Не найдено описание для события с идентификатором 4 в источнике службы DNS-сервера Microsoft Windows

Обновлено: 21.11.2024

Ведение журнала DNS является важной частью мониторинга безопасности. DNS-сервер Windows действует как сервер глобального каталога для леса и домена в Active Directory и устанавливается по умолчанию. Windows DNS Server также можно установить вручную.

64.3.1. Обзор мониторинга DNS в Windows

NXLog предлагает четыре общих средства регистрации событий для мониторинга событий DNS, генерируемых DNS-сервером Windows и его клиентами. Они обсуждаются в соответствующих разделах, перечисленных ниже.

В следующей таблице перечислены некоторые ключевые функции и атрибуты, уникальные для каждого средства ведения журнала NXLog, доступного для мониторинга Windows DNS.

Аудит и аналитика
(отслеживание)

Предпочтительный метод.
Аудит собственного DNS-сервера.
Лучший выбор для аналитических журналов.

Версии сервера 2012 R2 и более поздние версии

Отладка
(Ведение журнала,
Подробности, параметр отключен)

Быстро.
Единственный способ зарегистрировать информацию о транзакциях DNS.

Версии Windows Server 2008 R2, 2012 R2 и 2016

Отладка
(Ведение журнала,
Подробности, параметр включен)

Быстро.
Единственный способ зарегистрировать информацию о транзакциях DNS.

Аудит Active Directory
(ведение журнала)

Системы без собственного аудита DNS

Windows 8.1 или более поздняя версия

Встроенный аудит DNS
(ведение журнала)

Предпочтительный метод сбора журналов аудита DNS

Windows Server 2016 или 2012 R2 с исправлением 2956577

Sysmon
(регистрация или отслеживание)

Microsoft-Windows-Sysmon/Operational
Идентификатор события Sysmon 22

Только ведение журнала запросов клиента DNS, но это единственный способ получить имя и путь клиентского приложения, выполняющего запрос.

Windows 8.1 или более поздняя версия
Sysmon v10.0 или более поздняя версия

DNS-клиент
(регистрация или отслеживание)

Еще один источник регистрации запросов DNS-клиентов.

Windows 8.1 или более поздняя версия

64.3.2. Ведение журнала DNS через поставщиков ETW

Расширенное ведение журнала событий Windows DNS доступно у поставщиков ETW. Существует две категории отслеживаемых событий:

События аудита Windows DNS Server включены по умолчанию. Событие аудита регистрируется при каждом изменении настроек, зон или записей ресурсов DNS-сервера. Такие события DNS имеют первостепенное значение для аудита безопасности. Каждый из 53 типов событий аудита идентифицируется уникальным идентификатором EventID, который задокументирован в таблице событий аудита документации Microsoft. Столбец Тип в этой таблице содержит краткое описание события; однако оно не включается в фактическое зарегистрированное событие. Например, если создается новая зона, невозможно будет найти событие, содержащее Создание записи, вместо этого для идентификации этого типа события доступен только EventID: 515.

Аналитические события Windows DNS Server должны быть специально включены. Они представляют основную часть событий DNS, в первую очередь поиск и другие запросы, и могут быть довольно большими по объему. В таблице аналитических событий документации Microsoft перечислены все 23 типа отслеживаемых событий. Как и в случае с Событиями аудита, Windows регистрирует EventID , но не более описательное поле Тип. Согласно разделу «Аудит и ведение журнала аналитических событий» документации Microsoft, при обработке 100 000 запросов в секунду (QPS) на современном оборудовании ожидаемое снижение производительности составляет около 5 %, если включена функция ведения журнала аналитических событий.

Отслеживание событий предлагает значительные преимущества по сравнению с ведением журнала отладки DNS с точки зрения архитектуры, гибкости, настраиваемости и производительности. События ETW можно считывать напрямую, не требуя предварительной записи событий на диск. Однако ETW недоступен в старых системах Windows. Чтобы поддерживать производительность, он разработан с использованием принципа «максимальных усилий» и, следовательно, не гарантирует, что все события будут зафиксированы.

Дополнительную информацию см. в разделе Установка и включение ведения журнала диагностики DNS в Microsoft Docs.

Если включено Аналитическое ведение журнала, NXLog может использовать модуль im_etw для сбора журналов DNS от поставщика Microsoft-Windows-DNSServer ETW. Это предпочтительный метод сбора журналов из Windows Server версии 2012 R2 и более поздних версий.

64.3.2.1. Примеры

Следующая конфигурация собирает журналы DNS через ETW от поставщика Microsoft-Windows-DNSServer с помощью модуля im_etw. Собранные журналы преобразуются в формат JSON и сохраняются в файл.

