Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Derzeit gibt es in AD FS für Windows Server 2012 R2 zahlreiche Überwachungsereignisse, die für eine einzelne Anforderung generiert werden, und die relevanten Informationen zu einer Anmelde- oder Tokenausstellungsaktivität sind entweder nicht vorhanden (in einigen Versionen von AD FS) oder über mehrere Überwachungsereignisse verteilt. Die AD FS-Überwachungsereignisse sind aufgrund ihrer Ausführlichkeit standardmäßig deaktiviert.
Mit der Veröffentlichung von AD FS in Windows Server 2016 wurde die Auditierung optimiert und weniger ausführlich gestaltet.
Überwachungsstufen in AD FS für Windows Server 2016
Standardmäßig ist AD FS in Windows Server 2016 für die grundlegende Überwachung aktiviert. Bei der grundlegenden Überwachung sehen Administratoren fünf oder weniger Ereignisse für eine einzelne Anforderung. Dies kennzeichnet eine signifikante Verringerung der Anzahl der Ereignisse, die Administratoren überprüfen müssen, um eine einzelne Anfrage zu sehen. Die Überwachungsstufe kann mithilfe des PowerShell-Cmdlets ausgelöst oder herabgesetzt werden: Set-AdfsProperties -AuditLevel. In der folgenden Tabelle werden die verfügbaren Überwachungsstufen erläutert.
| Überwachungsstufe | PowerShell-Syntax | BESCHREIBUNG |
|---|---|---|
| Nichts | Set-AdfsProperties – AuditLevel – Ohne | Die Überwachung ist deaktiviert, und es werden keine Ereignisse protokolliert. |
| Einfach (Standard) | Set-AdfsProperties – AuditLevel – Einfach | Für eine einzelne Anforderung werden nicht mehr als 5 Ereignisse protokolliert. |
| Ausführlich | Set-AdfsProperties – AuditLevel – Ausführlich | Alle Ereignisse werden protokolliert. Dies protokolliert eine erhebliche Menge an Informationen pro Anforderung. |
Zum Anzeigen der aktuellen Überwachungsstufe können Sie das PowerShell-Cmdlet "Get-AdfsProperties" verwenden.
Die Überwachungsstufe kann mithilfe des PowerShell-Cmdlets ausgelöst oder herabgesetzt werden: Set-AdfsProperties -AuditLevel.
Typen von Überwachungsereignissen
AD FS-Überwachungsereignisse können unterschiedlich sein, basierend auf den verschiedenen Arten von Anforderungen, die von AD FS verarbeitet werden. Jeder Überwachungsereignistyp weist bestimmte Daten auf. Der Typ von Überwachungsereignissen kann zwischen Anmeldeanforderungen (d. h. Tokenanforderungen) und Systemanforderungen (Serverserveraufrufe einschließlich Abrufen von Konfigurationsinformationen) unterschieden werden.
In der folgenden Tabelle werden die grundlegenden Typen von Überwachungsereignissen beschrieben.
| Überwachungsereignistyp | Ereignis-ID | BESCHREIBUNG |
|---|---|---|
| Erfolgreiche Überprüfung neuer Anmeldeinformationen | 1202 | Eine Anforderung, bei der neue Anmeldeinformationen vom Verbunddienst erfolgreich überprüft wurden. Dazu gehören WS-Trust, WS-Federation, SAML-P (erster Teil zur Erstellung von SSO) und OAuth Authorize Endpoints. |
| Fehler bei Überprüfung neuer Anmeldeinformationen | 1203 | Eine Anforderung, bei der während der Überprüfung neuer Anmeldeinformationen beim Verbunddienst ein Fehler aufgetreten ist. Dazu gehören WS-Trust, WS-Fed, SAML-P (erster Schritt zur Generierung von SSO) und OAuth-Autorisierungsendpunkte. |
| Anwendungstoken erfolgreich | 1200 | Eine Anforderung, bei der ein Sicherheitstoken erfolgreich vom Verbunddienst ausgestellt wird. Bei WS-Federation SAML-P wird dies protokolliert, wenn die Anforderung mit dem SSO-Artefakt verarbeitet wird. (z. B. das SSO-Cookie). |
| Anwendungs-Token-Fehler | 1201 | Eine Anforderung, bei der kein Sicherheitstoken für den Verbunddienst ausgestellt werden konnte. Für WS-Verbund und SAML-P wird dies protokolliert, wenn die Anforderung mit dem SSO-Artefakt verarbeitet wurde. (z. B. das SSO-Cookie). |
| Erfolg der Kennwortänderungsanforderung | 1204 | Eine Transaktion, bei der die Kennwortänderungsanforderung vom Verbunddienst erfolgreich verarbeitet wurde. |
| Fehler bei kennwortänderungsanforderung | 1205 | Eine Transaktion, bei der die Kennwortänderungsanforderung vom Verbunddienst nicht verarbeitet werden konnte. |
| Erfolgreiches Abmelden | 1206 | Beschreibt eine erfolgreiche Abmeldeanforderung. |
| Abmeldefehler | 1207 | Beschreibt eine fehlgeschlagene Abmeldeanforderung. |