目前,在适用于 Windows Server 2012 R2 的 AD FS 中,为单个请求生成了许多审核事件,有关登录或令牌颁发活动的相关信息要么不存在(在某些版本的 AD FS 中),要么分布在多个审核事件中。 默认情况下,由于 AD FS 审核事件的冗长特性,它们被关闭。
随着 Windows Server 2016 中 AD FS 的发布,审核变得更加精简和简洁。
Windows Server 2016 的 AD FS 中的审核级别
默认情况下,Windows Server 2016 中的 AD FS 已启用基本审核。 通过基本审核,管理员会看到针对单个请求的 5 个事件或更少。 这标志着管理员必须查看的事件数显著减少,以便查看单个请求。 可以使用 PowerShell cmdlet 提高或降低审核级别:Set-AdfsProperties -AuditLevel。 下表说明了可用的审核级别。
| 审核级别 | PowerShell 语法 | DESCRIPTION |
|---|---|---|
| 没有 | Set-AdfsProperties - 审核级别 无(AuditLevel None) | 审核已禁用,不会记录任何事件。 |
| 基本 (默认) | Set-AdfsProperties - 审计等级 基本 | 对于单个请求,将记录不超过 5 个事件 |
| 详细 | Set-AdfsProperties - AuditLevel Verbose | 将记录所有事件。 这将记录每个请求的大量信息。 |
若要查看当前的审核级别,可以使用 PowerShell cmdlet:Get-AdfsProperties。
可以使用 PowerShell cmdlet 提高或降低审核级别:Set-AdfsProperties -AuditLevel。
审核事件类型
AD FS 审核事件可以是不同类型的,具体取决于 AD FS 处理的不同类型的请求。 每种类型的 Audit 事件都有与之关联的特定数据。 可以区分登录请求(即令牌请求)与系统请求(包括提取配置信息)之间的审核事件类型。
下表描述了审核事件的基本类型。
| 审核事件类型 | 事件编号 | DESCRIPTION |
|---|---|---|
| 新凭据验证成功 | 1202 | 一个请求,其中的联合身份验证服务成功验证新凭据。 这包括 WS-Trust、WS 联合身份验证、SAML-P(生成 SSO 的第一回合)和 OAuth 授权终结点。 |
| 新凭据验证错误 | 1203 | 一个请求,其中的联合身份验证服务验证新凭据失败。 这包括 WS-Trust、WS-Fed、SAML-P(生成 SSO 的第一回合)和 OAuth 授权端点。 |
| 应用程序令牌成功 | 1200 | 一个请求,其中的联合身份验证服务成功颁发安全令牌。 对于 WS 联合身份验证和 SAML-P,这是在使用 SSO 项目(例如 SSO Cookie)处理请求时。 (例如 SSO Cookie)。 |
| 应用程序令牌失败 | 1201 | 一个请求,其中的联合身份验证服务上的安全令牌颁发失败。 对于 WS 联合身份验证和 SAML-P,这是在使用 SSO 项目(例如 SSO Cookie)处理请求时。 (例如 SSO Cookie)。 |
| 密码更改请求成功 | 1204 | 一个事务,其中的联合身份验证服务成功处理密码更改请求。 |
| 密码更改请求错误 | 1205 | 一个事务,其中的联合身份验证服务处理密码更改请求失败。 |
| 注销成功 | 1206 | 描述成功的注销请求。 |
| 注销失败 | 1207 | 描述失败的注销请求。 |