次の手順で、動的ホスト構成プロトコル (DHCP) サーバーのログ記録を有効にできます。
この手順を実行するためには、Administrators グループまたは DHCP Administrators グループのメンバーシップが最低限必要です。
DHCP サーバーのログ記録を有効にするには |
DHCP Microsoft 管理コンソール (MMC) スナップインを開きます。
コンソール ツリーで、構成する DHCP サーバーをクリックします。
[操作] メニューの [プロパティ] をクリックします。
[全般] タブで、[監査ログを記録する] をクリックし、[OK] をクリックします。
サーバー ログ ファイルの分析
Windows Server 2008 では、DHCP サーバー ログ ファイルは、ログ ファイルの増加を管理し、ディスク リソースを節約するように既定で構成されています。DHCP 監査ログは、既定では %windir%\System32\Dhcp に配置されます。
ここでは、これらのログ ファイルの形式と、ログ ファイルを使用してネットワーク上での DHCP サーバーのサービス運用についての詳細情報を集める方法について説明します。
DHCP サーバー ログ ファイルの形式
DHCP サーバー ログは、コンマ区切り形式のテキスト ファイルであり、1 つのログ エントリが 1 行のテキストで記述されます。ログ ファイルのエントリには、次に示すフィールドがこの順序で含まれます。
ID、日付、時刻、説明、IP アドレス、ホスト名、MAC アドレス
各フィールドについて、次の表で詳しく説明します。
フィールド | 説明 |
---|---|
ID |
DHCP サーバーのイベント ID コード。 |
日付 |
このエントリが DHCP サーバーに記録された日付。 |
時刻 |
このエントリが DHCP サーバーに記録された時刻。 |
説明 |
DHCP サーバーのイベントの説明。 |
IP アドレス |
DHCP クライアントの IP アドレス。 |
ホスト名 |
DHCP クライアントのホスト名。 |
MAC アドレス |
クライアントのネットワーク アダプター ハードウェアによって使用されるメディア アクセス制御 (MAC) アドレス。 |
DHCP サーバー ログ: 一般的なイベント コード
DHCP サーバーの監査ログ ファイルでは、予約済みの ID コードを使用して、記録されたサーバー イベントまたはアクティビティの種類に関する情報を提供します。これらのイベント ID コードについて、次の表で詳しく説明します。
イベント ID | 説明 |
---|---|
00 |
ログが開始されました。 |
01 |
ログが停止されました。 |
02 |
ログは、ディスク領域が少なくなったために一時停止されました。 |
10 |
新しい IP アドレスがクライアントにリースされました。 |
11 |
リースがクライアントによって更新されました。 |
12 |
リースがクライアントによって解放されました。 |
13 |
IP アドレスがネットワーク上で使用中であることが検出されました。 |
14 |
スコープのアドレス プールが枯渇したので、リース要求に対応できませんでした。 |
15 |
リースが拒否されました。 |
20 |
ブートストラップ プロトコル (BOOTP) アドレスがクライアントにリースされました。 |
DNS 動的更新イベント
DHCP サーバーが、DHCP クライアントの代わりにドメイン ネーム システム (DNS) の動的更新を実行するように構成されている場合は、DHCP 監査ログを使用して、DHCP サーバーによる DNS サーバーへの更新要求、DNS レコードの更新成功、および DNS レコードの更新失敗をモニターできます。DNS 動的更新イベントでは、次のイベント ID が使用されます。
イベント ID | 説明 |
---|---|
30 |
DNS 動的更新要求 |
31 |
DNS 動的更新失敗 |
32 |
DNS 動的更新成功 |
DHCP 監査ログには DHCP クライアント コンピューターの IP アドレスが含まれるので、サービス拒否攻撃が行われた場合に攻撃源を追跡できます。
DHCP サーバー ログ: サーバー承認イベント
追加のサーバー ログ イベント ID コードと説明を次に示します。これらのイベントは、Windows Server 2008 を実行中の DHCP サーバーによって、ログ内に表示される可能性があります。これらのイベントは、特定の DHCP サーバーと、Active Directory ドメイン サービス (AD DS) 環境に展開されたときの承認の状態に関連しています。
