Améliorations de l’audit apportées à AD FS dans Windows Server 2016Auditing Enhancements to AD FS in Windows Server 2016

Actuellement, dans AD FS pour Windows Server 2012 R2 il sont nombreux événements d’audit générés pour une seule requête et les informations pertinentes sur un journal dans ou les activités d’émission de jeton soient absent (dans certaines versions d’AD FS) ou répartie sur plusieurs événements d’audit.Currently, in AD FS for Windows Server 2012 R2 there are numerous audit events generated for a single request and the relevant information about a log-in or token issuance activity is either absent (in some versions of AD FS) or spread across multiple audit events. Par défaut, les services AD FS, les événements d’audit sont désactivées en raison de leur nature détaillée.By default the AD FS audit events are turned off due to their verbose nature.
Avec la version des services AD FS dans Windows Server 2016, l’audit est devenue plus simple et moins détaillé.With the release of AD FS in Windows Server 2016, auditing has become more streamlined and less verbose.

Niveaux d’audit dans AD FS pour Windows Server 2016Auditing levels in AD FS for Windows Server 2016

Par défaut, AD FS dans Windows Server 2016 a base l’audit est activé.By default, AD FS in Windows Server 2016 has basic auditing enabled. Avec l’audit de base, les administrateurs voient maximum 5 événements pour une demande unique.With basic auditing, administrators will see 5 or less events for a single request. Cela marque une réduction significative du nombre d’événements, les administrateurs disposent d’examiner, afin de voir une demande unique.This marks a significant decrease in the number of events administrators have to look at, in order to see a single request. Le niveau d’audit peut être augmentée ou abaissée à l’aide de l’applet de commande PowerShell : Set-AdfsProperties - AuditLevel.The auditing level can be raised or lowered using the PowerShell cmdlt: Set-AdfsProperties -AuditLevel. Le tableau ci-dessous explique les niveaux d’audit disponibles.The table below explains the available auditing levels.

Niveau d'auditAudit Level Syntaxe de PowerShellPowerShell syntax DescriptionDescription
AucuneNone Set-AdfsProperties - AuditLevel NoneSet-AdfsProperties - AuditLevel None L’audit est désactivé et aucun événement ne sera consigné.Auditing is disabled and no events will be logged.
Basic (valeur par défaut)Basic (Default) Set-AdfsProperties - AuditLevel BasicSet-AdfsProperties - AuditLevel Basic Pas plus de 5 événements seront enregistrés pour une demande uniqueNo more than 5 events will be logged for a single request
VerboseVerbose Set-AdfsProperties - AuditLevel détailléeSet-AdfsProperties - AuditLevel Verbose Tous les événements seront enregistrés.All events will be logged. Ceci enregistrera une quantité significative d’informations par demande.This will log a significant amount of information per request.

Pour afficher le niveau d’audit, vous pouvez utiliser l’applet de commande PowerShell : Get-AdfsProperties.To view the current auditing level, you can use the PowerShell cmdlt: Get-AdfsProperties.

améliorations d’audit

Le niveau d’audit peut être augmentée ou abaissée à l’aide de l’applet de commande PowerShell : Set-AdfsProperties - AuditLevel.The auditing level can be raised or lowered using the PowerShell cmdlt: Set-AdfsProperties -AuditLevel.

améliorations d’audit

Types d’événements d’AuditTypes of Audit Events

Événements d’Audit AD FS peut être de types différents, selon les différents types de demandes traitées par AD FS.AD FS Audit Events can be of different types, based on the different types of requests processed by AD FS. Chaque type d’événement d’Audit a des données spécifiques associées.Each type of Audit Event has specific data associated with it. Le type d’événements d’audit peut être différencié entre les demandes de connexion (par exemple, les demandes de jeton) par rapport aux demandes du système (appels y compris l’extraction des informations de configuration de serveur).The type of audit events can be differentiated between login requests (i.e. token requests) versus system requests (server-server calls including fetching configuration information).
Le tableau ci-dessous décrit les types d’événements d’audit de base.The table below describes the basic types of audit events.

Type d’événement d’auditAudit Event Type ID d’événementEvent ID DescriptionDescription
Réussite de la Validation des informations d’identification fraîchesFresh Credential Validation Success 12021202 Une demande où les nouvelles informations d’identification sont validées avec succès par le Service de fédération.A request where fresh credentials are validated successfully by the Federation Service. Cela inclut WS-Trust, WS-Federation, SAML-P (premier tronçon pour générer l’authentification unique) et les points de terminaison autoriser OAuth.This includes WS-Trust, WS-Federation, SAML-P (first leg to generate SSO) and OAuth Authorize Endpoints.
Erreur de Validation des informations d’identification fraîchesFresh Credential Validation Error 12031203 Une demande où Échec de la validation de nouvelles informations d’identification sur le Service de fédération.A request where fresh credential validation failed on the Federation Service. Cela inclut WS-Trust, WS-Fed, SAML-P (premier tronçon pour générer l’authentification unique) et les points de terminaison autoriser OAuth.This includes WS-Trust, WS-Fed, SAML-P (first leg to generate SSO) and OAuth Authorize Endpoints.
Jeton de l’application réussiApplication Token Success 12001200 Une demande où un jeton de sécurité est émis avec succès par le Service de fédération.A request where a security token is issued successfully by the Federation Service. Pour WS-Federation, SAML-P, elle est consignée lorsque la demande est traitée avec l’artefact d’authentification unique.For WS-Federation, SAML-P this is logged when the request is processed with the SSO artifact. (par exemple, le cookie d’authentification unique).(such as the SSO cookie).
Échec de jeton d’applicationApplication Token Failure 12011201 Une demande où les d’émission de jeton de sécurité a échoué sur le Service de fédération.A request where security token issuance failed on the Federation Service. Pour WS-Federation, SAML-P, elle est consignée lorsque la demande a été traitée avec l’artefact d’authentification unique.For WS-Federation, SAML-P this is logged when the request was processed with the SSO artifact. (par exemple, le cookie d’authentification unique).(such as the SSO cookie).
Demande de modification de mot de passe réussiePassword Change Request Success 12041204 Une transaction où la demande de modification du mot de passe a été correctement traitée par le Service de fédération.A transaction where the password change request was successfully processed by the Federation Service.
Erreur de demande de modification de mot de passePassword Change Request Error 12051205 Une transaction où la demande de modification du mot de passe a échoué doivent être traités par le Service de fédération.A transaction where the password change request failed to be processed by the Federation Service.
Déconnectez-vous de réussiteSign Out Success 12061206 Décrit une demande de déconnexion réussie.Describes a successful sign-out request.
Déconnectez-vous de défaillanceSign Out Failure 12071207 Décrit une demande de déconnexion a échoué.Describes a failed sign-out request.