В этом примере было зарегистрировано событие аудита. EventID: 515 идентифицирует это как создание записи для этой зоны.

64.3.3. Ведение журнала отладки DNS на основе файлов

Ведение журнала отладки DNS Windows — это единственный способ отслеживания событий DNS в версиях Windows Server до 2012 R2. Однако DNS-серверы, поддерживающие ETW, могут быть настроены для ведения журнала на основе файлов в случаях, когда все события должны фиксироваться без исключения.

64.3.3.1. Включение ведения журнала отладки DNS

Ведение журнала DNS можно включить в режиме отладки журнала. Запросы регистрируются по одному в строке.

Чтобы включить ведение журнала отладки DNS, выполните следующие действия.

Откройте консоль управления DNS ( dnsmgmt.msc ).

Щелкните правой кнопкой мыши DNS-сервер и выберите "Свойства" в контекстном меню.

На вкладке Ведение журнала отладки включите Записывать пакеты для отладки.

Отметьте флажки, соответствующие данным, которые должны быть зарегистрированы.

Укажите путь к файлу и имя к нужному местоположению файла журнала.

Информацию об анализе журналов см. в следующих разделах.

64.3.3.2. Анализ неподробных журналов с помощью xm_msdns

Модуль xm_msdns, доступный в NXLog Enterprise Edition, можно использовать для анализа журналов DNS-сервера Windows.

Эта конфигурация использует модули im_file и xm_msdns для чтения и анализа файла журнала. В этом примере выходные данные записываются в файл в формате JSON.

Тема Windows, проблемы с доменом - нужна помощь, чтобы исправить это по техническим вопросам; Кажется, с нашим доменом что-то пошло не так Возникли проблемы с неработающими общими ресурсами (поэтому нет меню «Пуск» или рабочих столов .

Обратная ссылка

Инструменты темы

Поиск темы

Проблемы с доменом — нужна помощь, чтобы исправить это

Кажется, наш домен пошёл не так

Есть проблемы со всеми общими ресурсами, которые не работают (поэтому нет ни меню «Пуск», ни ярлыков на рабочем столе)
проблемы со временем (кажется, останавливает меню «Пуск» и ярлыки на рабочем столе на некоторых компьютерах)
аккаунт учащихся не получает политики и скрипты (политика вроде работает)

Все, что я могу предположить, это то, что кто-то из наших сотрудников пытался получить сервер Mac OSX, используя активный каталог

Появлялись некоторые ошибки, обратите внимание (ошибки исходят от нескольких разных серверов, DCS и одного сервера citrix)

Эта служба каталогов не сможет реплицироваться с исходной службой каталогов, пока эта проблема не будет устранена.

Действие пользователя
Проверьте, доступна ли исходная служба каталогов или доступно ли сетевое подключение.

Не удалось выполнить привязку к контроллеру домена. Попробуем еще раз в следующем цикле опроса.

Тип события: Предупреждение
Источник события: MSDTC
Категория события: MSDTC Proxy
Идентификатор события: 53258
Дата: 21/05/2010
>Время: 16:08:19
Пользователь: Н/Д
Компьютер: SERVER-4
Описание:
MS DTC не удалось правильно обработать событие повышения/понижения контроллера домена. MS DTC продолжит работу и будет использовать существующие настройки безопасности. Особенности ошибки: d:\nt\com\complus\dtc\dtc\adme\uiname.cpp:9351, Pid: 1252
нет стека вызовов,
CmdLine: C:\WINDOWS\system32\msdtc.exe
Для получения дополнительной информации см. Центр справки и поддержки в Центре сообщений о событиях и ошибках: простой поиск.
Данные:
0000:05 00 07 80 .

Тип события: Предупреждение.
Источник события: MSDTC.
Категория события: SVC.
Код события: 53258.
Дата: 05.21.2010. 08:19
Пользователь: Н/Д
Компьютер: SERVER-4
Описание:
MS DTC не удалось правильно обработать событие повышения/понижения контроллера домена. MS DTC продолжит работу и будет использовать существующие настройки безопасности. Особенности ошибки: %1
Дополнительную информацию см. в Центре справки и поддержки в Центре сообщений о событиях и ошибках: простой поиск.

Тип события: Ошибка
Источник события: KDC
Категория события: Нет
Идентификатор события: 26
Дата: 21/05/2010
Время: 20:57:37
Пользователь: Н/Д
Компьютер: SERVER-4
Описание:
При обработке запроса AS на целевой сервис krbtgt учетная запись SERVER-7 $ не имеет подходящего ключа для создания билета Kerberos (отсутствующий ключ имеет идентификатор 2). Запрошенных етипов было 18. Доступных етипов учетных записей было 23 -133 -128 3 -140.
Дополнительную информацию см. в Центре справки и поддержки в Центре сообщений о событиях и ошибках: простой поиск.

