Windows Server 2012: lsass.log crescendo sem parar em controladores de domínio — diagnóstico e correção definitiva

O arquivo lsass.log pode crescer a 5–8 MB/s em controladores de domínio Windows Server 2012, estourar dezenas de GB e lotar o disco. Veja como diagnosticar com precisão, corrigir de forma definitiva e evitar recidivas — mantendo segurança e governança em dia.

Visão geral e impacto

O Local Security Authority Subsystem Service (LSASS) é o coração da autenticação no Windows. Em alguns ambientes com controladores de domínio (DCs) no Windows Server 2012, o arquivo C:\Windows\System32\lsass.log passa a crescer de forma ininterrupta, chegando rapidamente a 50 GB ou mais. Após reinicializar o servidor, o arquivo volta a 0 KB, mas o ciclo se repete.

Além do risco óbvio de esgotar o espaço em disco — com consequências como falhas de serviços, indisponibilidade de logs críticos e até interrupção de autenticação — o crescimento agressivo indica que traces de depuração do subsistema LSA estão ativos, consumindo I/O e CPU.

Sintomas típicos

• lsass.log cresce a 5–8 MB/s continuamente.
• Reiniciar o DC zera o arquivo, mas o crescimento retorna em poucas horas.
• Sem eventos explícitos de erro no Event Viewer que justifiquem o volume de logs.
• I/O de disco elevado em System e lsass.exe no Monitor de Recursos.

Causa provável

O cenário indica que opções de depuração do LSA/NTLM foram ativadas — frequentemente após atualizações de segurança que reforçam a autenticação NTLM. Quando esses sinalizadores estão habilitados, o LSASS passa a despejar rastreamentos detalhados em lsass.log, causando o crescimento descontrolado.

Como confirmar rapidamente

1. Verifique o tamanho e a taxa de crescimento: powershell -NoLogo -Command "Get-Item 'C:\Windows\System32\lsass.log' | Select-Object FullName, Length, LastWriteTime" Repita o comando após alguns segundos: se o Length subir continuamente, o problema está ativo.
2. Monitore quem está escrevendo no arquivo (sem ferramentas externas):
   • Abra Monitor de Recursos (resmon.exe) → guia Disco.
   • Em Atividade de Disco, filtre por lsass.log.
   • Você verá lsass.exe como o processo gravando no arquivo.

Soluções investigadas

Abordagem	Resultado
Análise de eventos, monitoramento de LSASS, atualização de patches e verificação de malware	Recomendadas por um colaborador da comunidade, mas não eliminaram o crescimento.
Desativar log por chaves de registo LSA indicadas na documentação da Microsoft (LspDbgTraceOptions e LspDbgInfoLevel)	Tentativa sem sucesso.
Desativar completamente a gravação em arquivo (LogToFile)	Solução que funcionou.

Solução definitiva: desativar a gravação do LSASS em arquivo

A estratégia vencedora é desabilitar a gravação em lsass.log e zerar configurações de debug que podem reativá-la.

Passo a passo

1. Fazer backup do Registro (recomendado) reg export "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" C:\Temp\lsa-backup.reg
2. Editar o Registro e definir os seguintes valores: HKLM\SYSTEM\CurrentControlSet\Control\Lsa ├─ LogToFile (DWORD) = 0 ├─ LspDbgTraceOptions (DWORD ou Binary) = 0 └─ LspDbgInfoLevel (DWORD ou Binary) = 0 Você pode aplicar via Editor do Registro ou por linha de comando: reg add "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v LogToFile /t REG_DWORD /d 0 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v LspDbgTraceOptions /t REG_DWORD /d 0 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v LspDbgInfoLevel /t REG_DWORD /d 0 /f
3. Excluir o arquivo existente lsass.log: del /f /q "C:\Windows\System32\lsass.log"
4. Reiniciar o servidor. Após a reinicialização, o arquivo lsass.log deixa de ser recriado e o uso de disco estabiliza.

