Partager via

<serviceSecurityAudit>

  • Article

Spécifie des paramètres qui activent l'audit d'événements de sécurité pendant des opérations de service.

<system.serviceModel>
  <behaviors>
    <serviceBehaviors>
      <behavior> de <serviceBehaviors>
        <serviceSecurityAudit>

<serviceSecurityAudit 
      auditLogLocation="Default/Application/Security"
   supressAuditFailure="Boolean"
   serviceAuthorizationAuditLevel="None/Success/Failure/SuccessAndFailure"
   messageAuthenticationLevel= None/Success/Failure/SuccessAndFailure" />

Attributs et éléments

Attributs

Attribut Description

auditLogLocation

Spécifie l'emplacement du journal d'audit. Les valeurs valides sont les suivantes :

  • Default : les événements de sécurité sont écrits dans le journal d'applications sur Windows XP et dans le journal des événements sur Windows Server 2003 et Windows Vista.
  • Application : les événements d'audit sont écrits dans le journal des événements de l'application.
  • Security : les événements d'audit sont écrits dans le journal sécurité.

La valeur par défaut est Default. Pour plus d'informations, consultez AuditLogLocation.

supressAuditFailure

Valeur booléenne qui spécifie le comportement permettant de supprimer les erreurs d'écriture dans le journal d'audit.

Les applications doivent être averties des erreurs d'écriture dans le journal d'audit. Si votre application n'est pas conçue pour gérer les erreurs d'audit, vous devez utiliser cet attribut pour supprimer les erreurs d'écriture dans le journal d'audit.

Si cet attribut a pour valeur true, les exceptions autres qu'OutOfMemoryException, StackOverFlowException, ThreadAbortException et ArgumentException qui résultent de tentatives d'écriture d'événements d'audit sont contrôlées par le système et ne sont pas propagées dans l'application. Si cet attribut a pour valeur false, toutes les exceptions qui résultent de tentatives d'écriture d'événements d'audit sont passées à l'application.

La valeur par défaut est true.

serviceAuthorizationAuditLevel

Spécifie les types d'événements d'autorisation enregistrés dans le journal d'audit. Les valeurs valides sont les suivantes :

  • None : aucun audit d'événements d'autorisation de service n'est exécuté.
  • Success : seuls les événements d'autorisation de service réussis sont audités.
  • Failure : seuls les événements d'autorisation de service en échec sont audités.
  • SuccessAndFailure : les événements d'autorisation de service réussis et en échec sont audités.

La valeur par défaut est None. Pour plus d'informations, consultez AuditLevel.

messageAuthenticationLevel

Spécifie le type d'événements d'audit d'authentification de message enregistrés. Les valeurs valides sont les suivantes :

  • None : aucun événement d'audit n'est généré.
  • Success : seuls les événements de sécurité (validation complète y compris le validation de la signature du message, le chiffrement et la validation de jeton) réussis sont enregistrés.
  • Failure : seuls les événements en échec sont enregistrés.
  • SuccessAndFailure : les événements réussis et en échec sont enregistrés.

La valeur par défaut est None. Pour plus d'informations, consultez AuditLevel.

Éléments enfants

Aucun.

Éléments parents

Élément Description

<behavior> de <endpointBehaviors>

Spécifie un élément de comportement.

Notes

Cet élément de configuration sert à effectuer un audit des événements d'authentification Windows Communication Foundation (WCF). Lorsque l'audit est activé, il est possible de réaliser l'audit des tentatives d'authentification réussies ou échouées (ou les deux). Les événements sont écrits dans l'un des trois journaux des événements : application, sécurité ou journal par défaut de la version du système d'exploitation. Les journaux des événements peuvent être consultés à l'aide de l'Observateur d'événements Windows.

Pour obtenir un exemple détaillé de l'utilisation de cet élément de configuration, consultez Service Auditing Behavior.

Par défaut, les événements d'audit peuvent être consultés sur Windows XP dans le journal d'applications, tandis que sur Windows Server 2003 et Windows Vista, les événements d'audit peuvent être consultés dans le journal de sécurité. L'emplacement des événements d'audit peut être spécifié en affectant à l'attribut auditLogLocation la valeur 'Application' ou 'Security'. Pour plus d'informations, consultez How To: Audit Security Events. Si les événements sont écrits dans le journal de sécurité, LocalSecurityPolicy-> Enable Object Access doit être défini à "Success" et "Failure".

Lors de la consultation du journal des événements, la source des événements d'audit est "ServiceModel Audit 3.0.0.0". Les enregistrements de l'audit d'authentification du message portent la catégorie "MessageAuthentication", tandis que les enregistrements de l'audit d'autorisation du service portent la catégorie "ServiceAuthorization".

Les événements de l'audit d'authentification du message permettent de savoir si le message a été falsifié, s'il a expiré et si le client peut s'authentifier auprès du service. Ils fournissent des informations sur la réussite ou l'échec de l'authentification, ainsi que l'identité du client et le point de terminaison auquel le message a été envoyé, ainsi que l'action associée au message.

Les événements de l'audit d'autorisation du service permettent de connaître la décision d'autorisation prise par un gestionnaire d'autorisation du service. Ils fournissent des informations sur la réussite ou l'échec de l'autorisation, ainsi que l'identité du client, le point de terminaison auquel le message a été envoyé, l'action associée au message, l'identificateur du contexte d'autorisation généré à partir du message entrant et le type du gestionnaire d'autorisations qui a pris la décision d'accès.

Exemple

<system.serviceModel>
   <serviceBehaviors>
      <behavior name="NewBehavior">
         <serviceSecurityAudit auditLogLocation="Application" 
             suppressAuditFailure="true"
             serviceAuthorizationAuditLevel="Success" 
             messageAuthenticationAuditLevel="Success" />
      </behavior>
   </serviceBehaviors>
</behaviors>

Voir aussi

Référence

ServiceSecurityAuditElement
ServiceSecurityAuditBehavior

Autres ressources

Security Behaviors in WCF
Auditing Security Events
How To: Audit Security Events
Service Auditing Behavior