2-2 認証情報 + WPR 採取 (再起動)

目次

本記事はマイクロソフト社員によって公開されております。

情報採取について

本情報採取では、スクリプトを利用して、認証関連のデバッグ ログ及び、ネットワーク パケット、WPR ログ、イベント ログを含むシステム情報や構成情報を OS 再起動後より採取します。 本情報採取は以下の流れで行います。

[0] 事前準備

[1] TSS.ps1 の実行

[2] 事象の再現

[3] TSS.ps1 ログの採取停止

主な注意事項

1. ログ採取には最大で 20GB ほどのログが出力される可能性がありますので十分な空き容量を確保した上で実施ください。また、長時間の情報採取は想定していないため、事象の再現ステップや再現タイミングが明確になっていることを前提としています。
2. TSS スクリプトを実行時に最新バージョンのスクリプトが存在する場合には WARNING が出力されます。また、TSS スクリプトをダウンロードしてから 30 日以上経過した場合、スクリプトの実行がブロックされます。その場合には、最新の TSS スクリプトを再度ダウンロードするか、TSS.ps1 -Update コマンドにて最新版をダウンロードしてください。
3. Microsoft Defender for Endpoint (MDE) などの Endpoint detection and response (EDR) 製品を導入されている環境で TSS スクリプトを実行する場合、ツール内で実行されるコマンドに起因して検知されることがありますが、その際は静観していただけますようお願いいたします。

情報採取ツール TSS に関してよく寄せられる質問

情報採取を行うツール TSS に関する一般的なご質問を以下のページにお纏めしています。必要に応じてご参照ください。

• TSS に関するご質問
• TSS 実行時のエラー関するご質問

情報採取手順

[0] 事前準備

1. 対象マシンに管理者権限を保持するアカウントでログオンします。

2. 以下のサイト リンクをクリックし TSS.zip をダウンロードします。
   ※ 2024年7月8日以降ツールの入手方法の変更が計画されています。該当 URL にアクセスできない場合、サポート リクエストを発行の上、担当エンジニアまでご連絡ください。

   TSS ダウンロード リンク

3. 情報採取を実行するマシンの任意の場所に、解凍した TSS フォルダーを配置します。

[1] TSS.ps1 の実行

1. PowerShell を管理者権限で実行します。

2. 以下のコマンドを実行し、PowerShell スクリプト実行ポリシーをプロセス レベルに設定します。
   ※ プロセス レベルの変更は、現在の PowerShell セッションのみ対象となります。他のセッションへの影響はございませんのでご安心ください。

   Set-ExecutionPolicy -scope Process -ExecutionPolicy RemoteSigned -Force
   

3. 以下のコマンドを実行し、インターネットからダウンロードしたファイルのブロックを解除します。
   ※ 以下は TSS.zip を C ドライブ直下に展開した場合の例でございます。展開した場所に応じてパスを変更していただきますようお願いいたします。

   Get-ChildItem -Recurse -Path C:\TSS\*.ps* | Unblock-File -Confirm:$false
   

4. [事前準備]にて、TSS フォルダーを配置したディレクトリに移動します。
   ※ 例として C ドライブ直下に解凍したファイルを配置した場合のコマンドを記します。

   cd c:\TSS
   

5. 再起動後に自動的にログ採取が開始されるように以下のコマンドを実行します。
   ※ 使用許諾の確認 (End User License Agreement) が表示された際には内容を確認の上、同意いただける場合は [Accept] ボタンをクリックしていただきますようお願い申し上げます。
   ※ 「[Action] We need your consent to continue the data collection, please enter Y or N」と出力されることがありますが、ログ採取に同意いただける場合には " Y " を入力してください。

   .\TSS.ps1 -StartAutoLogger -Scenario ADS_AUTH -ADS_Profile -Basic -WPR CPU
   

   ※ 既定では、C:\MS_DATA フォルダーにログが出力されますが、"-LogFolderPath" オプションを指定することで、任意のログ出力先を指定することが可能です。以下に例をご案内いたしますので、必要に応じてご活用ください。

   ## 例 1 (E:\Output フォルダーにログ保存先を指定する場合)
   .\TSS.ps1 -StartAutoLogger -Scenario ADS_AUTH -ADS_Profile -Basic -WPR CPU -LogFolderPath E:\Output
   
   ## 例 2 (\\Server\Share フォルダーを指定する場合)
   .\TSS.ps1 -StartAutoLogger -Scenario ADS_AUTH -ADS_Profile -Basic -WPR CPU -LogFolderPath \\Server\Share
   

6. 「The trace will be started from next boot=Restart (do not use ‘Shutdown’). Run ‘Restart-Computer’ to take the change effect.」と表示されます。
   再起動後に自動でログ採取が開始されますので、コンピューターの再起動を実施します。

[2] 事象の再現

シナリオに応じた事象の再現を行います。

[3] TSS.ps1 ログの採取停止

1. PowerShell を管理者権限で実行します。

2. 以下のコマンドを実行し、PowerShell スクリプト実行ポリシーをプロセス レベルに設定します。
   ※ プロセス レベルの変更は、現在の PowerShell セッションのみ対象となります。他のセッションへの影響はございませんのでご安心ください。

   Set-ExecutionPolicy -scope Process -ExecutionPolicy RemoteSigned -Force
   

3. [事前準備]にて、TSS フォルダーを配置したディレクトリに移動し、以下のコマンドを実行します。

   .\TSS.ps1 -stop
   

   ※ 停止処理が完了するまで数分かかりますのでしばらくお待ちください。
   ※ 万が一、スクリプトが正常に停止出来ない場合には、再度、.\TSS.ps1 -Stop コマンドを実行ください。

4. " C:\MS_DATA " 配下に " TSS_HOSTNAME_YYMMDD_hhmmss_ADS_AUTH.zip " という名前の zip ファイルが出力されていることを確認しましたら、本 zip ファイルを弊社へご提供下さい。
   ※ " C:\MS_DATA " 配下に zip ファイル以外のフォルダーが出力されている場合は、zip ファイルと併せてすべて弊社までお寄せください。

手順は以上でございます。
本情報の内容（添付文書、リンク先などを含む）は、作成日時点でのものであり、予告なく変更される場合があります。