Усовершенствования аудита в AD FS под управлением Windows Server 2016
В настоящее время в AD FS для Windows Server 2012 R2 существует множество событий аудита, созданных для одного запроса, и соответствующие сведения о действии выдачи маркеров либо отсутствуют (в некоторых версиях AD FS) или распределяются по нескольким событиям аудита. По умолчанию события аудита AD FS отключены, так как они создают большой объем информации.
После выпуска AD FS в Windows Server 2016 аудит стал более упрощенным и менее подробным.
Уровни аудита в AD FS для Windows Server 2016
По умолчанию AD FS в Windows Server 2016 включает базовый аудит. При базовом аудите администраторы увидят 5 или менее событий для одного запроса. Это означает значительное снижение числа администраторов событий, которые необходимо просмотреть, чтобы увидеть один запрос. Уровень аудита можно вызвать или уменьшить с помощью командлета PowerShell: Set-AdfsProperties -AuditLevel. В таблице ниже описаны доступные уровни аудита.
| Уровень аудита | Синтаксис PowerShell | Description |
|---|---|---|
| Нет | Set-AdfsProperties — AuditLevel None | Аудит отключен, и события не будут регистрироваться. |
| Базовый (по умолчанию) | Set-AdfsProperties — AuditLevel Basic | Для одного запроса будет зарегистрировано не более 5 событий |
| Подробный | Set-AdfsProperties — AuditLevel Verbose | Будут регистрироваться все события. Будет регистрироваться значительный объем информации для каждого запроса. |
Чтобы просмотреть текущий уровень аудита, можно использовать командлет PowerShell: Get-AdfsProperties.
Уровень аудита можно вызвать или уменьшить с помощью командлета PowerShell: Set-AdfsProperties -AuditLevel.
Типы событий аудита
События аудита AD FS могут быть различными типами, основанными на различных типах запросов, обработанных AD FS. Каждый тип события аудита содержит определенные данные, связанные с ним. Тип событий аудита можно различать между запросами входа (т. е. запросами маркеров) и системными запросами (вызовы сервера, включая получение сведений о конфигурации).
В таблице ниже описаны основные типы событий аудита.
| Тип события аудита | Идентификатор события | Description |
|---|---|---|
| Успех проверки свежих учетных данных | 1202 | Запрос, в котором новые учетные данные успешно проверяются службой федерации. К ним относятся WS-Trust, WS-Federation, SAML-P (первый этап для создания единого входа) и авторизации конечных точек OAuth. |
| Ошибка проверки новых учетных данных | 1203 | Запрос, в котором не удалось выполнить проверку новых учетных данных в службе федерации. К ним относятся WS-Trust, WS-Fed, SAML-P (первый этап для создания единого входа) и авторизации конечных точек OAuth. |
| Успех маркера приложения | 1200 | Запрос, в котором маркер безопасности успешно выдан службой федерации. Для WS-Federation SAML-P это регистрируется при обработке запроса с помощью артефакта единого входа. (например, файл cookie единого входа). |
| Сбой маркера приложения | 1201 | Запрос, в котором произошел сбой выдачи маркера безопасности в службе федерации. Для WS-Federation SAML-P это регистрируется при обработке запроса с помощью артефакта единого входа. (например, файл cookie единого входа). |
| Успешное выполнение запроса на изменение пароля | 1204 | Транзакция, в которой запрос на изменение пароля успешно обработан службой федерации. |
| Ошибка запроса на изменение пароля | 1205 | Транзакция, в которой не удалось обработать запрос на изменение пароля службой федерации. |
| Выйдите из успешного выхода | 1206 | Описывает успешный запрос на выход. |
| Сбой выхода | 1207 | Описывает неудачный запрос на выход. |