Поделиться через


Усовершенствования аудита AD FS в Windows Server 2016

В настоящее время в AD FS для Windows Server 2012 R2 существует множество событий аудита, созданных для одного запроса, и соответствующие сведения о действии выдачи маркеров либо отсутствуют (в некоторых версиях AD FS) или распределяются по нескольким событиям аудита. По умолчанию события аудита AD FS отключены из-за их подробной природы.

После выпуска AD FS в Windows Server 2016 аудит стал более упрощенным и менее подробным.

Уровни аудита в AD FS для Windows Server 2016

По умолчанию AD FS в Windows Server 2016 включает базовый аудит. При базовом аудите администраторы увидят 5 или менее событий для одного запроса. Это означает значительное снижение числа событий, которые администраторы должны просматривать, чтобы увидеть один запрос. Уровень аудита можно вызвать или уменьшить с помощью командлета PowerShell: Set-AdfsProperties -AuditLevel. В таблице ниже описаны доступные уровни аудита.

Уровень аудита Синтаксис PowerShell Описание
Нет Set-AdfsProperties — AuditLevel Нет Аудит отключен, и события не будут регистрироваться.
Базовый (по умолчанию) Set-AdfsProperties — Уровень аудита Базовый Для одного запроса регистрируются не более 5 событий.
Многословный Set-AdfsProperties — AuditLevel Verbose Все события будут зарегистрированы. Это будет записывать значительное количество информации на каждый запрос.

Чтобы просмотреть текущий уровень аудита, можно использовать командлет PowerShell: Get-AdfsProperties.

снимок экрана, на котором показано, как использовать командлет Get-AdfsProperties.

Уровень аудита можно вызвать или уменьшить с помощью командлета PowerShell: Set-AdfsProperties -AuditLevel.

усовершенствования аудита

Типы событий аудита

События аудита AD FS могут быть различными типами, основанными на различных типах запросов, обработанных AD FS. Каждый тип события аудита содержит определенные данные, связанные с ним. Можно различить типы событий аудита между запросами на вход (т. е. запросами токенов) и системными запросами (запросы сервер-сервер, включая получение информации о конфигурации).

В таблице ниже описаны основные типы событий аудита.

Тип события аудита Идентификатор события Описание
Успех проверки свежих учетных данных 1202 Запрос, в котором свежие учетные данные успешно подтверждаются службой федерации. К ним относятся WS-Trust, WS-Federation, SAML-P (первый этап для создания единого входа (SSO)) и точки авторизации OAuth.
Ошибка проверки новых учетных данных 1203 Запрос, в котором не удалось выполнить проверку новых учетных данных в службе федерации. Включает WS-Trust, WS-Fed, SAML-P (первый этап для создания единого входа) и конечные точки авторизации OAuth.
Успех токена приложения 1200 Запрос на успешную выдачу маркера безопасности службой федерации. Для WS-Federation SAML-P это регистрируется при обработке запроса с артефактом SSO. (например, файл cookie единого входа).
Сбой токена приложения 1201 Запрос, где произошел сбой выдачи токена безопасности в федеративной службе. Для WS-Federation SAML-P это регистрируется при обработке запроса с помощью артефакта единого входа. (например, файл cookie единого входа).
Успешное выполнение запроса на изменение пароля 1204 Транзакция, в которой запрос на изменение пароля успешно обработан службой федерации.
Ошибка запроса на изменение пароля 1205 Транзакция, в которой не удалось обработать запрос на изменение пароля службой федерации.
Выход выполнен успешно 1206 Описывает успешный запрос на выход.
Ошибка выхода 1207 Описывает неудачный запрос на выход из системы.