Усовершенствования аудита AD FS в Windows Server 2016
В настоящее время в AD FS для Windows Server 2012 R2 существует множество событий аудита, созданных для одного запроса, и соответствующие сведения о действии выдачи маркеров либо отсутствуют (в некоторых версиях AD FS) или распределяются по нескольким событиям аудита. По умолчанию события аудита AD FS отключены из-за их подробной природы.
После выпуска AD FS в Windows Server 2016 аудит стал более упрощенным и менее подробным.
Уровни аудита в AD FS для Windows Server 2016
По умолчанию AD FS в Windows Server 2016 включает базовый аудит. При базовом аудите администраторы увидят 5 или менее событий для одного запроса. Это означает значительное снижение числа событий, которые администраторы должны просматривать, чтобы увидеть один запрос. Уровень аудита можно вызвать или уменьшить с помощью командлета PowerShell: Set-AdfsProperties -AuditLevel. В таблице ниже описаны доступные уровни аудита.
| Уровень аудита | Синтаксис PowerShell | Описание |
|---|---|---|
| Нет | Set-AdfsProperties — AuditLevel Нет | Аудит отключен, и события не будут регистрироваться. |
| Базовый (по умолчанию) | Set-AdfsProperties — Уровень аудита Базовый | Для одного запроса регистрируются не более 5 событий. |
| Многословный | Set-AdfsProperties — AuditLevel Verbose | Все события будут зарегистрированы. Это будет записывать значительное количество информации на каждый запрос. |
Чтобы просмотреть текущий уровень аудита, можно использовать командлет PowerShell: Get-AdfsProperties.
Уровень аудита можно вызвать или уменьшить с помощью командлета PowerShell: Set-AdfsProperties -AuditLevel.
усовершенствования аудита 
Типы событий аудита
События аудита AD FS могут быть различными типами, основанными на различных типах запросов, обработанных AD FS. Каждый тип события аудита содержит определенные данные, связанные с ним. Можно различить типы событий аудита между запросами на вход (т. е. запросами токенов) и системными запросами (запросы сервер-сервер, включая получение информации о конфигурации).
В таблице ниже описаны основные типы событий аудита.
| Тип события аудита | Идентификатор события | Описание |
|---|---|---|
| Успех проверки свежих учетных данных | 1202 | Запрос, в котором свежие учетные данные успешно подтверждаются службой федерации. К ним относятся WS-Trust, WS-Federation, SAML-P (первый этап для создания единого входа (SSO)) и точки авторизации OAuth. |
| Ошибка проверки новых учетных данных | 1203 | Запрос, в котором не удалось выполнить проверку новых учетных данных в службе федерации. Включает WS-Trust, WS-Fed, SAML-P (первый этап для создания единого входа) и конечные точки авторизации OAuth. |
| Успех токена приложения | 1200 | Запрос на успешную выдачу маркера безопасности службой федерации. Для WS-Federation SAML-P это регистрируется при обработке запроса с артефактом SSO. (например, файл cookie единого входа). |
| Сбой токена приложения | 1201 | Запрос, где произошел сбой выдачи токена безопасности в федеративной службе. Для WS-Federation SAML-P это регистрируется при обработке запроса с помощью артефакта единого входа. (например, файл cookie единого входа). |
| Успешное выполнение запроса на изменение пароля | 1204 | Транзакция, в которой запрос на изменение пароля успешно обработан службой федерации. |
| Ошибка запроса на изменение пароля | 1205 | Транзакция, в которой не удалось обработать запрос на изменение пароля службой федерации. |
| Выход выполнен успешно | 1206 | Описывает успешный запрос на выход. |
| Ошибка выхода | 1207 | Описывает неудачный запрос на выход из системы. |