Windows Server 2016 中 AD FS 的稽核增強功能
目前,在適用於 Windows Server 2012 R2 的 AD FS 中,針對單一要求產生許多稽核事件,而有關登入或令牌發行活動的相關信息可能不存在(在某些 AD FS 版本中),或分散到多個稽核事件。 根據預設,AD FS 稽核事件因其冗長特性而處於關閉狀態。
隨著 Windows Server 2016 中的 AD FS 發行,稽核變得更精簡且不再冗長。
Windows Server 2016 AD FS 中的稽核層級
根據預設,Windows Server 2016 中的 AD FS 已啟用基本稽核。 透過基本稽核,系統管理員會看到單一要求 5 個或更少的事件。 這標誌著系統管理員必須查看的事件數目大幅減少,才能看到單一要求。 您可以使用 PowerShell Cmdlet 來提升或降低稽核層級:Set-AdfsProperties -AuditLevel。 下表說明可用的稽核層級。
| 稽核層級 | PowerShell 語法 | 說明 |
|---|---|---|
| 沒有 | Set-AdfsProperties - 審計等級 無 | 稽核已停用,且不會記錄任何事件。 |
| 基本 (預設值) | Set-AdfsProperties - 審計等級 基本 | 單一要求不會記錄超過5個事件 |
| 詳細資訊 | Set-AdfsProperties - AuditLevel 詳細資訊 | 系統會記錄所有事件。 這會記錄每個要求的大量資訊。 |
若要檢視目前的稽核層級,您可以使用 PowerShell Cmdlet:Get-AdfsProperties。
您可以使用 PowerShell Cmdlet 來提升或降低稽核層級:Set-AdfsProperties -AuditLevel。
稽核事件類型
AD FS 稽核事件可以是不同類型的,根據 AD FS 處理的不同要求類型。 每種稽核事件類型都有與其相關聯的特定數據。 稽核事件的類型可以區分登入要求(即令牌要求)與系統要求(包括擷取組態資訊的伺服器-伺服器呼叫)。
下表描述稽核事件的基本類型。
| 稽核事件類型 | 事件識別碼 | 說明 |
|---|---|---|
| 最新憑證驗證成功 | 1202 | 聯邦服務成功驗證了全新認證信息的請求。 這包括 WS-Trust、WS-Federation、SAML-P(產生 SSO 的第一回合)和 OAuth 授權端點。 |
| 全新認證驗證錯誤 | 1203 | 同盟服務上的全新認證驗證失敗的要求。 這包括 WS-Trust、WS-Fed、SAML-P(產生 SSO 的第一回合)和 OAuth 授權端點。 |
| 成功獲取應用程式令牌 | 1200 | 由聯邦服務成功發行安全性令牌的請求。 對於 WS-Federation,當使用 SSO 憑證處理要求時,會記錄 SAML-P 此事件。 (例如 SSO Cookie)。 |
| 應用程式令牌失敗 | 1201 | 要求在聯盟服務中安全性令牌發行失敗。 針對 WS-Federation,SAML-P 當要求使用 SSO 工件處理時,就會紀錄此紀錄。 (例如 SSO Cookie)。 |
| 密碼變更要求成功 | 1204 | 同盟服務成功處理密碼變更要求的交易。 |
| 密碼變更要求錯誤 | 1205 | 同盟服務無法處理密碼變更要求的交易。 |
| 註銷成功 | 1206 | 描述成功的註銷要求。 |
| 登出失敗 | 1207 | 描述失敗的註銷要求。 |