在 Windows Server 2016 中审核 AD FS 的增强功能
目前,在适用于 Windows Server 2012 R2 的 AD FS 中,为单个请求生成了大量审核事件,且有关登录或令牌颁发活动的相关信息不存在(在某些版本的 AD FS 中),或者分布在多个审核事件中。 由于其冗长特性,AD FS 审核事件默认处于关闭状态。
随着 Windows Server 2016 中的 AD FS 的发布,审核变得更加精简且不那么冗长。
Windows Server 2016 的 AD FS 中的审核级别
默认情况下,Windows Server 2016 中的 AD FS 已启用基本审核。 在基本审核级别下,对于单个请求,管理员最多会看到 5 个事件。 这表明管理员为了查看单个请求而必须查看的事件数量显著减少。 可以使用以下 PowerShell cmdlet 提高或降低审核级别:Set-AdfsProperties -AuditLevel。 下表说明了可用的审核级别。
| 审核级别 | PowerShell 语法 | 说明 |
|---|---|---|
| 无 | Set-AdfsProperties - AuditLevel None | 审核已禁用,不会记录任何事件。 |
| 基本(默认) | Set-AdfsProperties - AuditLevel Basic | 对于单个请求,会最多记录 5 个事件 |
| 详细 | Set-AdfsProperties - AuditLevel Verbose | 记录所有事件。 这会记录每个请求的大量数据。 |
若要查看当前审核级别,可以使用 PowerShell cmdlet:Get-AdfsProperties。
可以使用以下 PowerShell cmdlet 提高或降低审核级别:Set-AdfsProperties -AuditLevel。
审核事件的类型
AD FS 审核事件的类型因 AD FS 所处理的请求类型而异。 每种类型的审核事件都有与之关联的特定数据。 审核事件的类型可以区分为登录请求(即令牌请求)和系统请求(服务器-服务器调用,包括获取配置信息的调用)。
下表介绍了审核事件的基本类型。
| 审核事件类型 | 事件 ID | 说明 |
|---|---|---|
| 新凭据验证成功 | 1202 | 一个请求,其中的联合身份验证服务成功验证新凭据。 它包括 WS-Trust、WS 联合身份验证、SAML-P(用于生成 SSO 的第一阶段)和 OAuth 授权终结点。 |
| 新凭据验证错误 | 1203 | 一个请求,其中的联合身份验证服务验证新凭据失败。 它包括 WS-Trust、WS 联合身份验证、SAML-P(用于生成 SSO 的第一阶段)和 OAuth 授权终结点。 |
| 应用程序令牌成功 | 1200 | 一个请求,其中的联合身份验证服务成功颁发安全令牌。 对于 WS 联合身份验证和 SAML-P,这是在使用 SSO 项目(例如 SSO Cookie)处理请求时 记录的。 |
| 应用程序令牌失败 | 1201 | 一个请求,其中的联合身份验证服务上的安全令牌颁发失败。 对于 WS 联合身份验证和 SAML-P,这是在使用 SSO 项目(例如 SSO Cookie)处理请求时 记录的。 |
| 密码更改请求成功 | 1204 | 一个事务,其中的联合身份验证服务成功处理密码更改请求。 |
| 密码更改请求错误 | 1205 | 一个事务,其中的联合身份验证服务处理密码更改请求失败。 |
| 注销成功 | 1206 | 描述成功的注销请求。 |
| 注销失败 | 1207 | 描述失败的注销请求。 |