; Destination=%3; AA=%4; AD=%5; QNAME=%6; QTYPE=%7; XID=%8; DNSSEC=%9; RCODE=%10; Port=%11; Flags=%12; Scope=%13; Zone=%14; PolicyName=%15; PacketData=%17 |
| 258 | Response failure |
Suche | Fehler | RESPONSE_FAILURE: TCP=%1; InterfaceIP=%2; Reason=%3; Destination=%4; QNAME=%5; QTYPE=%6; XID=%7; RCODE=%8; Port=%9; Flags=%10; Zone=%11; PolicyName=%12; PacketData=%14 |
| 259 | Ignored query |
Suche | Fehler | IGNORED_QUERY: TCP=%1; InterfaceIP=%2; Reason=%3; QNAME=%4; QTYPE=%5; XID=%6; Zone=%7; PolicyName=%8 |
| 260 | Query out |
Rekursive Abfrage | Informativ | RECURSE_QUERY_OUT: TCP=%1; Destination=%2; InterfaceIP=%3; RD=%4; QNAME=%5; QTYPE=%6; XID=%7; Port=%8; Flags=%9; ServerScope=%10; CacheScope=%11; PolicyName=%12; PacketData=%14 |
| 261 | Response in |
Rekursive Abfrage | Informativ | RECURSE_RESPONSE_IN: TCP=%1; Source=%2; InterfaceIP=%3; AA=%4; AD=%5; QNAME=%6; QTYPE=%7; XID=%8; Port=%9; Flags=%10; ServerScope=%11; CacheScope=%12; PacketData=%14 |
| 262 | Recursive query |
Fehler | RECURSE_QUERY_TIMEOUT: TCP=%1; InterfaceIP=%2; Destination=%3; QNAME=%4; QTYPE=%5; XID=%6; Port=%7; Flags=%8; ServerScope=%9; CacheScope=%10 |
|
| 263 | Update in |
Dynamisches Update | Informativ | DYN_UPDATE_RECV: TCP=%1; InterfaceIP=%2; Source=%3; QNAME=%4; XID=%5; Port=%6; Flags=%7; SECURE=%8; PacketData=%10 |
| 264 | Update response |
Dynamisches Update | Informativ | DYN_UPDATE_RESPONSE: TCP=%1; InterfaceIP=%2; Destination=%3; QNAME=%4; XID=%5; ZoneScope=%6; Zone=%7; RCODE=%8; PolicyName=%9; PacketData=%11 |
| 265 | IXFR request out |
Zone XFR | Informativ | IXFR_REQ_OUT: TCP=%1; InterfaceIP=%2; Source=%3; QNAME=%4; XID=%5; ZoneScope=%6; Zone=%7; PacketData=%9 |
| 266 | IXFR request in |
Zone XFR | Informativ | IXFR_REQ_RECV: TCP=%1; InterfaceIP=%2; Source=%3; QNAME=%4; XID=%5; ZoneScope=%6; Zone=%7; PacketData=%9 |
| 267 | 267 IXFR response out |
Zone XFR | Informativ | IXFR_RESP_OUT: TCP=%1; InterfaceIP=%2; Destination=%3; QNAME=%4; XID=%5; ZoneScope=%6; Zone=%7; RCODE=%8; PacketData=%10 |
| 268 | IXFR response in |
Zone XFR | Informativ | IXFR_RESP_RECV: TCP=%1; InterfaceIP=%2; Destination=%3; QNAME=%4; XID=%5; ZoneScope=%6; Zone=%7; RCODE=%8; PacketData=%10 |
| 269 | AXFR request out |
Zone XFR | Informativ | AXFR_REQ_OUT: TCP=%1; Source=%2; InterfaceIP=%3; QNAME=%4; XID=%5; ZoneScope=%6; Zone=%7; PacketData=%9 |
| 270 | AXFR request in |
Zone XFR | Informativ | AXFR_REQ_RECV: TCP=%1; Source=%2; InterfaceIP=%3; QNAME=%4; XID=%5; ZoneScope=%6; Zone=%7; PacketData=%9 |
| 271 | AXFR response out |
Zone XFR | Informativ | AXFR_RESP_OUT: TCP=%1; InterfaceIP=%2; Destination=%3; QNAME=%4; XID=%5; ZoneScope=%6; Zone=%7; RCODE=%8 |
| 272 | AXFR response in |
Zone XFR | Informativ | AXFR_RESP_RECV: TCP=%1; InterfaceIP=%2; Destination=%3; QNAME=%4; XID=%5; ZoneScope=%6; Zone=%7; RCODE=%8 |
| 273 | XFR notification in |
Zone XFR | Informativ | XFR_NOTIFY_RECV: Source=%1; InterfaceIP=%2; QNAME=%3; ZoneScope=%4; Zone=%5; PacketData=%7 |
| 274 | XFR notification out |
