현재 Windows Server 2012 R2의 AD FS에서는 단일 요청에 대해 여러 감사 이벤트가 생성됩니다. 일부 버전의 AD FS에서는 로그인 또는 토큰 발급 활동에 대한 관련 정보가 없거나 여러 감사 이벤트에 걸쳐 분산되어 있습니다. AD FS 기본적으로 감사 이벤트의 자세한 특성으로 인해 해제 됩니다.
Windows Server 2016에서 AD FS가 출시됨에 따라 감사 절차가 더욱 효율적이고 간략화되었습니다.
Windows Server 2016 용 AD FS의 감사 수준
기본적으로 Windows Server 2016에서는 AD FS의 기본 감사가 활성화되어 있습니다. 기본 감사 검토 시 관리자는 단일 요청 당 이벤트가 5개 이하로 나타납니다. 관리자는 단일 요청을 확인하기 위해 살펴봐야 하는 이벤트 수가 크게 감소합니다. 감사 수준은 PowerShell cmdlet Set-AdfsProperties -AuditLevel을 사용하여 높이거나 낮출 수 있습니다. 아래 표에서 사용할 수 있는 감사 수준을 설명합니다.
| 감사 수준 | PowerShell 구문 | 설명 |
|---|---|---|
| 없음 | Set-AdfsProperties - AuditLevel 없음 | 감사가 비활성화되며 이벤트가 기록되지 않습니다. |
| Basic (기본값) | Set-AdfsProperties - 감사 수준 기본 | 단일 요청에 대 한 5 개 이하의 이벤트가 기록 됩니다. |
| 장황한 | Set-adfsproperties-AuditLevel 세부 정보 표시 | 모든 이벤트가 기록 됩니다. 이 상당한 양의 요청당 정보를 기록 합니다. |
현재 감사 수준을 보려면 PowerShell cmdlet Get-AdfsProperties를 사용할 수 있습니다.
감사 수준은 PowerShell cmdlet Set-AdfsProperties -AuditLevel을 사용하여 높이거나 낮출 수 있습니다.
감사 이벤트 유형
AD FS 감사 이벤트는 AD FS에서 처리하는 요청의 유형에 따라 서로 다른 형식일 수 있습니다. 각 유형의 감사 이벤트는 해당 이벤트와 관련된 특정 데이터를 포함합니다. 감사 이벤트의 유형 시스템 요청 (페칭 (fetching) 구성 정보를 포함 하는 서버 호출)와 로그인 요청 (즉, 토큰 요청) 간의 구분할 수 있습니다.
아래 표에서 기본 유형의 감사 이벤트를 설명합니다.
| 감사 이벤트 유형 | 이벤트 ID | 설명 |
|---|---|---|
| 새 자격 증명 유효성 검사 성공 | 1202 | 새 자격 증명이 페더레이션 서비스에 의해 성공적으로 요청이 유효하게 검사되었습니다. SAML-P(SSO를 생성하려면 첫 번째 구간), WS-Federation, WS-Trust 및 OAuth 권한 부여 엔드포인트를 포함합니다. |
| 새 자격 증명 유효성 검사 오류 | 1203 | 페더레이션 서비스에서 새로운 자격 증명 유효성 검사가 실패한 요청입니다. WS-Trust, WS-Fed, SAML-P (SSO를 생성하기 위한 첫 단계) 및 OAuth 권한 부여 엔드포인트를 포함합니다. |
| 애플리케이션 토큰 성공 | 1200 | 페더레이션 서비스에서 보안 토큰이 성공적으로 발급된 요청입니다. WS-Federation, SAML-P 이 이벤트는 SSO 아티팩트로 요청이 처리될 때 기록됩니다. (예: SSO 쿠키). |
| 애플리케이션 토큰 실패 | 1201 | 페더레이션 서비스에서 보안 토큰 발급에 실패한 요청입니다. WS-Federation, SAML-P에서 이 요청이 SSO 아티팩트와 함께 처리될 때 로그가 기록됩니다. (예: SSO 쿠키). |
| 암호 변경 요청 성공 | 1204 | 페더레이션 서비스에서 암호 변경 요청이 성공적으로 처리된 트랜잭션입니다. |
| 암호 변경 요청 오류 | 1205 | 페더레이션 서비스에서 처리할 수 있는 암호 변경 요청 트랜잭션이 실패 했습니다. |
| 로그 아웃 성공 | 1,206 | 로그아웃 요청이 성공적으로 이루어진 것을 설명합니다. |
| 로그 아웃 실패 | 1,207 | 실패한 로그아웃 요청을 설명합니다. |