Тип события: Предупреждение
Источник события: LSASRV
Категория события: SPNEGO (переговорщик)
Идентификатор события: 40960
Дата: 21/05/2010
Время : 16:08:35
Пользователь: Н/Д
Компьютер: SERVER-4
Описание:
Система безопасности обнаружила ошибку аутентификации для сервера ldap/SERVER-4. ockendon.thurrock.sch.uk. Код ошибки от протокола проверки подлинности Kerberos: «В настоящее время нет доступных серверов входа в систему для обслуживания запроса на вход.
(0xc000005e)».
Для получения дополнительной информации см. Центр справки и поддержки в Центре сообщений о событиях и ошибках: простой поиск.
Данные:
0000: 5e 00 00 c0 ^..�

Тип события: Ошибка
Источник события: W32Time
Категория события: Нет
Идентификатор события: 29
Дата: 05.21.2010
Время: 16: 08:32
Пользователь: Н/Д
Компьютер: SERVER-4
Описание:
Провайдер времени NtpClient настроен на получение времени из одного или нескольких источников времени, однако ни один из источники в настоящее время доступны. В течение 15 минут не будет предприниматься никаких попыток связаться с источником. NtpClient не имеет источника точного времени.
Дополнительную информацию см. в Центре справки и поддержки в Центре сообщений о событиях и ошибках: простой поиск.

Тип события: Ошибка
Источник события: NETLOGON
Категория события: Нет
Код события: 5719
Дата: 05.21.2010
Время: 15: 50:34
Пользователь: Н/Д
Компьютер: SERVER-4
Описание:
Этому компьютеру не удалось установить безопасный сеанс с контроллером домена в домене OCKENDON из-за на следующее:
В настоящее время нет доступных серверов входа в систему для обслуживания запроса на вход.
Это может привести к проблемам с аутентификацией. Убедитесь, что этот компьютер подключен к сети. Если проблема не устранена, обратитесь к администратору домена.
ДОПОЛНИТЕЛЬНАЯ ИНФОРМАЦИЯ
Если этот компьютер является контроллером домена для указанного домена, он устанавливает безопасный сеанс для эмулятора основного контроллера домена в указанном домене. В противном случае этот компьютер устанавливает безопасный сеанс с любым контроллером домена в указанном домене.
Для получения дополнительной информации см. Центр справки и поддержки в Центре сообщений о событиях и ошибках: простой поиск.
Данные:
0000: 5e 00 00 c0 ^..�

В некоторых случаях вам может понадобиться зафиксировать события, происходящие на DNS-сервере. Это может быть для аудита, устранения неполадок или других целей. Что бы это ни было, вам необходимо убедиться, что DNS-сервер способен запускать службу регистрации событий DNS. DNS-сервер Windows имеет эту возможность по умолчанию. В этом посте мы научимся включать ведение журнала событий на DNS-сервере Windows. После установки DNS-сервера включение ведения журнала событий является одной из самых важных задач.

Как включить ведение журнала событий на DNS-сервере Windows

Включить ведение журнала событий на DNS-сервере Windows очень просто. Вы начинаете с открытия свойств DNS-сервера в консоли диспетчера DNS. Щелкните правой кнопкой мыши имя DNS-сервера и выберите Свойства.

Перейдите на вкладку "Журнал событий" и выберите способ ведения журнала событий DNS.

Вы можете выбрать любой из доступных вариантов в зависимости от ваших потребностей. Есть четыре варианта, пояснения к которым приведены ниже:

• Без событий — этот параметр отключает службу регистрации событий DNS. Вы не выбираете этот параметр, если по какой-то причине не хотите отключить ведение журнала DNS.
• Только ошибки — при выборе этого параметра в журнал будут записываться только сообщения об ошибках DNS. Хороший вариант, если вы просто хотите просматривать события ошибок на DNS-сервере и работать над корректирующими действиями для этого.
• Ошибки и предупреждения. При выборе этого параметра будут регистрироваться как сообщения об ошибках DNS, так и предупреждающие сообщения. Вы можете получить больше информации о событиях DNS и получить предупреждение до того, как произойдет ошибка. Хороший вариант, если вы хотите подготовить некоторые превентивные действия.
• Все события — при выборе этого параметра будут регистрироваться все события DNS, в том числе информационные. Это будет самая подробная регистрация. Хороший вариант, если вы хотите отслеживать все события DNS.