Zone XFR | Informativ | XFR_NOTIFY_OUT: Destination=%1; InterfaceIP=%2; QNAME=%3; ZoneScope=%4; Zone=%5; PacketData=%7 |
| 275 | XFR notify ACK in |
Zone XFR | Informativ | XFR_NOTIFY_ACK_IN: Source=%1; InterfaceIP=%2; PacketData=%4 |
| 276 | XFR notify ACK out |
Zone XFR | Informativ | XFR_NOTIFY_ACK_OUT: Destination=%1; InterfaceIP=%2; Zone=%3; PacketData=%5 |
| 277 | Update forward |
Dynamisches Update | Informativ | DYN_UPDATE_FORWARD: TCP=%1; ForwardInterfaceIP=%2; Destination=%3; QNAME=%4; XID=%5; ZoneScope=%6; Zone=%7; RCODE=%8; PacketData=%10 |
| 278 | Update response in |
Dynamisches Update | Informativ | DYN_UPDATE_RESPONSE_IN: TCP=%1; InterfaceIP=%2; Source=%3; QNAME=%4; XID=%5; ZoneScope=%6; Zone=%7; RCODE=%8; PacketData=%10 |
| 279 | Internal lookup CNAME |
Suche | Informativ | INTERNAL_LOOKUP_CNAME: TCP=%1; InterfaceIP=%2; Source=%3; RD=%4; QNAME=%5; QTYPE=%6; Port=%7; Flags=%8; XID=%9; PacketData=%11 |
| 280 | Internal lookup |
Suche | Informativ | INTERNAL_LOOKUP_ADDITIONAL: TCP=%1; InterfaceIP=%2; Source=%3; RD=%4; QNAME=%5; QTYPE=%6; Port=%7; Flags=%8; XID=%9; PacketData=%11 |
Ereignisablaufverfolgung
DNS-Protokolle sind mit ETW-Consumer-Anwendungen (Event Tracing for Windows) kompatibel, z. B. Logman, Tracelog und Message Analyzer. Weitere Informationen zur Verwendung der Ereignisablaufverfolgung finden Sie unter Informationen zur Ereignisablaufverfolgung.
Sie können ETW-Consumer wie tracelog.exe mit DNS-Serverüberwachungs- und Analyseereignissen verwenden, indem Sie die GUID {EB79061A-A566-4698-9119-3ED2807060E7} angeben.
Sie können tracelog.exe erhalten, indem Sie das Windows-Treiberkit (Windows Driver Kit, WDK) herunterladen und installieren. Tracelog.exe ist enthalten, wenn Sie das WDK, Visual Studio und das Windows SDK für Desktop-Apps installieren. Informationen zum Herunterladen der Kits finden Sie unter Windows Hardware-Downloads. Wenn Sie beispielsweise das Windows-Treiberkit (WDK) herunterladen und installieren und den Standardinstallationspfad akzeptieren, steht tracelog.exe unter C:\Program Files (x86)\WindowsKits\10\bin\10.0.26100.0\x64\tracelog.exe zur Verfügung.
Weitere Informationen zur Verwendung von tracelog.exe finden Sie unter Syntax der Tracelog-Befehle.
Die folgenden Beispiele veranschaulichen die Verwendung von tracelog.exe mit Überwachungs- und Analyseereignisprotokollen für DNS:
Der folgende Befehl ermöglicht sowohl Analyse- als auch Überwachungsprotokollierung:
tracelog.exe -start Dns -guid #{EB79061A-A566-4698-9119-3ED2807060E7} -level 5 -matchanykw 0xFFFFFFFF -f C:\analytic_audit.etl
Während die Protokollierung aktiv ist, werden alle analytischen und Überwachungsereignisse in der C:\analytic_audit.etl Datei aufgezeichnet, die in der Befehlszeile festgelegt wurde. Sie können die Nachverfolgung beenden, indem Sie einen Stoppbefehl eingeben.
tracelog –stop Dns
Nach Beenden der Ablaufverfolgung können Sie die ETL-Datei in der Ereignisanzeige anzeigen. Wählen Sie hierzu Aktion und dann Gespeichertes Protokoll öffnen aus.
