Windows 7에서 Gpsvc.log를 사용한 GPO 로깅

디버그 로그 Userenv.log (%Systemroot%\Debug\UserMode\Userenv.log)를 사용하여 Windows XP 및 Windows Server 2003에서 GPO의 적용을 철저히 분석할 수 있습니다. 이 그룹 정책 로깅을 사용하여 그룹 정책을 적용하는 순서와 시간을 추적하고 다음을 찾을 수 있습니다. 부팅을 늦추고 다른 GPO 관련 문제를 해결하는 정책.

Windows 7(또는 그 이상)에서 Microsoft 개발자는 GPO 처리의 주요 디버깅 도구로 Userenv.log 사용을 중단하기로 결정했습니다. 그룹 정책과 관련된 대부분의 이벤트는 이제 이벤트 뷰어에서 사용할 수 있습니다. (eventvwr) 응용 프로그램 및 서비스 로그 -> Microsoft -> Windows -> 그룹 정책 -> 작동에 로그인합니다.

이벤트 5312 적용할 정책 목록과 이벤트 5317이 포함되어 있습니다. 필터링된 정책을 나열합니다.

그러나 이 로그에 포함된 이벤트는 Windows XP의 Userenv.log 파일만큼 상세하지 않습니다.

Windows 7에서 유사한 GPSVC(그룹 정책 클라이언트 서비스) 디버그 로그를 활성화할 수도 있습니다. 이 문서화되지 않은 GPO 사용 로그 활성화 기능은 Windows 8, 10 및 Windows Server 2008/2012에서도 사용할 수 있습니다.

레지스트리에서 GPO 디버그 로깅을 활성화할 수 있습니다. 이름이 GPSvcDebugLevel 인 DWORD 매개변수를 만듭니다. 및 값 00030002 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Diagnostics 키에서 . (아마도 진단 분기를 수동으로 생성해야 할 것입니다)

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Diagnostics" /v GPSvcDebugLevel /t REG_DWORD /d 0x00030002 /f

gpupdate /force 명령을 사용하여 정책 설정을 업데이트합니다. (또는 부팅 시 적용된 정책을 디버그하려면 컴퓨터를 다시 시작하세요.)

다시 시작한 후 그룹 정책 클라이언트 서비스는 확장된 디버그 정보를 gpsvc.log 파일에 기록합니다. (WINDIR%\debug\usermode\gpsvc.log)

참고로 다음은 gpsvc.log의 일부입니다.


..........
GPSVC(3a8.ce8) 12:24:32:494 MaxTimeToWaitForNetwork: 120000ms
GPSVC(3a8.ce8) 12:24:32:494 TimeRemainingToWaitForNetwork: 0ms
GPSVC(3a8.ce8) 12:24:32:494 UserPolicy: Waiting for machine policy wait for network event with timeout 0 ms
GPSVC(3a8.ce8) 12:24:32:541 GPLockPolicySection: Sid = (null), dwTimeout = 30000, dwFlags = 65538
GPSVC(3a8.ce8) 12:24:32:541 LockPolicySection called for user
GPSVC(3a8.ce8) 12:24:32:541 Sync Lock Called
GPSVC(3a8.ce8) 12:24:32:541 Reader Lock got immediately. m_cReadersInLock : 1
GPSVC(3a8.ce8) 12:24:32:541 Lock taken successfully
GPSVC(3a8.ce8) 12:24:32:541 UnLockPolicySection called for user
GPSVC(3a8.ce8) 12:24:32:541 Found the caller in the ReaderHavingLock List. Removing it...
GPSVC(3a8.ce8) 12:24:32:541 Setting lock state as notLocked
GPSVC(3a8.ce8) 12:24:32:541 UnLocked successfully
GPSVC(3a8.ce8) 12:24:32:556 Opened Existing Registry key
GPSVC(3a8.ce8) 12:24:32:556 UncPath :'\\CORP.DOMAIN.COM\SYSVOL'
............

gpsvc.log의 수동 분석은 시간이 많이 걸립니다. 무료 도구 Policy Reporter (https://www.sysprosoft.com/policyreporter.shtml)을 사용하면 시간별로 그룹화된 트리로 GPO 디버그 로그를 표시하고 표시할 수 있습니다.

gpsvc.log의 데이터와 GPResult를 사용하여 얻은 결과는 클라이언트에 GPO를 적용하는 자세한 분석을 수행하는 데 사용할 수 있습니다.