По умолчанию выбран вариант «Все события». Поэтому, если DNS-сервер является новой установкой, вам может не понадобиться включать ведение журнала событий на DNS-сервере Windows, поскольку он уже включен. Тем не менее, вы все равно можете выполнить описанные выше шаги, чтобы убедиться в этом.

Просмотр журналов DNS в средстве просмотра событий

Если ведение журнала событий настроено, вы можете просмотреть зарегистрированные события в оснастке средства просмотра событий. Выберите «Просмотр событий» > «Журналы приложений и служб» > «DNS-сервер».

Здесь будут перечислены любые события DNS в зависимости от того, как вы их настроите. Если сервер настроен на регистрацию «всех событий», вы можете просматривать все типы журналов, такие как информационные, предупреждающие и сообщения об ошибках.

Вы можете нажать на название события, чтобы просмотреть сведения о событии, такие как идентификатор события, описание, отметка времени, код ошибки и всю информацию, которая может быть полезна для устранения неполадок.

Со всей этой информацией в журналах событий мы можем быстро определить любую проблему на DNS-сервере, устранить проблему и предотвратить ее повторение. Теперь вы понимаете, почему важно включить ведение журнала событий на DNS-сервере Windows.

Описание события с идентификатором 51001 из исходного RRWS не найдено. Либо компонент, вызывающий это событие, не установлен на вашем локальном компьютере, либо установка повреждена. Вы можете установить или восстановить компонент на локальном компьютере.

Если событие возникло на другом компьютере, отображаемая информация должна быть сохранена вместе с событием.

Включалась следующая информация. с событием:

test log message

ресурс сообщения присутствует, но сообщение не найдено в таблице строк/сообщений

11 ответов 11

Я получил эту ошибку после создания источника событий в журнале приложений из командной строки с помощью «EventCreate». Эта команда создает новый ключ в разделе: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application

Если вы посмотрите на созданный ключ (например, SourceTest), вы увидите строковое значение с именем EventMessageFile , которое для меня было установлено как %SystemRoot%\System32\EventCreate.exe .

Удалите значения CustomSource и TypesSupported.

Это должно остановить появление сообщения "Описание для идентификатора события".

Я видел подобный совет в другом месте и следовал ему, но безрезультатно. Я все еще получаю рекламное объявление с идентификатором события. (я использую идентификатор события 0, если это имеет значение)

@CJM Не уверен, что это будет иметь значение, но мы выбрали 100 для идентификатора события, и это сработало нормально. Я предполагаю, что еще одна вещь, которую нужно проверить, это разрешения? Хотя я думал, что вы получите другое сообщение об ошибке, но стоит проверить.

Боюсь, это не сработало для меня, но вместо этого я, наконец, понял, как скомпилировать свой собственный файл сообщений, и это сработало.

Как насчет реального решения?

Если все, что вам нужно, это "быстрый и грязный" способ записи чего-либо в журнал событий без регистрации "пользовательских источников" (требуются права администратора) или предоставления "файлов сообщений" (требуется работа и головная боль), просто сделайте следующее:

Таким образом, вы будете писать в существующий журнал "Приложения" без надоедливого сообщения "Описание для события с идентификатором 0 не найдено"

Если вы хотите объяснить "волшебную" часть, я написал об этом в блоге здесь

TLDR: ".NET Runtime" добавляется средой выполнения, а mscoree.dll определяет некоторые коды (сколько?), начиная с 1000, в качестве заполнителей.

Перезагрузите систему!

У моего друга была точно такая же проблема. Перепробовал все описанные варианты, но ничего не помогло. После многих исследований, также описанных Microsoft, он решил перезагрузить систему, и это сработало!!

Похоже, что операционная система не во всех случаях обновляет список зарегистрированных источников событий. Только после перезагрузки вы можете быть уверены, что источники событий зарегистрированы правильно.

Да, тратить часы на поиск странных проблем и разрешений с пересылкой событий и sysmon. В любом случае, перезагрузка всех машин исправила это.

Вам необходимо создать источник события и файл сообщения для него. Код выглядит примерно так:

Затем вам нужно будет создать файл сообщения. Есть также эта статья, которая объясняет вещи (я не читал ее полностью, но она кажется достаточно полной).

Я использую метод System.Diagnostics.TraceSource.TraceEvent и получаю ту же ошибку. Ваш ответ решил эту проблему: но не должно ли быть более простого решения для этого? (Было бы сложно с айтишниками развернуть это ;))

Используйте PowerShell для создания журнала событий и источника:

Вам понадобится dll сообщений, чтобы избежать проблемы, с которой вы столкнулись.

