Home
  •  

감사 로그 이벤트 원본을 등록할 수 없음

Microsoft.ActiveDirectoryFederationServices.2016.FederationServerAuditLogEventSourceCouldNotBeRegisteredErrorMonitor (UnitMonitor)

Knowledge Base article:

요약

이 모니터는 AD FS 감사 로그 이벤트 원본을 이벤트 뷰어의 Windows 보안 감사 로그에 등록할 수 없음을 나타냅니다.

AD FS 감사가 성공적으로 기록된 경우, 모니터가 녹색 상태로 변경되고 중요 경고가 자동으로 해결됩니다.

원인

페더레이션 서비스에서 Windows 이벤트 로그를 사용하여 감사를 초기화하지 못했습니다. 원인은 Windows 오류 코드와 이벤트에 반환된 예외 데이터 때문일 수 있습니다.

해결 방법

문제를 더 자세히 진단하려면 이벤트에 포함된 오류 코드와 예외 텍스트를 검토하십시오.

Element properties:

TargetMicrosoft.ActiveDirectoryFederationServices.2016.FederationServer
Parent MonitorSystem.Health.SecurityState
CategorySecurityHealth
EnabledTrue
Alert GenerateTrue
Alert SeverityError
Alert PriorityNormal
Alert Auto ResolveTrue
Monitor TypeMicrosoft.Windows.2SingleEventLog2StateMonitorType
RemotableTrue
AccessibilityPublic
Alert Message
감사 로그 이벤트 원본을 등록할 수 없음
Windows 보안 감사 로그에 대해 이벤트 원본을 등록하는 중 오류가 발생했습니다.
RunAsDefault

Source Code:

<UnitMonitor ID="Microsoft.ActiveDirectoryFederationServices.2016.FederationServerAuditLogEventSourceCouldNotBeRegisteredErrorMonitor" Accessibility="Public" Enabled="true" Target="Microsoft.ActiveDirectoryFederationServices.2016.FederationServer" ParentMonitorID="Health!System.Health.SecurityState" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.2SingleEventLog2StateMonitorType" ConfirmDelivery="true">

  <Category>SecurityHealth</Category>

  <AlertSettings AlertMessage="Microsoft.ActiveDirectoryFederationServices.2016.FederationServerAuditLogEventSourceCouldNotBeRegisteredErrorMonitor_AlertMessageResourceID">

    <AlertOnState>Error</AlertOnState>

    <AutoResolve>true</AutoResolve>

    <AlertPriority>Normal</AlertPriority>

    <AlertSeverity>Error</AlertSeverity>

  </AlertSettings>

  <OperationalStates>

    <OperationalState ID="FirstEventRaised" MonitorTypeStateID="FirstEventRaised" HealthState="Error"/>

    <OperationalState ID="SecondEventRaised" MonitorTypeStateID="SecondEventRaised" HealthState="Success"/>

  </OperationalStates>

  <Configuration>

    <FirstComputerName>$Target/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</FirstComputerName>

    <FirstLogName>$Target/Property[Type="Microsoft.ActiveDirectoryFederationServices.2016.FederationServer"]/ADFSEventLog$</FirstLogName>

    <FirstExpression>

      <And>

        <Expression>

          <SimpleExpression>

            <ValueExpression>

              <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

            </ValueExpression>

            <Operator>Equal</Operator>

            <ValueExpression>

              <Value Type="UnsignedInteger">209</Value>

            </ValueExpression>

          </SimpleExpression>

        </Expression>

        <Expression>

          <RegExExpression>

            <ValueExpression>

              <XPathQuery Type="String">PublisherName</XPathQuery>

            </ValueExpression>

            <Operator>MatchesMOM2005RegularExpression</Operator>

            <Pattern>(^AD FS$)</Pattern>

          </RegExExpression>

        </Expression>

      </And>

    </FirstExpression>

    <SecondComputerName>$Target/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</SecondComputerName>

    <SecondLogName>Security</SecondLogName>

    <SecondExpression>

      <RegExExpression>

        <ValueExpression>

          <XPathQuery Type="String">PublisherName</XPathQuery>

        </ValueExpression>

        <Operator>MatchesMOM2005RegularExpression</Operator>

        <Pattern>(^AD FS Auditing$)</Pattern>

      </RegExExpression>

    </SecondExpression>

  </Configuration>

</UnitMonitor>