在 Windows Server 2016 中审核 AD FS 的增强功能
目前,在 AD FS for Windows Server 2012 R2 中,为单个请求生成了许多审核事件,而有关登录或令牌颁发活动的相关信息要么在某些版本的 AD FS) 中不存在 (,要么分散在多个审核事件中。 由于其冗长特性,AD FS 审核事件默认处于关闭状态。
随着 Windows Server 2016 中 AD FS 的发布,审核变得更加精简和详细。
AD FS 中用于Windows Server 2016的审核级别
默认情况下,Windows Server 2016中的 AD FS 已启用基本审核。 通过基本审核,管理员会看到单个请求的 5 个或更少事件。 这标志着管理员必须查看的事件数显著减少,以便查看单个请求。 可以使用 PowerShell cmdlet 提高或降低审核级别:Set-AdfsProperties -AuditLevel。 下表说明了可用的审核级别。
| 审核级别 | PowerShell 语法 | 说明 |
|---|---|---|
| 无 | Set-AdfsProperties - AuditLevel None | 审核已禁用,不会记录任何事件。 |
| 基本(默认) | Set-AdfsProperties - AuditLevel Basic | 对于单个请求,会最多记录 5 个事件 |
| 详细 | Set-AdfsProperties - AuditLevel Verbose | 记录所有事件。 这会记录每个请求的大量数据。 |
若要查看当前的审核级别,可以使用 PowerShell cmdlet:Get-AdfsProperties。
可以使用 PowerShell cmdlet 提高或降低审核级别:Set-AdfsProperties -AuditLevel。
审核事件的类型
AD FS 审核事件可以是不同类型的,具体取决于 AD FS 处理的不同类型的请求。 每种类型的审核事件都有与之关联的特定数据。 审核事件的类型可以区分登录请求 (,即令牌请求) 与 (服务器-服务器调用的系统请求(包括提取配置信息) )。
下表描述了审核事件的基本类型。
| 审核事件类型 | 事件 ID | 说明 |
|---|---|---|
| 刷新凭据验证成功 | 1202 | 联合身份验证服务成功验证新凭据的请求。 这包括 WS-Trust、WS 联合身份验证、SAML-P (第一回合来生成 SSO) 和 OAuth 授权终结点。 |
| 刷新凭据验证错误 | 1203 | 联合身份验证服务上刷新凭据验证失败的请求。 这包括 WS-Trust、WS-Fed、SAML-P (第一回合来生成 SSO) 和 OAuth 授权终结点。 |
| 应用程序令牌成功 | 1200 | 联合身份验证服务成功颁发安全令牌的请求。 对于 WS 联合身份验证,使用 SSO 项目处理请求时,会记录 SAML-P。 (,例如 SSO cookie) 。 |
| 应用程序令牌失败 | 1201 | 在联合身份验证服务上,安全令牌颁发失败的请求。 对于 WS 联合身份验证,使用 SSO 项目处理请求时,会记录 SAML-P。 (,例如 SSO cookie) 。 |
| 密码更改请求成功 | 1204 | 由联合身份验证服务成功处理密码更改请求的事务。 |
| 密码更改请求错误 | 1205 | 一个事务,其中密码更改请求无法由联合身份验证服务处理。 |
| 注销成功 | 1206 | 描述成功的注销请求。 |
| 注销失败 | 1207 | 描述失败的注销请求。 |