Для справки, я составил набор советов, основанных на моих собственных исследованиях при поиске и устранении неполадок:

Если ваша запись в журнале не заканчивается на "ресурс сообщения присутствует, но сообщение не найдено в таблице строк/сообщений" (в отличие от исходного вопроса):

• Означает, что вам не хватает данных реестра.
• Перепроверьте имя источника события и ключи реестра.

Если вам нужно добавить/отредактировать информацию реестра, не забудьте:

• Перезапустите Просмотр событий (как указано в пункте 6 статьи KB166902, а также @JotaBe)
• Если это не помогает, перезапустите службу Журнал событий Windows/EventLog (или перезапустите систему, как подсказывает @BrunoBieri).

Если вы не хотите создавать собственный ресурс DLL, помните, что общедоступные файлы сообщений о событиях имеют некоторые оговорки:

• Они содержат большой набор идентификаторов, который пытается охватить большинство случаев
  • .NET EventLogMessages.dll (как намекает @Matt) увеличивается до 0xFFFF
  • Windows EventCreate.exe "только" достигает 0x3E9
  • Это означает, что будет отображаться только первая строка
  • Все строки, переданные в ReportEvent, по-прежнему можно проверить, изучив сведения о событии (выберите нужное событие, перейдите на вкладку Подробности и разверните EventData)

  Если вы по-прежнему получаете сообщение "невозможно найти" в зарегистрированных событиях (исходный вопрос):

  • Дважды проверьте используемые значения идентификатора события (в моем случае это была часть Квалификаторы идентификатора события)
  • Сравните сведения о событии (выберите нужное событие, перейдите на вкладку Подробности и разверните Система) с рабочим примером.

  Спасибо! Я бы и не подумал, что это так просто, как перезапустить программу просмотра событий (после перезапуска службы журнала событий Windows).

  Как сказано в последнем абзаце. «Если приложение вызывает RegisterEventSource и передает имя источника, которое не может быть найдено в реестре, служба регистрации событий по умолчанию использует журнал приложений. Однако из-за отсутствия файлов сообщений средство просмотра событий не может сопоставить какие-либо идентификаторы событий или категории событий со строкой описания и отобразит ошибку. По этой причине вам следует добавить в реестр уникальный источник событий для вашего приложения и указать файл сообщения». Итак, имя моего приложения в RegisterEventSource не совпадало с именем приложения в реестре. Я исправил это, и теперь это работает. Поэтому, если вы столкнулись с этой проблемой, дважды проверьте записи реестра.

  Для меня проблема заключалась в том, что мой целевой профиль случайно был установлен на «Профиль клиента .Net Framework 4». Когда я пересобрал данную службу с помощью ".Net Framework 4", проблема исчезла!

  Обычно это вызвано тем, что программа делает запись в журнал событий, а затем удаляется или перемещается.

  Если вы откроете средство просмотра журнала событий до того, как будет создан источник событий, например, во время установки службы, вы получите это сообщение об ошибке. Вам не нужно перезапускать ОС: вам просто нужно закрыть и открыть средство просмотра событий.

  ПРИМЕЧАНИЕ. Я не предоставляю настраиваемый файл сообщений. При создании источника событий используется конфигурация по умолчанию, как показано в ответе Мэтта.

  Итак, вы предлагаете, чтобы исторический журнал ваших событий изменялся путем закрытия и повторного открытия журнала? Я знаю, что вы ошибаетесь в этом, но в каком мире вы хотели бы быть правы? Весь смысл журнала событий в том, чтобы регистрировать произошедшие события, а не перезаписывать их потом.

  @Paul McCarthy: нет, я этого не предлагаю. Забудь то, что знаешь: я не ошибаюсь. Как разработчик, я знаю по своему собственному опыту, что если вы создаете источник событий, когда средство просмотра уже открыто, и создаете запись в журнале для этого источника, то при попытке просмотреть его средство просмотра показывает это сообщение об ошибке. Я предполагаю, что средство просмотра получает список известных источников событий при открытии и не обновляет его, если вы не перезапустите его. Более того, как показывает Бруно Бьери в своем ответе, похоже, что в более серьезных случаях вам необходимо перезапустить систему. Другими словами, это есть в журнале, но зритель этого не понимает

  Читайте также:

    
  • 0x8024401f ошибка обновления Windows 10
    
  • Как установить Python на MacOS
    
  • Просмотр установленных пакетов Debian
    
  • Как отключить onenote в Windows 10
    
  • Windows Server 2022: что нового