Поделиться через

<serviceSecurityAudit>

  • Статья

Задает параметры, позволяющие проводить аудит событий безопасности во время обслуживания.

Иерархия схемы

<system.serviceModel>
  <варианты поведения>
    <serviceBehaviors>
      <behavior> для <serviceBehaviors>
        <serviceSecurityAudit>

Синтаксис

                <serviceSecurityAudit 
                   auditLogLocation="Default/Application/Security"
                   messageAuthenticationAuditLevel= None/Success/Failure/SuccessAndFailure"   serviceAuthorizationAuditLevel="None/Success/Failure/SuccessAndFailure"
                   suppressAuditFailure="Boolean"
                />

Атрибуты и элементы

В следующих разделах описываются атрибуты, дочерние и родительские элементы.

Атрибуты

Атрибут Описание

auditLogLocation

Задает местоположение журнала аудита. Допустимы следующие значения:

  • Default: в ОС Windows XP события безопасности записываются в журнал приложений, а в Windows Server 2003 и Windows Vista — в журнал событий.

  • Application: события аудита записываются в журнал событий приложений.

  • Security: события аудита записываются в журнал событий безопасности.

Значением по умолчанию является Default. Дополнительные сведения см. в разделе AuditLogLocation.

suppressAuditFailure

Логическое значение, задающее поведение для подавления ошибок записи в журнал аудита.

Приложения должны уведомляться об ошибках записи в журнал аудита. Если в приложении не предусмотрена обработка ошибок аудита, необходимо использовать этот атрибут для подавления ошибок записи в журнал аудита.

Если этот атрибут имеет значение true, исключения, кроме OutOfMemoryException, StackOverFlowException, ThreadAbortException и ArgumentException, которые являются результатом попыток записи событий аудита, обрабатываются системой и не распространяются на приложение. Если значением этого атрибута является false, все исключения, которые являются результатом попыток записи событий аудита, пропускаются в приложение.

Значение по умолчанию — true.

serviceAuthorizationAuditLevel

Задает типы событий авторизации, записываемых в журнал аудита. Допустимы следующие значения:

  • None: аудит событий авторизации службы не проводится.

  • Success: аудит выполняется только в отношении событий успешной авторизации службы.

  • Failure: аудит выполняется только в отношении событий неудачной авторизации службы.

  • SuccessAndFailure: выполняется аудит событий как успешной, так и неудачной авторизации службы.

Значение по умолчанию ― None. Дополнительные сведения см. в разделе AuditLevel.

messageAuthenticationAuditLevel

Задает тип событий аудита проверки подлинности сообщений, заносимых в журнал. Допустимы следующие значения:

  • None: события аудита не создаются.

  • Success: регистрируются только успешные события системы безопасности (полная проверка, включая проверку сигнатуры сообщения, проверку шифрования и маркера).

  • Failure: в журнал заносятся только ошибки.

  • SuccessAndFailure: в журнал заносятся как успешные события, так и ошибки.

Значение по умолчанию ― None. Дополнительные сведения см. в разделе AuditLevel.

Дочерние элементы

Нет.

Родительские элементы

Элемент Описание

<behavior> для <endpointBehaviors>

Задает элемент поведения.

Замечания

Этот элемент конфигурации используется для аудита событий проверки подлинности Windows Communication Foundation (WCF). При включенном аудите может выполняться аудит либо успешных, либо неудачных попыток проверки подлинности (или попыток обоих видов). События записываются в один из трех журналов событий: журнал приложения, журнал безопасности или журнал, используемый по умолчанию в данной версии операционной системы. Все журналы событий можно просматривать при помощи средства просмотра событий Windows.

Подробный пример использования этого элемента конфигурации см. в разделе Service Auditing Behavior.

По умолчанию в Windows XP события аудита отображаются в журнале приложений, а в операционных системах Windows Server 2003 и Windows Vista события аудита можно просмотреть в журнале безопасности. Местоположение событий аудита можно задать, присвоив атрибуту auditLogLocation значение "Application" или "Security". Дополнительные сведения см. в разделе How To: Audit Security Events. Если события записываются в журнал безопасности, то для "Success" и "Failure" необходимо выбрать параметр LocalSecurityPolicy-> Enable Object Access.

При просмотре журнала событий источником событий аудита является "ServiceModel Audit 3.0.0.0". Записи аудита проверки подлинности сообщений относятся к категории "MessageAuthentication", а записи аудита авторизации служб — к категории "ServiceAuthorization".

События аудита проверки подлинности сообщений указывают, не было ли сообщение подделано, не истек ли срок сообщения, а также может ли клиент пройти проверку подлинности при подключении к службе. Они предоставляют следующие сведения: результат проверки подлинности, идентификационные данные клиента и конечной точки, в которую было отправлено сообщение, а также действие, связанное с сообщением.

К событиям аудита авторизации службы относится решение об авторизации, принятое диспетчером авторизации служб. Они содержат следующие сведения: результат авторизации, идентификационные данные клиента, конечная точка, в которую было направлено сообщение, действие, связанное с сообщением, идентификатор контекста авторизации, созданный на основании входящего сообщения, и тип диспетчера авторизации, принявшего решение о предоставлении доступа.

Пример

<system.serviceModel>
   <serviceBehaviors>
      <behavior name="NewBehavior">
         <serviceSecurityAudit auditLogLocation="Application" 
             suppressAuditFailure="true"
             serviceAuthorizationAuditLevel="Success" 
             messageAuthenticationAuditLevel="Success" />
      </behavior>
   </serviceBehaviors>
</behaviors>

См. также

Справочник

ServiceSecurityAuditElement
ServiceSecurityAuditBehavior

Другие ресурсы

Security Behaviors in WCF
Auditing Security Events
How To: Audit Security Events
Service Auditing Behavior