Freigeben über


<serviceSecurityAudit>

Legt Einstellungen fest, die die Überwachung von Sicherheitsereignissen während der Dienstvorgänge ermöglichen.

<configuration>
  <system.serviceModel>
    <behaviors>
      <serviceBehaviors>
        <behavior>
          <serviceSecurityAudit>

Syntax

<serviceSecurityAudit auditLogLocation="Default/Application/Security"
                      messageAuthenticationAuditLevel="None/Success/Failure/SuccessOrFailure"
                      serviceAuthorizationAuditLevel="None/Success/Failure/SuccessOrFailure"
                      suppressAuditFailure="Boolean" />

Attribute und Elemente

In den folgenden Abschnitten werden Attribute sowie untergeordnete und übergeordnete Elemente beschrieben.

Attribute

attribute BESCHREIBUNG
auditLogLocation Gibt den Speicherort des Überwachungsprotokolls an. Gültige Werte sind:

– Default: Sicherheitsereignisse werden unter Windows XP in das Anwendungsprotokoll und unter Windows Server 2003 und Windows Vista in das Ereignisprotokoll geschrieben.
– Application: Überwachungsereignisse werden in das Anwendungsereignisprotokoll geschrieben.
– Security: Überwachungsereignisse werden in das Sicherheitsereignisprotokoll geschrieben.

Der Standardwert ist Default. Weitere Informationen finden Sie unter AuditLogLocation.
suppressAuditFailure Boolescher Wert, der das Verhalten für das Unterdrücken von Fehlern beim Schreiben in das Überwachungsprotokoll angibt.

Anwendungen sollten über Schreibfehler im Überwachungsprotokoll benachrichtigt werden. Wenn die Anwendung nicht für das Verarbeiten von Überwachungsfehlern ausgelegt ist, sollten Sie dieses Attribut verwenden, um Fehler beim Schreiben in das Überwachungsprotokoll zu unterdrücken.

Wenn dieses Attribut den Wert true hat, werden Ausnahmen (außer OutOfMemoryException, StackOverFlowException, ThreadAbortException und ArgumentException), die aus Versuchen, Überwachungsereignisse zu schreiben, hervorgehen, vom System verarbeitet und nicht an die Anwendung weitergegeben. Wenn dieses Attribut den Wert false hat, werden alle Ausnahmen, die aus Versuchen, Überwachungsereignisse zu schreiben, hervorgehen, an die Anwendung weitergegeben.

Der Standardwert ist true.
serviceAuthorizationAuditLevel Gibt die Typen von Autorisierungsereignissen an, die im Überwachungsprotokoll aufgezeichnet werden. Gültige Werte sind:

– None: Es wird keine Überwachung der Dienstautorisierungsereignisse durchgeführt.
– Success: Es werden nur erfolgreiche Dienstautorisierungsereignisse überwacht.
– Failure: Es werden nur fehlgeschlagene Dienstautorisierungsereignisse überwacht.
– SuccessOrFailure: Es werden sowohl erfolgreiche als auch fehlgeschlagene Dienstautorisierungsereignisse überwacht.

Der Standardwert lautet „Keine“. Weitere Informationen finden Sie unter AuditLevel.
messageAuthenticationAuditLevel Gibt den Typ der protokollierten Nachrichtenauthentifizierungs-Überwachungsereignisse an. Gültige Werte sind:

– None: Es werden keine Überwachungsereignisse generiert.
– Success: Es werden nur erfolgreiche Sicherheitsereignisse (vollständige Prüfung, darunter Nachrichtensignaturprüfung, Verschlüsselungs- und Tokenprüfung) protokolliert.
– Failure: Es werden nur fehlgeschlagene Ereignisse protokolliert.
– SuccessOrFailure: Es werden sowohl erfolgreiche als auch fehlgeschlagene Ereignisse protokolliert.

Der Standardwert lautet „Keine“. Weitere Informationen finden Sie unter AuditLevel.

Untergeordnete Elemente

Keine

Übergeordnete Elemente

Element BESCHREIBUNG
<behavior> Gibt ein Verhaltenselement an.

Bemerkungen

Dieses Konfigurationselement wird verwendet, um Windows Communication Foundation (WCF)-Authentifizierungsereignisse zu überwachen. Ist die Überwachung aktiviert, können entweder erfolgreiche oder fehlgeschlagene Authentifizierungsversuche (oder beides) überwacht werden. Die Ereignisse werden in eines der drei Ereignisprotokolle geschrieben: das Anwendungs-, Sicherheits- oder Standardprotokoll für die Betriebssystemversion. Die Ereignisprotokolle können alle mit der Windows-Ereignisanzeige angezeigt werden.

Ein ausführliches Beispiel für die Verwendung dieses Konfigurationselements finden Sie unter Dienstüberwachungsverhalten.

Standardmäßig können unter Windows XP die Überwachungsereignisse im Anwendungsprotokoll und unter Windows Server 2003 und Windows Vista im Sicherheitsprotokoll angezeigt werden. Der Speicherort von Überwachungsereignissen kann durch Festlegen des auditLogLocation-Attributs auf "Application" oder "Security" angegeben werden. Weitere Informationen finden Sie unter Gewusst wie: Überwachen von Sicherheitsereignissen. Wenn die Ereignisse in das Sicherheitsprotokoll geschrieben werden, sollte „LocalSecurityPolicy-> Objektzugriff aktivieren“ auf „Erfolg“ und „Fehler“ festgelegt werden.

Im Ereignisprotokoll ist die Quelle der Überwachungsereignisse "ServiceModel Audit 3.0.0.0". Nachrichtenauthentifizierungsüberwachungs-Datensätze weisen die Kategorie "MessageAuthentication" auf, während Dienstautorisierungsüberwachungs-Datensätze die Kategorie 'ServiceAuthorization' aufweisen.

Ereignisse der Nachrichtenauthentifizierungsüberwachung zeigen an, ob die Nachricht manipuliert wurde, abgelaufen ist und ob der Client für den Dienst authentifiziert werden kann. Sie enthalten Informationen darüber, ob die Authentifizierung erfolgreich war oder fehlgeschlagen ist, sowie Informationen über die Identität des Clients und über den Endpunkt, an den die Nachricht zusammen mit der der Nachricht zugewiesenen Aktion gesendet wurde.

Ereignisse der Dienstautorisierungsüberwachung enthalten die Autorisierungsentscheidung, die vom Dienstautorisierungs-Manager getroffen wird. Sie enthalten Informationen darüber, ob die Autorisierung erfolgreich war oder fehlgeschlagen ist, sowie Informationen über die Identität des Clients, den Endpunkt, an den die Nachricht gesendet wurde, die der Nachricht zugewiesene Aktion, die Kennung des Autorisierungskontexts, der aus der eingehenden Nachricht generiert wurde, und den Typ des Autorisierungs-Managers, der die Zugriffsentscheidung getroffen hat.

Beispiel

<system.serviceModel>
  <behaviors>
    <serviceBehaviors>
      <behavior name="NewBehavior">
        <serviceSecurityAudit auditLogLocation="Application"
                              suppressAuditFailure="true"
                              serviceAuthorizationAuditLevel="Success"
                              messageAuthenticationAuditLevel="Success" />
      </behavior>
    </serviceBehaviors>
  </behaviors>
</system.serviceModel>

Siehe auch