Aplicação em escala (vários DCs)

Use PowerShell com PowerShell Remoting e RSAT instalados:

# Executar a partir de uma estação com RSAT/credenciais administrativas
$DCs = (Get-ADDomainController -Filter *).HostName
$Script = {
  New-Item -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Force | Out-Null
  New-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name "LogToFile" -PropertyType DWord -Value 0 -Force | Out-Null
  New-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name "LspDbgTraceOptions" -PropertyType DWord -Value 0 -Force | Out-Null
  New-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name "LspDbgInfoLevel" -PropertyType DWord -Value 0 -Force | Out-Null
  if (Test-Path "C:\Windows\System32\lsass.log") { Remove-Item "C:\Windows\System32\lsass.log" -Force }
  "OK"
}
Invoke-Command -ComputerName $DCs -ScriptBlock $Script
Reinicie em janelas de manutenção controladas

Distribuindo via Diretiva de Grupo (GPP)

1. Edite o GPO aplicado à OU de Controladores de Domínio.
2. Vá em Computer Configuration → Preferences → Windows Settings → Registry.
3. Adicione três itens de Registro (Create/Update) em HKLM\SYSTEM\CurrentControlSet\Control\Lsa:
   • LogToFile (REG_DWORD) = 0
   • LspDbgTraceOptions (REG_DWORD) = 0
   • LspDbgInfoLevel (REG_DWORD) = 0
4. Agende a reinicialização dos DCs para aplicar.

Verificações pós-correção

• Arquivo inexistente: confirme que lsass.log não foi recriado após 24–48 h.
• Estabilidade do disco: monitore o volume do System32 e do volume do sistema.
• Saúde do LSASS: valide tempos de logon, replicação do AD e ausência de eventos críticos.

Comandos úteis:

powershell -NoLogo -Command "Test-Path 'C:\Windows\System32\lsass.log'"
powershell -NoLogo -Command "Get-EventLog -LogName Security -Newest 5 | Format-Table TimeGenerated,EventID,Message -Auto"

Observações importantes

• Motivo provável: registros de depuração do subsistema LSASS ativados por atualizações de segurança recentes que reforçam a autenticação NTLM.
• Risco: ao desativar o log, perde‑se um mecanismo de auditoria útil em investigações. Mantenha backups das chaves alteradas para revertê‑las quando necessário.
• Fim do suporte: o Windows Server 2012 chegou ao fim do suporte em 10 de outubro de 2023. Planeje a migração para versões suportadas para continuar recebendo correções.

Recomendações adicionais

1. Planejar atualização para Windows Server 2022 ou, se a migração imediata não for viável, optar por VMs Azure com Extended Security Updates (ESU).
2. Monitorar o uso de disco após a correção para confirmar que não há outros logs de crescimento acelerado (ex.: NTDS.dit, Windows\Logs\CBS\CBS.log).
3. Automatizar retenção e limpeza de logs volumosos com tarefas agendadas ou políticas de retenção.

Procedimentos de governança e segurança

Desligar a gravação em arquivo elimina um vetor de saturação de disco, mas é prudente reforçar a observabilidade por outros meios:

• Auditoria Avançada ativa em DCs (políticas de logon, logon de rede, alterações de conta).
• Encaminhamento de eventos do Event Viewer para um coletor central ou SIEM.
• Coleta de contadores (Processo lsass.exe, Disco/PhysicalDisk) para estabelecer linha de base.

Tarefas agendadas para limpeza preventiva

Se outros componentes gerarem arquivos volumosos, padronize limpezas controladas (sem excluir artefatos essenciais como NTDS.dit):

powershell -NoLogo -Command @'
$paths = @(
  "C:\Windows\Logs\CBS\CBS.log",
  "C:\Windows\Temp\*",
  "C:\Windows\SoftwareDistribution\Download\*"
)
foreach ($p in $paths) {
  Get-ChildItem $p -ErrorAction SilentlyContinue | 
    Where-Object { -not $_.PSIsContainer } |
    Remove-Item -Force -ErrorAction SilentlyContinue
}
'@

Atenção: NTDS.dit é o banco de dados do AD. Nunca delete esse arquivo.

