<serviceSecurityAudit>
Legt Einstellungen fest, die die Überwachung von Sicherheitsereignissen während der Dienstvorgänge ermöglichen.
Schemahierarchie
<<system.serviceModel>>
<behaviors>
<serviceBehaviors>
<behavior> von <serviceBehaviors>
<serviceSecurityAudit>
Syntax
<serviceSecurityAudit
auditLogLocation="Default/Application/Security"
messageAuthenticationAuditLevel= None/Success/Failure/SuccessAndFailure" serviceAuthorizationAuditLevel="None/Success/Failure/SuccessAndFailure"
suppressAuditFailure="Boolean"
/>
Attribute und Elemente
In den folgenden Abschnitten werden Attribute, untergeordnete Elemente sowie übergeordnete Elemente beschrieben.
Attribute
Attribut | Beschreibung |
---|---|
auditLogLocation |
Gibt den Speicherort des Überwachungsprotokolls an. Folgende Werte sind gültig:
Der Standardwert lautet Default. Weitere Informationen finden Sie unter AuditLogLocation. |
suppressAuditFailure |
Boolescher Wert, der das Verhalten für das Unterdrücken von Fehlern beim Schreiben in das Überwachungsprotokoll angibt. Anwendungen sollten über Schreibfehler im Überwachungsprotokoll benachrichtigt werden. Wenn die Anwendung nicht für das Verarbeiten von Überwachungsfehlern ausgelegt ist, sollten Sie dieses Attribut verwenden, um Fehler beim Schreiben in das Überwachungsprotokoll zu unterdrücken. Wenn dieses Attribut den Wert true hat, werden Ausnahmen (außer OutOfMemoryException, StackOverFlowException, ThreadAbortException und ArgumentException), die aus Versuchen, Überwachungsereignisse zu schreiben, hervorgehen, vom System verarbeitet und nicht an die Anwendung weitergegeben. Wenn dieses Attribut den Wert false hat, werden alle Ausnahmen, die aus Versuchen, Überwachungsereignisse zu schreiben, hervorgehen, an die Anwendung weitergegeben. Die Standardeinstellung ist true. |
serviceAuthorizationAuditLevel |
Gibt die Typen von Autorisierungsereignissen an, die im Überwachungsprotokoll aufgezeichnet werden. Folgende Werte sind gültig:
Der Standardwert ist None. Weitere Informationen finden Sie unter AuditLevel. |
messageAuthenticationAuditLevel |
Gibt den Typ der protokollierten Nachrichtenauthentifizierungs-Überwachungsereignisse an. Folgende Werte sind gültig:
Der Standardwert ist None. Weitere Informationen finden Sie unter AuditLevel. |
Untergeordnete Elemente
Keine.
Übergeordnete Elemente
Element | Beschreibung |
---|---|
Gibt ein Verhaltenselement an. |
Hinweise
Mit diesem Konfigurationselement werden Windows Communication Foundation (WCF)-Authentifizierungsereignisse überwacht. Ist die Überwachung aktiviert, können entweder erfolgreiche oder fehlgeschlagene Authentifizierungsversuche (oder beides) überwacht werden. Die Ereignisse werden in eines der drei Ereignisprotokolle geschrieben: das Anwendungs-, Sicherheits- oder Standardprotokoll für die Betriebssystemversion. Die Ereignisprotokolle können alle mit der Windows-Ereignisanzeige angezeigt werden.
Ein ausführliches Beispiel für die Verwendung dieses Konfigurationselements finden Sie unter Service Auditing Behavior.
Standardmäßig können unter Windows XP die Überwachungsereignisse im Anwendungsprotokoll und unter Windows Server 2003 und Windows Vista im Sicherheitsprotokoll angezeigt werden. Der Speicherort von Überwachungsereignissen kann durch Festlegen des auditLogLocation-Attributs auf "Application" oder "Security" angegeben werden. Weitere Informationen finden Sie unter How To: Audit Security Events. Wenn die Ereignisse in das Sicherheitsprotokoll geschrieben werden, sollte LocalSecurityPolicy-> Objektzugriff aktivieren auf "Erfolg" und "Fehler" eingestellt werden.
Im Ereignisprotokoll ist die Quelle der Überwachungsereignisse "ServiceModel Audit 3.0.0.0". Nachrichtenauthentifizierungsüberwachungs-Datensätze weisen die Kategorie "MessageAuthentication" auf, während Dienstautorisierungsüberwachungs-Datensätze die Kategorie 'ServiceAuthorization' aufweisen.
Ereignisse der Nachrichtenauthentifizierungsüberwachung zeigen an, ob die Nachricht manipuliert wurde, abgelaufen ist und ob der Client für den Dienst authentifiziert werden kann. Sie enthalten Informationen darüber, ob die Authentifizierung erfolgreich war oder fehlgeschlagen ist, sowie Informationen über die Identität des Clients und über den Endpunkt, an den die Nachricht zusammen mit der der Nachricht zugewiesenen Aktion gesendet wurde.
Ereignisse der Dienstautorisierungsüberwachung enthalten die Autorisierungsentscheidung, die vom Dienstautorisierungs-Manager getroffen wird. Sie umfassen Informationen darüber, ob die Autorisierung erfolgreich war oder fehlgeschlagen ist, sowie Informationen über die Identität des Client, den Endpunkt, an den die Nachricht gesendet wurde, die der Nachricht zugewiesene Aktion, die Kennung des Autorisierungskontextes, der aus der eingehenden Nachricht erstellt wurde, und den Typ des Autorisierungs-Managers, der die Zugriffsentscheidung getroffen hat.
Beispiel
<system.serviceModel>
<serviceBehaviors>
<behavior name="NewBehavior">
<serviceSecurityAudit auditLogLocation="Application"
suppressAuditFailure="true"
serviceAuthorizationAuditLevel="Success"
messageAuthenticationAuditLevel="Success" />
</behavior>
</serviceBehaviors>
</behaviors>
Siehe auch
Verweis
ServiceSecurityAuditElement
ServiceSecurityAuditBehavior
Weitere Ressourcen
Security Behaviors in WCF
Auditing Security Events
How To: Audit Security Events
Service Auditing Behavior