El archivo lsass.log puede inflarse a varios GB en minutos y llenar la unidad del sistema. Este artículo explica a fondo por qué ocurre en controladores de dominio con Windows Server 2012, cómo detener de inmediato el crecimiento y qué estrategias seguir para evitar que vuelva a aparecer y sostener un entorno seguro y soportado.
Descripción del problema
Administradores de dominios basados en Windows Server 2012 han detectado que, tras reiniciar, el archivo C:\Windows\System32\lsass.log comienza a crecer entre 5 y 8 MB por segundo hasta consumir decenas de GB. El proceso LSASS (Local Security Authority Subsystem Service) continúa respondiendo peticiones de autenticación, por lo que el servidor no muestra síntomas de caída inminente, pero el disco del sistema se agota rápidamente y, con ello, la estabilidad del controlador de dominio.
Por qué se genera lsass.log
LSASS integra varios servicios de seguridad (NTLM, Kerberos, protección de credenciales, etc.). Cuando el registro de depuración se activa —habitualmente para investigar problemas de autenticación—, cada evento se vuelca en texto plano dentro de lsass.log. Si un script, GPO o instalación de software deja habilitada esta traza de forma permanente, bastan unas horas con cargas de trabajo normales (inicios de sesión, consultas LDAP, conexiones SMB) para que el fichero crezca hasta consumir todo el espacio disponible.
- Claves implicadas:
LogToFile,LspDbgTraceOptionsyLspDbgInfoLevelenHKLM\SYSTEM\CurrentControlSet\Control\Lsa. - Origen habitual: diagnóstico previo no revertido, aplicación que habilita depuración NTLM, importación de plantilla de seguridad o GPO heredada.
Riesgos de un log descontrolado
Además del consumo de disco, un lsass.log gigantesco implica:
- Pérdida de rendimiento al escribir constantemente en la misma región del disco.
- Retención involuntaria de datos sensibles: el archivo contiene nombres de usuario, dominios, equipos y, en algunos casos, hashes parciales.
- Incremento del tiempo de copia de seguridad: los trabajos de backup incluyen el archivo si no se excluye explícitamente.
- Interrupciones de servicio: cuando la partición del sistema se llena, el controlador de dominio no aplica políticas correctamente ni registra nuevos eventos.
Diagnóstico previo antes de desactivar la traza
Antes de borrar o desactivar el log, conviene comprender qué lo dispara por si existe un problema real de autenticación:
- Abre Visor de eventos → Registros de Windows → Sistema y filtra por ID 4625, 4771 y 4776 (errores de autenticación Kerberos/NTLM).
- En Performance Monitor añade el contador LSASS → LDAP Searches/sec para ver si hay picos anómalos.
- Revisa
%SystemRoot%\debug\Netlogon.log—un aluvión de errores Netlogon es síntoma de equipos huérfanos o contraseñas de cuenta de máquina desincronizadas. - En servidores con antivirus de terceros, confirma que las exclusiones para
%SystemRoot%\NTDSySystem32\configestán vigentes; un acceso agresivo a bases de datos puede multiplicar las llamadas a LSASS.
Procedimiento inmediato para detener el crecimiento
| Acción | Detalles |
|---|---|
| Desactivar trazas LSASS | reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v LogToFile /t REG_DWORD /d 0 /f reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v LspDbgTraceOptions /t REG_DWORD /d 0 /f reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v LspDbgInfoLevel /t REG_DWORD /d 0 /f Reinicia el controlador de dominio; el archivo no volverá a recrearse. |
Eliminar lsass.log | Borra o comprime el archivo después de detener la traza. Asegúrate de cerrar cualquier visor que lo mantenga abierto para desbloquearlo. |
| Documentar la causa | Anota la directiva o script que habilitó la depuración para evitar que otros administradores repitan la acción sin ventana de mantenimiento. |
Automatización con PowerShell
Para entornos con múltiples controladores de dominio, automatiza la corrección por medio de este fragmento:
$DCs = (Get-ADDomainController -Filter *).Hostname
Invoke-Command -ComputerName $DCs -ScriptBlock {
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Lsa' -Name LogToFile -Value 0 -PropertyType DWORD -Force
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Lsa' -Name LspDbgTraceOptions -Value 0 -PropertyType DWORD -Force
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Lsa' -Name LspDbgInfoLevel -Value 0 -PropertyType DWORD -Force
Remove-Item 'C:\Windows\System32\lsass.log' -Force -ErrorAction SilentlyContinue
}
Ejecuta el script desde una consola elevada en otro servidor miembro o estación de administración con RSAT. La traza se desactivará aun si vuelve a habilitarse temporalmente tras un reinicio; la política local se impone en cada arranque.
