Group Policy Debug Log

Bu yazımda sizlere Group policy servisi hata ayıklama logunun (GPSVC log) nasıl açılacağı ve nasıl analiz edileceği hakkında kısa bilgiler vereceğim. Vista ve sonrası işletim sistemlerinde yer alan Group Policy Client servisi computer ve user gpo larının uygulanmasından sorumludur ayrı bir svchost altında çalışır ve tasklist /svc komutu ile görüntülenmesi mümkündür

Resim-1

Resim-2

Group Policy nin işlenmesi iki fazda gerçekleşir

1. Group policy core processing : Uygulanacak bütün group policyleri bulur ve içindeki ayarları tespit eder. Bir domain kontrole bağlanır active directory ve sysvol klasörüne erişir ve politikalar ile ilgili bütün bilgileri çeker.
2. Group Policy CSE processing : CSE ler client tarafında politikaların işlenmesinden ve politikaların içindeki tüm ayarların uygulanmasını sağlamaktan sorumludur.

Örneğin bir windows makina GPO ayarlarını düzgün alamıyor. Windows makinada “GPresult /r” çalıştırdınız ve Filter Out uyarısı görmediniz,

Resim-3

“GPresult /h GPOResult.html” ile baktınız, RSoP.msc çalıştırdınız sorunun ne olduğunu anlayamadınız. Aktif Dizin ve SYSVOL klasörüne erişimde de sorununuz olmadığını teyit ettiniz. Event Viewer da Group Policy ile ilintili bir sorun göremediniz. Fakat hala uyguladığınız policy etkin olmuyor. O zaman debug seviyesinde loglamayı açalım.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion altına gideriz ve Diagnostics adında yeni bir registry key ekleriz. Bunu yaptıktan sonra DWORD (32-bit) olacak şekilde GPSvcDebugLevel adında bir değer oluştururuz ve bu değere 30002 (Hexadecimal) değerini gireriz.

Resim-4

Bu değeri oluşturduktan sonra %WINDIR%\debug altına gidilir burda Usermode adında bir klasör oluşmadıysa admin olarak komut satırı açılıp gpupdate yapılır ve Usermode adında bir klasör oluştuğu görülür.

Resim-5

Gpupdate sonrası C:\Windows\Debug\Usermode\gpsvc.log dosyası oluşur. Oluşan bu gpsvc.log dosyası silinip makine restart edilir ve restart sonrası dosyanın tekrar oluştuğu gözlemlenir.

Oluşan dosyayı açtığımızda ilk parça PID (Process Identifier) ikinci parça ise TID (Thread Identifier) temsil eder ama Hexadecimal olarak. Group Policy işlemleri multi thread çalıştığı için ve sorunu çözerken procmon gibi uygulamalar kullanıyorsak PID ve TID bilmek işimize yarar. Log dosyasında bir çok bilgi bulunmaktadır dosyada sorunlu policy’i aratmak failed veya error gibi kilit kelimeleri aratmak işinizi kolaylaştırabilir.
gpsvc.log dosyası powershell ile de parse edilebilir bunun için https://daniel.streefkerkonline.com/2015/04/29/parsing-group-policys-gpsvc-log-with-powershell/ linkini inceleyebilirsiniz.

Bu konuyla ilgili sorularınızı  alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.

Referanslar        

www.mshowto.org

https://techcommunity.microsoft.com/t5/ask-the-directory-services-team/a-treatise-on-group-policy-troubleshooting-8211-now-with-gpsvc/ba-p/400304#

https://docs.microsoft.com/en-us/archive/blogs/askds/a-treatise-on-group-policy-troubleshootingnow-with-gpsvc-log-analysis

TAGs: Group Policy Debug Log, Group Policy Debug Nasıl yapılır,Group Policy Debug Nedir,Group Policy Debug ne işe yarar