現在、Windows Server 2012 R2 用 AD FS では、1 つの要求に対して多数の監査イベントが生成され、ログインまたはトークン発行アクティビティに関する関連情報が存在しない (AD FS の一部のバージョンでは) か、複数の監査イベントに分散されています。 既定では、AD FS 監査イベントは、その詳細な性質により無効になります。
Windows Server 2016 の AD FS のリリースにより、監査はより合理化され、詳細が少なくなりました。
Windows Server 2016 用 AD FS の監査レベル
既定では、Windows Server 2016 の AD FS では基本的な監査が有効になっています。 基本的な監査では、管理者には 1 つの要求に対して 5 つ以下のイベントが表示されます。 これにより、1 つの要求を表示するために管理者が確認する必要があるイベントの数が大幅に減少します。 監査レベルは、PowerShell コマンドレット Set-AdfsProperties -AuditLevel を使用して上げたり下げたりできます。 次の表では、使用可能な監査レベルについて説明します。
| 監査レベル | PowerShell 構文 | 説明 |
|---|---|---|
| 無し | Set-AdfsProperties - AuditLevel なし | 監査は無効になっており、イベントはログに記録されません。 |
| Basic (既定値) | Set-AdfsProperties - 監査レベル ベーシック | 1 つの要求に対してログに記録されるイベントは 5 個以下です |
| 詳細 | Set-AdfsProperties - AuditLevel 詳細 | すべてのイベントがログに記録されます。 これにより、要求ごとに大量の情報が記録されます。 |
現在の監査レベルを表示するには、PowerShell コマンドレット Get-AdfsProperties を使用します。
監査レベルは、PowerShell コマンドレット Set-AdfsProperties -AuditLevel を使用して上げたり下げたりできます。
監査イベントの種類
AD FS 監査イベントは、AD FS によって処理されるさまざまな種類の要求に基づいて、さまざまな種類にすることができます。 監査イベントの種類ごとに、特定のデータが関連付けられています。 監査イベントの種類は、ログイン要求 (つまりトークン要求) とシステム要求 (構成情報のフェッチを含むサーバーとサーバーの呼び出し) の間で区別できます。
次の表では、基本的な種類の監査イベントについて説明します。
| 監査イベントの種類 | イベント ID | 説明 |
|---|---|---|
| 新しい資格情報の検証の成功 | 1202 | フェデレーション サービスによって新しい資格情報が正常に検証される要求。 これには、WS-Trust、WS-Federation、SAML-P (SSO を生成するための最初のレグ)、OAuth 承認エンドポイントが含まれます。 |
| 新しい資格情報の検証エラー | 1203 | フェデレーション サービスでの資格情報の新規検証に失敗した要求。 これには、WS-Trust、WS-Fed、SAML-P (SSO を生成するための最初の手順) と OAuth 承認エンドポイントが含まれます。 |
| アプリケーション トークンの成功 | 1200 | フェデレーション サービスによってセキュリティ トークンが正常に発行される要求。 WS-Federation の場合、要求が SSO アーティファクトで処理されるときに、これがログに記録 SAML-P。 (SSO Cookie など)。 |
| アプリケーション トークンエラー | 1201 | フェデレーション サービスでセキュリティ トークンの発行に失敗した要求。 WS-Federation の場合、SAML-P 要求が SSO アーティファクトで処理されたときにログに記録されます。 (SSO Cookie など)。 |
| パスワード変更要求の成功 | 1204 | フェデレーション サービスによってパスワード変更要求が正常に処理されたトランザクション。 |
| パスワード変更要求エラー | 1205 | パスワード変更要求がフェデレーション サービスによって処理できなかったトランザクション。 |
| サインアウトに成功しました | 1206 | サインアウト要求の成功について説明します。 |
| サインアウトエラー | 1207 | 失敗したサインアウト要求について説明します。 |