Uso de GPO para impedir la reactivación
Si tu organización utiliza GPO para tareas de soporte, crea una preferencia de Registro bajo Configuration → Preferences → Windows Settings → Registry que escriba los tres valores previos con dato 0. Al estar dentro de una GPO de nivel sitio o dominio, bloqueará cualquier script que intente restablecer la depuración.
Buenas prácticas de mantenimiento y seguridad
- Aísla la depuración: si necesitas activar la traza de LSASS, hazlo solo en un controlador cloneable DC o en laboratorio.
- Supervisa espacio libre: configura alertas en el volumen del sistema para avisar cuando queden menos de 10 GB.
- Excluye logs temporales de las copias de seguridad si no son indispensables; así reduces tiempos y espacio en el repositorio.
- Actualiza siempre: Server 2012 finalizó soporte extendido el 10‑oct‑2023. Sin parches de seguridad, el riesgo de escaladas de privilegio es exponencial.
- Evalúa antimalware offline —si LSASS está comprometido, cualquier log es secundario. Herramientas como Microsoft Defender Offline o ESET SysRescue permiten analizar sin cargar el sistema operativo.
Alternativas de depuración granular
Cuando solo interesa la capa NTLM o Kerberos:
nltest /DBFlag:0x2080ffff :: Traza detallada de Netlogon (se registra en Netlogon.log)
klist -li 0x3e7 tickets :: Inspecciona tickets del contexto SISTEMA
wevtutil sl Security /e:true /q:"*[System[(EventID=4771)]]" /l:5
Estas técnicas generan información valiosa sin exponer credenciales en texto plano ni saturar el disco del sistema.
Pasos recomendados a largo plazo
La migración a Windows Server 2019 o 2022 resulta urgente para cualquier bosque en producción:
- Despliega controladores adicionales con la versión elegida en hardware o máquinas virtuales modernas.
- Transfiere los cinco roles FSMO a un DC nuevo y valida la replicación con
repadmin /replsummary. - Eleva el nivel funcional del dominio solo después de confirmar compatibilidad con aplicaciones legadas.
- Despromoiona los antiguos DC 2012 y retira sus objetos de sitio.
- Planifica la actualización forestal para habilitar nuevas características (Privileged Access Management, Azure AD Connect Cloud Sync, etc.).
Preguntas frecuentes
¿Eliminar lsass.log daña el sistema? No, es un archivo de diagnóstico. Puede borrarse con seguridad después de detener la traza. ¿Qué ocurre si vuelvo a activar la depuración? El registro comenzará a crecer de nuevo. Limita la trazabilidad a periodos cortos y monitorizados. ¿Puedo convertir el log en un evento circular? No. LSASS escribe en texto plano sin rotación interna. La única opción nativa es deshabilitar o purgar manualmente. ¿Server 2012 recibe todavía parches críticos? Solo mediante contratos de Extended Security Updates (ESU), de pago y bajo restricciones. Considera que ESU cubre fallos graves, pero no amplía soporte estándar ni incorpora funcionalidades. ¿Hay riesgos legales si conservo logs con datos sensibles? Sí. Legislaciones como GDPR o LOPD pueden considerar datos de autenticación como información personal. Mantener un log gigante sin cifrar aumenta la superficie de exposición.
Conclusión
Un lsass.log que crece sin control indica que la depuración avanzada de LSASS quedó habilitada tras un diagnóstico o por un cambio de configuración. Desactivarla mediante las claves de Registro citadas detiene al instante la salida de texto y evita la saturación de disco, sin repercutir en la operación normal del controlador de dominio. Aprovecha la intervención para revisar tus flujos de autenticación, reforzar la supervisión y, sobre todo, planificar la migración a una versión de Windows Server con soporte, garantizando así la seguridad y continuidad de tu infraestructura de Active Directory.