Freigeben über


<serviceSecurityAudit>

Legt Einstellungen fest, die die Überwachung von Sicherheitsereignissen während der Dienstvorgänge ermöglichen.

Schemahierarchie

<<system.serviceModel>>
  <behaviors>
    <serviceBehaviors>
      <behavior> von <serviceBehaviors>
        <serviceSecurityAudit>

Syntax

<serviceSecurityAudit 
   auditLogLocation="Default/Application/Security"
   messageAuthenticationAuditLevel= None/Success/Failure/SuccessAndFailure"   serviceAuthorizationAuditLevel="None/Success/Failure/SuccessAndFailure"
   suppressAuditFailure="Boolean"
/>

Attribute und Elemente

In den folgenden Abschnitten werden Attribute, untergeordnete Elemente sowie übergeordnete Elemente beschrieben.

Attribute

Attribut Beschreibung

auditLogLocation

Gibt den Speicherort des Überwachungsprotokolls an. Folgende Werte sind gültig:

  • Default: Sicherheitsereignisse werden unter Windows XP in das Anwendungsprotokoll und unter Windows Server 2003 und Windows Vista in das Ereignisprotokoll geschrieben.

  • Application: Überwachungsereignisse werden in das Anwendungsereignisprotokoll geschrieben.

  • Security: Überwachungsereignisse werden in das Sicherheitsereignisprotokoll geschrieben.

Der Standardwert lautet Default. Weitere Informationen finden Sie unter AuditLogLocation.

suppressAuditFailure

Boolescher Wert, der das Verhalten für das Unterdrücken von Fehlern beim Schreiben in das Überwachungsprotokoll angibt.

Anwendungen sollten über Schreibfehler im Überwachungsprotokoll benachrichtigt werden. Wenn die Anwendung nicht für das Verarbeiten von Überwachungsfehlern ausgelegt ist, sollten Sie dieses Attribut verwenden, um Fehler beim Schreiben in das Überwachungsprotokoll zu unterdrücken.

Wenn dieses Attribut den Wert true hat, werden Ausnahmen (außer OutOfMemoryException, StackOverFlowException, ThreadAbortException und ArgumentException), die aus Versuchen, Überwachungsereignisse zu schreiben, hervorgehen, vom System verarbeitet und nicht an die Anwendung weitergegeben. Wenn dieses Attribut den Wert false hat, werden alle Ausnahmen, die aus Versuchen, Überwachungsereignisse zu schreiben, hervorgehen, an die Anwendung weitergegeben.

Die Standardeinstellung ist true.

serviceAuthorizationAuditLevel

Gibt die Typen von Autorisierungsereignissen an, die im Überwachungsprotokoll aufgezeichnet werden. Folgende Werte sind gültig:

  • None: Es wird keine Überwachung der Dienstautorisierungsereignisse durchgeführt.

  • Success: Es werden nur erfolgreiche Dienstautorisierungsereignisse überwacht.

  • Failure: Es werden nur fehlgeschlagene Dienstautorisierungsereignisse überwacht.

  • SuccessAndFailure: Es werden sowohl erfolgreiche als auch fehlgeschlagene Dienstautorisierungsereignisse überwacht.

Der Standardwert ist None. Weitere Informationen finden Sie unter AuditLevel.

messageAuthenticationAuditLevel

Gibt den Typ der protokollierten Nachrichtenauthentifizierungs-Überwachungsereignisse an. Folgende Werte sind gültig:

  • None: Es werden keine Überwachungsereignisse generiert.

  • Success: Es werden nur erfolgreiche Sicherheitsereignisse (vollständige Prüfung, darunter Nachrichtensignaturprüfung, Verschlüsselungs- und Tokenprüfung) protokolliert.

  • Failure: Es werden nur fehlgeschlagene Ereignisse protokolliert.

  • SuccessAndFailure: Es werden sowohl erfolgreiche als auch fehlgeschlagene Ereignisse protokolliert.

Der Standardwert ist None. Weitere Informationen finden Sie unter AuditLevel.

Untergeordnete Elemente

Keine.

Übergeordnete Elemente

Element Beschreibung

<behavior> von <endpointBehaviors>

Gibt ein Verhaltenselement an.

Hinweise

Mit diesem Konfigurationselement werden Windows Communication Foundation (WCF)-Authentifizierungsereignisse überwacht. Ist die Überwachung aktiviert, können entweder erfolgreiche oder fehlgeschlagene Authentifizierungsversuche (oder beides) überwacht werden. Die Ereignisse werden in eines der drei Ereignisprotokolle geschrieben: das Anwendungs-, Sicherheits- oder Standardprotokoll für die Betriebssystemversion. Die Ereignisprotokolle können alle mit der Windows-Ereignisanzeige angezeigt werden.

Ein ausführliches Beispiel für die Verwendung dieses Konfigurationselements finden Sie unter Service Auditing Behavior.

Standardmäßig können unter Windows XP die Überwachungsereignisse im Anwendungsprotokoll und unter Windows Server 2003 und Windows Vista im Sicherheitsprotokoll angezeigt werden. Der Speicherort von Überwachungsereignissen kann durch Festlegen des auditLogLocation-Attributs auf "Application" oder "Security" angegeben werden. Weitere Informationen finden Sie unter How To: Audit Security Events. Wenn die Ereignisse in das Sicherheitsprotokoll geschrieben werden, sollte LocalSecurityPolicy-> Objektzugriff aktivieren auf "Erfolg" und "Fehler" eingestellt werden.

Im Ereignisprotokoll ist die Quelle der Überwachungsereignisse "ServiceModel Audit 3.0.0.0". Nachrichtenauthentifizierungsüberwachungs-Datensätze weisen die Kategorie "MessageAuthentication" auf, während Dienstautorisierungsüberwachungs-Datensätze die Kategorie 'ServiceAuthorization' aufweisen.

Ereignisse der Nachrichtenauthentifizierungsüberwachung zeigen an, ob die Nachricht manipuliert wurde, abgelaufen ist und ob der Client für den Dienst authentifiziert werden kann. Sie enthalten Informationen darüber, ob die Authentifizierung erfolgreich war oder fehlgeschlagen ist, sowie Informationen über die Identität des Clients und über den Endpunkt, an den die Nachricht zusammen mit der der Nachricht zugewiesenen Aktion gesendet wurde.

Ereignisse der Dienstautorisierungsüberwachung enthalten die Autorisierungsentscheidung, die vom Dienstautorisierungs-Manager getroffen wird. Sie umfassen Informationen darüber, ob die Autorisierung erfolgreich war oder fehlgeschlagen ist, sowie Informationen über die Identität des Client, den Endpunkt, an den die Nachricht gesendet wurde, die der Nachricht zugewiesene Aktion, die Kennung des Autorisierungskontextes, der aus der eingehenden Nachricht erstellt wurde, und den Typ des Autorisierungs-Managers, der die Zugriffsentscheidung getroffen hat.

Beispiel

<system.serviceModel>
   <serviceBehaviors>
      <behavior name="NewBehavior">
         <serviceSecurityAudit auditLogLocation="Application" 
             suppressAuditFailure="true"
             serviceAuthorizationAuditLevel="Success" 
             messageAuthenticationAuditLevel="Success" />
      </behavior>
   </serviceBehaviors>
</behaviors>

Siehe auch

Verweis

ServiceSecurityAuditElement
ServiceSecurityAuditBehavior

Weitere Ressourcen

Security Behaviors in WCF
Auditing Security Events
How To: Audit Security Events
Service Auditing Behavior