イベント ID | 説明 |
---|---|
50 |
到達不可ドメイン DHCP サーバーが、構成された Active Directory のインストール用の特定のドメインを見つけることができませんでした。 |
51 |
承認成功 DHCP サーバーは、ネットワーク上で起動することを承認されました。 |
52 |
Windows Server 2008 オペレーティング システムにアップグレード済み DHCP サーバーは、最近 Windows Server 2008 オペレーティング システムにアップグレードされました。したがって、サーバーが AD DS で承認されているかどうかを確認するために使用される未承認 DHCP サーバー検出機能は無効でした。 |
53 |
キャッシュ済みの承認 DHCP サーバーは、キャッシュ済みの情報を使用して起動することを承認されました。このサーバーがネットワーク上で起動された時点では、AD DS が見つかりませんでした。 |
54 |
承認失敗 DHCP サーバーは、ネットワーク上で起動することを承認されませんでした。このイベントが発生すると、その後サーバーが停止する可能性が高くなります。 |
55 |
承認 (サービス) DHCP サーバーは、ネットワーク上で起動することを正常に承認されました。 |
56 |
承認失敗、サービス停止済み DHCP サーバーがネットワーク上での起動を承認されず、オペレーティング システムによってシャットダウンされました。再度起動する前に、サーバーを AD DS で承認する必要があります。 |
57 |
ドメイン内でサーバーが検出された 同じドメインに別の DHCP サーバーが存在し、サービスを承認されています。 |
58 |
サーバーがドメインを見つけなかった DHCP サーバーが、特定のドメインを見つけませんでした。 |
59 |
ネットワーク エラー ネットワーク関連のエラーにより、サーバーが承認されたかどうかを確認できませんでした。 |
60 |
ディレクトリ サービスが有効になっているドメイン コントローラーがない Windows Server 2008 を実行中のドメイン コントローラーが見つかりませんでした。サーバーが承認されているかどうかを検出するには、AD DS で有効なドメイン コントローラーが必要です。 |
61 |
DS ドメインに所属するサーバーが検出された ネットワーク上で Active Directory ドメインに所属する別の DHCP サーバーが検出されました。 |
62 |
別のサーバーが検出された ネットワーク上で別の DHCP サーバーが検出されました。 |
63 |
非承認の検出の再起動 DHCP サーバーが、ネットワーク上での起動を承認され、サービスを提供できるかどうかを確認する操作を再試行しています。 |
64 |
DHCP 対応インターフェイスがない DHCP サーバーには、サービス バインドまたはネットワーク接続が構成されているので、サービスを提供できません。これは、通常は、次のいずれかを意味します。
|
例: DHCP サーバー監査ログのサンプルからの抜粋
次に示すのは、DHCP サーバー サービスによって生成された監査ログからのサンプル ログ アクティビティの短い抜粋です。
ID Date,Time,Description,IP Address,Host Name,MAC Address 00,04/19/99,12:43:06,Started,,, 60,04/19/99,12:43:21,No DC is DS Enabled,,MYDOMAIN, 63,04/19/99,12:43:28,Restarting rogue detection,,, 01,04/19/99,13:11:13,Stopped,,, 00,04/19/99,12:43:06,Started,,, 55,04/19/99,12:43:54,Authorized(servicing),,MYDOMAIN,
この例では、DHCP サーバーは、初回の起動時に承認されず、その後停止されました。サーバーは、承認後に再起動して、クライアントにサービスできます。
その他の資料
関連情報を提供しているヘルプ トピックの一覧については、「DHCP サーバーの役割で推奨されるタスク」を参照してください。
DHCP に関する IT 専門家向けの最新の詳細情報については、