Das folgende Beispiel aktiviert nur den Analysekanal und gleicht nur die Schlüsselwörter mit 0x7FFFF ab:
tracelog.exe -start Dns -guid #{EB79061A-A566-4698-9119-3ED2807060E7} -level 5 -matchanykw 0x7FFFF -f C:\analytic.etl
In den vorherigen Beispielen wird ein Protokolliergrad von 5 verwendet. In der folgenden Tabelle sind die verfügbaren Protokolliergrade aufgeführt.
| Protokolliergrad | Beschreibung |
|---|---|
| 0 (Keine) | Protokollierungs-OFF |
| 1 (Kritisch) | Nur kritische Ereignisse werden protokolliert, z. B. Prozessende oder -beendigung. Wenn kein Protokollierungsgrad angegeben wird, wird standardmäßig Grad 1 verwendet. |
| 2 (Fehler) | Es werden nur schwerwiegende Fehlerereignisse protokolliert, z. B. Fehler beim Abschließen einer erforderlichen Aufgabe. |
| 3 (Warnung) | Fehler, die ein Dienstproblem verursachen können, aber akzeptabel sind oder die Wiederherstellung ermöglichen. Der erste Versuch, einen Spediteur zu kontaktieren, schlägt z. B. fehl. |
| 4 (Informativ) | Ereignisse auf hoher Ebene werden im Ereignisprotokoll aufgezeichnet. Diese Ereignisse können eine Meldung für jede wichtige Aufgabe enthalten, die vom Dienst ausgeführt wird. Verwenden Sie diese Einstellung, um mit der Untersuchung zu beginnen, wenn der Ort des Problems unklar ist. Es wurde z. B. ein Aufräum-Thread gestartet. |
| 5 (ausführlich) | Alle Ereignisse werden protokolliert. Grad 5 stellt ein vollständiges Protokoll des Vorgangs des Diensts bereit. Verwenden Sie diesen Protokolliergrad, wenn das Problem auf eine bestimmte Kategorie oder eine kleine Gruppe von Kategorien zurückzuführen ist. |
Überlegungen zur Leistung
Die DNS-Serverleistung kann beeinträchtigt werden, wenn die Protokollierung aktiviert ist. Die Funktion für erweiterte DNS-Protokollierung und -diagnose unter Windows Server soll jedoch die Auswirkungen auf die Leistung verringern. In diesem Artikel werden Überlegungen zur DNS-Serverleistung erläutert, wenn die Protokollierung aktiviert ist.
Debugprotokollierung
Vor der Einführung von DNS-Analyseprotokollen war die DNS-Debugprotokollierung eine verfügbare Methode zur Überwachung von DNS-Transaktionen. Die DNS-Debugprotokollierung ist nicht mit der in diesem Artikel beschriebenen Funktion für die erweiterte DNS-Protokollierung und -Diagnose identisch. Die Debugprotokollierung ist ein Tool, das auch für die DNS-Protokollierung und -Diagnose verwendet werden kann. Das DNS-Debugprotokoll enthält detaillierte Daten zu allen vom DNS-Server gesendeten und empfangenen DNS-Informationen. Die gesammelten Informationen ähneln den Daten, die mithilfe von Paketerfassungstools wie Netzwerkmonitor erfasst werden können.
Standardmäßig sind alle Debugprotokollierungsoptionen deaktiviert. Wenn der DNS-Serverdienst selektiv aktiviert wird, kann er die Protokollierung auf Ablaufverfolgungsebene für ausgewählte Ereignistypen oder Meldungen für die allgemeine Problembehandlung und das Debuggen des Servers ausführen.
Die Debugprotokollierung kann ressourcenintensiv sein und dadurch die Gesamtleistung des Servers beeinträchtigen und viel Speicherplatz beanspruchen. Daher sollte sie nur vorübergehend verwendet werden, wenn detailliertere Informationen zur Serverleistung erforderlich sind.
Tipp
Dns.log enthält Debugprotokollierungsaktivitäten. Standardmäßig befindet sich das DNS-Debugprotokoll im verzeichnis %windir%\system32\dns.
