ドメインコントローラでの「ピーキー」なCPU使用率

TL; DR：EventLogファイルがいっぱいでした。エントリの上書きは、コストがかかるか、Windows Server 2008に適切に実装されていない。

@ pk。 の提案と @ joeqwerty の提案で、質問したところ、忘れられていた監視の実装がイベントログをかき集めている可能性が高いと判断しました。

ドメインコントローラの1つに Microsoftのネットワークモニタ をインストールし、ProtocolName == MSRPCフィルタを使用してMSRPCのフィルタリングを開始しました。大量のトラフィックがありましたが、それはすべてリモートサイトのRODC間のトラフィックであり、残念ながら、リスニングするEventLogプロセスと同じ宛先ポートを使用していませんでした。くそー！その理論があります。

物事を単純化し、監視ソフトウェアを実行しやすくするために、EventLogサービスをSVCHostからアンラップすることにしました。次のコマンドとドメインコントローラーの再起動により、1つのSVCHostプロセスがEventLogサービス専用になります。このPIDに複数のサービスがアタッチされていないため、調査が少し簡単になります。

SC config EventLog Type= own

次に ProcMon に頼り、そのPIDを使用しなかったすべてのものを除外するフィルターを設定しました。考えられる原因として示されているように、欠落しているレジストリキーを開くためのEventLogによる試行の失敗が大量に見られませんでした here （どうやら安っぽいアプリケーションは Event Sources として登録できます） ）。予想通り、セキュリティイベントログ（C：\ Windows\System32\WinEvt\Logs\Security.evtx）の多くの成功したReadFileエントリが見つかりました。

これらのイベントの1つでスタックを見てみましょう。 

最初にRPCBinding、次にRPCBindingUnbindに気付くでしょう。これらのロットがありました。毎秒数千のように。セキュリティログが非常にビジーであるか、Security.evtxログで何かが正しく機能していません。

EventViewerでは、セキュリティログは1分あたり50〜100のイベントしかログに記録しませんでした。これは、このサイズのドメインに適しているように思われました。くそー！理論2は、忘れられたコーナーで左に非常に詳細なイベント監査がオンになっているいくつかのアプリケーションがまだ忠実に離れているということです。ログに記録されるイベントの割合が低いにもかかわらず、記録されたイベントはまだ多く（約250,000）ありました。おそらくログサイズ？

セキュリティログ-（右クリック）-プロパティ...そして最大ログサイズは131,072 KBに設定され、ログサイズは現在131,072 KBで保持されていました。 [必要に応じてイベントを上書きする]ラジオボタンがオンになりました。ログファイルを絶えず削除して書き込むのはおそらく大変な作業なので、ログをクリアすることを選択し（後で監査するために古いログを保存しておく必要がある場合に備えて保存しました）、EventLogサービスを作成しました新しい空のファイル。その結果、CPU使用率は約5％の正常なレベルに戻りました。