DienstüberwachungsverhaltenService Auditing Behavior

Dieses Beispiel zeigt, wie das ServiceSecurityAuditBehavior verwendet werden kann, um die Überwachung von Sicherheitsereignissen während Dienstvorgängen zu aktivieren.This sample demonstrates how to use the ServiceSecurityAuditBehavior to enable auditing of security events during service operations. Dieses Beispiel basiert auf der Einstieg.This sample is based on the Getting Started. Der Dienst und Client konfiguriert wurden mithilfe der <WsHttpBinding >.The service and client have been configured using the <wsHttpBinding>. Die mode Attribut von der <Sicherheit > vorsieht Message und clientCredentialType vorsieht Windows.The mode attribute of the <security> has been set to Message and clientCredentialType has been set to Windows. In diesem Beispiel ist der Client eine Konsolenanwendung (.exe), und der Dienst wird von IIS (Internet Information Services, Internetinformationsdienste) gehostet.In this sample, the client is a console application (.exe) and the service is hosted by Internet Information Services (IIS).

Hinweis

Die Setupprozedur und die Buildanweisungen für dieses Beispiel befinden sich am Ende dieses Themas.The setup procedure and build instructions for this sample are located at the end of this topic.

Die Dienstkonfigurationsdatei verwendet das serviceSecurityAudit-Element, um Überwachung zu konfigurieren.The service configuration file uses the serviceSecurityAudit element to configure auditing.

<behaviors>  
  <serviceBehaviors>  
    <behavior name="CalculatorServiceBehavior">  
      ...  
<!-- serviceSecurityAudit allows specification of audit location   
     and whether to audit success, failure or both. This service   
     logs success and failure of messageAuthentication   
     to the default location -->  
     <serviceSecurityAudit auditLogLocation ="Default" messageAuthenticationAuditLevel = "SuccessOrFailure" />  
    </behavior>  
  </serviceBehaviors>  
</behaviors>  

Wenn Sie das Beispiel ausführen, werden die Anforderungen und Antworten für den Vorgang im Clientkonsolenfenster angezeigt.When you run the sample, the operation requests and responses are displayed in the client console window. Drücken Sie im Konsolenfenster die EINGABETASTE, um den Client zu schließen.Press ENTER in the console window to shut down the client.

Die resultierenden Überwachungsprotokolle können in der Ereignisanzeige angezeigt werden.The resulting audit logs can be seen by running the Event Viewer. Standardmäßig können die Überwachungsereignisse unter Windows XP im Anwendungsprotokoll und unter Windows Server 2003 und Windows Vista im Sicherheitsprotokoll angezeigt werden.By default, on Windows XP the audit events can be seen in the Application Log while on Windows Server 2003 and Windows Vista, the audit events can be seen in the Security Log. Unter Windows Server 2008 und Windows 7 können die Überwachungsereignisse standardmäßig in den Anwendungs- und Dienstprotokollen eingesehen werden.On Windows Server 2008 and Windows 7, the audit events can be seen in the Applications and Services logs. Der Speicherort von Überwachungsereignissen kann angegeben werden, durch Festlegen der auditLogLocation -Attributs auf "Application" oder "Security".The location of audit events can be specified by setting the auditLogLocation attribute to "Application" or "Security". Weitere Informationen finden Sie unter Vorgehensweise: Überwachen von Sicherheitsereignissen.For more information, see How to: Audit Security Events. Wenn die Ereignisse in das Sicherheitsprotokoll geschrieben werden, sollte LocalSecurityPolicy-> Objektzugriff aktivieren auf "Erfolg" und "Fehler" eingestellt werden.If the events are written in the Security Log the LocalSecurityPolicy-> Enable Object Access should be set for "Success" and "Failure".

Im Ereignisprotokoll ist die Quelle der Überwachungsereignisse "ServiceModel Audit 3.0.0.0".When looking at the event log, the source of the audit events is "ServiceModel Audit 3.0.0.0". Nachrichtenauthentifizierungsüberwachungs-Datensätze weisen die Kategorie "Messageauthentication", während dienstautorisierungsüberwachungs-Datensätze die Kategorie "ServiceAuthorization" aufweisen.Message authentication audit records have a category of "MessageAuthentication" while service authorization audit records have a category of "ServiceAuthorization".

Ereignisse der Nachrichtenauthentifizierungsüberwachung zeigen an, ob die Nachricht manipuliert wurde, abgelaufen ist und ob der Client für den Dienst authentifiziert werden kann.Message authentication audit events cover whether the message was tampered with, whether the message has expired, and whether the client can authenticate to the service. Sie enthalten Informationen darüber, ob die Authentifizierung erfolgreich war oder fehlgeschlagen ist, sowie Informationen über die Identität des Clients und über den Endpunkt, an den die Nachricht zusammen mit der der Nachricht zugewiesenen Aktion gesendet wurde.They provide information about whether the authentication succeeded or failed along with the identity of the client, and the endpoint the message was sent to along with the action associated with the message.

Ereignisse der Dienstautorisierungsüberwachung enthalten die Autorisierungsentscheidung, die vom Dienstautorisierungs-Manager getroffen wird.Service authorization audit events cover the authorization decision made by a service authorization manager. Sie enthalten Informationen darüber, ob die Autorisierung erfolgreich war oder fehlgeschlagen ist, sowie Informationen über die Identität des Clients, den Endpunkt, an den die Nachricht gesendet wurde, die der Nachricht zugewiesene Aktion, die Kennung des Autorisierungskontexts, der aus der eingehenden Nachricht generiert wurde, und den Typ des Autorisierungs-Managers, der die Zugriffsentscheidung getroffen hat.They provide information about whether authorization succeeded or failed along with the identity of the client, the endpoint the message was sent to, the action associated with the message, the identifier of the authorization context that was generated from the incoming message, and the type of the authorization manager that made the access decision.

So können Sie das Beispiel einrichten, erstellen und ausführenTo set up, build, and run the sample

  1. Stellen Sie sicher, dass Sie ausgeführt haben die Setupprozedur für die Windows Communication Foundation-Beispiele zum einmaligen.Ensure that you have performed the One-Time Setup Procedure for the Windows Communication Foundation Samples.

  2. Um die C#- oder Visual Basic .NET-Edition der Projektmappe zu erstellen, befolgen Sie die unter Building the Windows Communication Foundation Samplesaufgeführten Anweisungen.To build the C# or Visual Basic .NET edition of the solution, follow the instructions in Building the Windows Communication Foundation Samples.

  3. Um das Beispiel in einer Einzelcomputer- oder computerübergreifenden Konfiguration ausführen möchten, folgen Sie den Anweisungen Ausführen der Windows Communication Foundation-Beispiele.To run the sample in a single- or cross-computer configuration, follow the instructions in Running the Windows Communication Foundation Samples.

Siehe auchSee Also

ÜberwachungAuditing
Vorgehensweise: Überwachen von SicherheitsereignissenHow to: Audit Security Events