Windows Server 2016 AD FS 的稽核增強功能
目前,在 Windows Server 2012 R2 的 AD FS 中,有許多針對單一要求而產生的稽核事件,但登入或權杖發行活動的相關資訊則付之闕如 (在某些版本的 AD FS 中),或分散於多個稽核事件間。 AD FS 稽核事件因其資訊龐雜的特性,會預設為關閉。
隨著 Windows Server 2016 中 AD FS 2016 的發行,稽核功能變得更精簡且不冗贅。
Windows Server 2016 AD FS 中的稽核層級
根據預設,Windows Server 2016 中的 AD FS 已啟用基本的稽核功能。 透過基本稽核,系統管理員會看到單一要求的 5 個或更少事件。 這標示著系統管理員為了查看單一要求而必須查看的事件數目大幅減少。 您可以使用下列的 PowerShell Cmdlet 來提高或降低稽核層級:Set-AdfsProperties -AuditLevel。 下表說明可用的稽核層級。
| 稽核層級 | PowerShell 語法 | 描述 |
|---|---|---|
| None | Set-AdfsProperties - AuditLevel None | 稽核功能已停用,且不會記錄任何事件。 |
| 基本 (預設值) | Set-AdfsProperties - AuditLevel Basic | 不會針對單一要求記錄超過 5 個事件 |
| 詳細資訊 | Set-AdfsProperties - AuditLevel Verbose | 會記錄所有事件。 這會記錄每個要求的大量資訊。 |
若要檢視目前的稽核層級,您可以使用下列的 PowerShell Cmdlet:Get-AdfsProperties。
您可以使用下列的 PowerShell Cmdlet 來提高或降低稽核層級:Set-AdfsProperties -AuditLevel。
稽核事件的類型
根據 AD FS 處理的不同要求類型,AD FS 稽核事件可以是不同的類型。 每種稽核事件資料都有與其相關聯的特定資料。 稽核事件的類型可以在登入要求 (即權杖要求) 與系統要求 (包括擷取組態資訊的伺服器對伺服器呼叫) 之間進行區分。
下表描述稽核事件的基本類型。
| 稽核事件類型 | 事件識別碼 | 描述 |
|---|---|---|
| 全新認證驗證成功 | 1202 | 同盟服務成功驗證全新認證的要求。 這包括 WS-Trust、WS-同盟、SAML-P (產生 SSO 的第一站) 和 OAuth 授權端點。 |
| 全新認證驗證錯誤 | 1203 | 同盟服務上全新認證驗證失敗的要求。 這包括 WS-Trust、WS-Fed、SAML-P (產生 SSO 的第一站) 和 OAuth 授權端點。 |
| 應用程式權杖成功 | 1200 | 同盟服務成功發出安全性權杖的要求。 針對 WS-同盟和 SAML-P,這會在使用 SSO 成品處理要求時加以記錄。 (例如 SSO Cookie)。 |
| 應用程式權杖失敗 | 1201 | 同盟服務上安全性權杖發出失敗的要求。 針對 WS-同盟和 SAML-P,這會在使用 SSO 成品處理要求時加以記錄。 (例如 SSO Cookie)。 |
| 密碼變更要求成功 | 1204 | 同盟服務成功處理密碼變更要求的交易。 |
| 密碼變更要求錯誤 | 1205 | 同盟服務無法處理密碼變更要求的交易。 |
| 登出成功 | 1206 | 描述成功的登出要求。 |
| 登出失敗 | 1207 | 描述失敗的登出要求。 |