Sie können die Debugprotokollierung über die Desktopdarstellung oder PowerShell aktivieren. Verwenden Sie die folgenden Methoden, um die Diagnoseereignisprotokollierung zu aktivieren und andere Ereignisprotokollparameter zu ändern. Wählen Sie die Methode aus, die Ihren Anforderungen am besten entspricht.
Die folgenden Schritte zeigen, wie Sie die Debugprotokollierung mithilfe der Desktopdarstellung aktivieren. Führen Sie die folgenden Schritte aus, um Debugprotokollierungsoptionen auf dem DNS-Server auszuwählen und zu aktivieren:
Wählen Sie Startaus, geben Sie DNS-Managerein, und wählen Sie dann DNS-Manager aus der Liste der besten Übereinstimmungen aus.
Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf den entsprechenden DNS-Server, und wählen Sie dann Eigenschaften aus.
Wählen Sie die Registerkarte Debug-Logging aus.
Aktivieren Sie im Dialogfeld Eigenschaften das Kontrollkästchen Pakete zum Debuggen protokollieren, und wählen Sie dann die Ereignisse aus, die der DNS-Server für die Debugprotokollierung aufzeichnen soll.
Die folgenden DNS-Debugprotokollierungsoptionen sind verfügbar:
Richtung der Pakete
Senden: Vom DNS-Server gesendete Pakete werden in der DNS-Serverprotokolldatei protokolliert.
Empfangen: Vom DNS-Server empfangene Pakete werden in der Protokolldatei protokolliert.
Inhalt von Paketen
Standardabfragen: Gibt an, dass Pakete, die Standardabfragen (gemäß RFC 1034) enthalten, in der DNS-Serverprotokolldatei protokolliert werden.
Updates: Gibt an, dass Pakete, die dynamische Updates (gemäß RFC 2136) enthalten, in der DNS-Serverprotokolldatei protokolliert werden.
Benachrichtigung: Gibt an, dass Pakete, die Benachrichtigungen enthalten, (gemäß RFC 1996) in der DNS-Serverprotokolldatei protokolliert werden.
Transportprotokoll
UDP: Gibt an, dass über UDP gesendete und empfangene Pakete in der DNS-Serverprotokolldatei protokolliert werden.
TCP: Gibt an, dass über TCP gesendete und empfangene Pakete in der DNS-Serverprotokolldatei protokolliert werden.
Pakettyp
Anforderung - Gibt an, dass Anforderungspakete in der DNS-Serverprotokolldatei protokolliert werden (ein Anforderungspaket ist dadurch gekennzeichnet, dass das QR-Bit im DNS-Nachrichtenheader auf 0 gesetzt ist).
Response – Gibt an, dass Antwortpakete in der DNS-Server-Protokolldatei protokolliert werden (ein Antwortpaket zeichnet sich dadurch aus, dass das QR-Bit im DNS-Nachrichtenheader auf den Wert 1 gesetzt ist).
Filterung anhand der IP-Adresse aktivieren: Ermöglicht die Filterung von Paketen, die in der DNS-Serverprotokolldatei protokolliert werden. Diese Option ermöglicht die Protokollierung von Paketen, die von bestimmten IP-Adressen an einen DNS-Server oder von einem DNS-Server an bestimmte IP-Adressen gesendet werden.
Dateiname: Hiermit können Sie den Namen und Speicherort der DNS-Serverprotokolldatei angeben.
Zum Beispiel:
dns.log gibt an, dass die DNS-Serverprotokolldatei als dns.log unter
<systemroot>zSystem32Dns directorygespeichert werden soll. Denken Sie daran,<systemroot>durch den tatsächlichen Pfad zum Windows-Verzeichnis auf Ihrem Computer zu ersetzen.temp\dns.log gibt an, dass die DNS-Serverprotokolldatei als dns.log unter
<systemroot>\Temp directorygespeichert werden soll. Denken Sie daran,<systemroot>durch den tatsächlichen Pfad zum Windows-Verzeichnis auf Ihrem Computer zu ersetzen.
Maximale Größenbeschränkung für Protokolldateien: Mit dieser Option können Sie die maximale Dateigröße für die DNS-Serverprotokolldatei festlegen. Wenn die angegebene maximale Größe der DNS-Serverprotokolldatei erreicht ist, überschreibt der DNS-Server die ältesten Paketinformationen mit neuen Informationen. Hinweis: Wird die Größe der DNS-Serverprotokolldatei nicht angegeben, kann sie eine große Menge an Festplattenspeicher beanspruchen.