Checklist rápido de diagnóstico

Verificação	Objetivo	Comando/Passo
Tamanho e velocidade do lsass.log	Confirmar crescimento anômalo	Get-Item C:\Windows\System32\lsass.log
Processo gravando	Validar que é o LSASS	Monitor de Recursos → Disco
Chaves de Registro	Checar sinalizadores de debug	reg query ...\Lsa
Logs de segurança	Garantir visibilidade alternativa	Event Viewer → Security

Como reverter (se necessário)

1. Restaure o backup do Registro: reg import C:\Temp\lsa-backup.reg
2. Ou ajuste os valores para reativar logs conforme sua política (por exemplo, LogToFile = 1).
3. Reinicie o DC e monitore o comportamento.

FAQ

Desabilitar lsass.log reduz a segurança?
Não. O LSASS continua registrando eventos críticos no Event Log (p. ex., Security). O que se desliga aqui é um trace detalhado de depuração, raro de ser necessário em produção. Caso sua equipe de resposta a incidentes necessite, mantenha um procedimento para reativá-lo temporariamente.

Funciona também no Windows Server 2012 R2?
Sim, a abordagem via Registro se aplica. Ainda assim, a recomendação estratégica é migrar para versões suportadas.

Por que zerar também LspDbgTraceOptions e LspDbgInfoLevel?
Porque sinalizadores residuais de depuração podem reativar escrita intensa mesmo com políticas de log reduzidas. Zerar todos garante consistência.

Preciso excluir o arquivo antes de reiniciar?
É recomendado. Remover o lsass.log evita reaproveitar um arquivo com permissões/tamanhos inconsistentes e acelera a validação pós‑boot.

Como auditar sem esse arquivo?
Use Advanced Audit Policy, encaminhamento de eventos para SIEM e relatórios de autenticação (Kerberos/NTLM) no Event Viewer.

Boas práticas para evitar recorrência

• Janela de manutenção para aplicar atualizações e reinicializações de DC.
• Alertas proativos para limiar de 80% de uso do volume do sistema.
• Padrões de registro: política clara de quando habilitar tracing de depuração e por quanto tempo.
• Documentação viva do procedimento de ativar/desativar e coletar evidências quando necessário.

Exemplo de relatório de mudança (modelo)

Título: Desativação de lsass.log em DCs Windows Server 2012
Justificativa: Crescimento anômalo (5–8 MB/s), risco de saturação de disco.
Escopo: Todos os DCs WS2012/WS2012 R2 em PRODUÇÃO.
Ação: Definir LogToFile=0, LspDbgTraceOptions=0, LspDbgInfoLevel=0; excluir lsass.log; reiniciar.
Risco: Redução de evidências de depuração (mitigado por Event Log/SIEM).
Plano de rollback: Importar backup do Registro e reativar log; reiniciar.
Validação: 48h sem recriação do arquivo e disco estável.

Conclusão

O crescimento descontrolado do lsass.log em DCs Windows Server 2012 está associado a tracing de depuração do LSA/NTLM. A correção comprovada é desativar a gravação em arquivo e zerar os níveis de depuração, excluir o arquivo e reiniciar. Combine com auditoria avançada, monitoramento de disco e um plano de migração para versões suportadas, garantindo estabilidade operacional e postura de segurança adequada.

---

Anexo: guia rápido (resumo operacional)

1. Backup do Registro: reg export "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" C:\Temp\lsa-backup.reg
2. Desabilitar tracing e log: reg add "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v LogToFile /t REG_DWORD /d 0 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v LspDbgTraceOptions /t REG_DWORD /d 0 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v LspDbgInfoLevel /t REG_DWORD /d 0 /f
3. Excluir o arquivo e reiniciar: del /f /q "C:\Windows\System32\lsass.log" && shutdown /r /t 5
4. Verificar após 24–48 h: arquivo não recriado e disco estável.

Dica de governança: registre a mudança no seu sistema ITSM (mudança padrão com janela pré‑aprovada), anexe evidências (Get-Item antes/depois) e mantenha um runbook para reativar o tracing quando solicitado por Segurança.