Nepodařilo se zapsat do protokolu auditu
Pokus o zapsánà auditu do protokolu zabezpeÄenà v ProhlÞeÄi událostà se nezdaÅ™il.
Pokud byl úspěšně zaprotokolován jakýkoli audit služby AD FS, monitor přejde do zeleného stavu a původnà kritická výstraha bude automaticky vyřešena.
NÞe jsou vedeny možné pÅ™ÃÄiny této události:
Služba protokolu událostà zabezpeÄenà je nedostupná.
Služba Federation Service nemá správná oprávnÄ›nà pro zápis do protokolu zabezpeÄenÃ.
NÞe jsou uvedeny možná Å™eÅ¡enà této události:
Ověřte v uzlu Služby ve Správci serveru, že jsou spuÅ¡tÄ›ny následujÃcà služby:
Služba ZasÃlánà zpráv o chybách systému Windows
Sběr událostà systému Windows
Protokol událostà systému Windows
UjistÄ›te se, že služba Federation Service má správná oprávnÄ›nà pro zápis do protokolu zabezpeÄenÃ. To zahrnuje ověřenÃ, zda má úÄet služby AD FS oprávnÄ›nà zápisu pro provádÄ›nà auditu. DalÅ¡Ã informace jsou uvedeny v Äásti „Konfigurace auditu pro službu AD FS“ v pÅ™ÃruÄce pro Å™eÅ¡enà problémů se službou AD FS.
Target | Microsoft.ActiveDirectoryFederationServices.2016.FederationServer | ||
Parent Monitor | System.Health.SecurityState | ||
Category | SecurityHealth | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | Normal | ||
Alert Auto Resolve | True | ||
Monitor Type | Microsoft.Windows.2SingleEventLog2StateMonitorType | ||
Remotable | True | ||
Accessibility | Public | ||
Alert Message |
| ||
RunAs | Default |
<UnitMonitor ID="Microsoft.ActiveDirectoryFederationServices.2016.FederationServerFailureWritingToAuditLogMonitor" Accessibility="Public" Enabled="true" Target="Microsoft.ActiveDirectoryFederationServices.2016.FederationServer" ParentMonitorID="Health!System.Health.SecurityState" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.2SingleEventLog2StateMonitorType" ConfirmDelivery="true">
<Category>SecurityHealth</Category>
<AlertSettings AlertMessage="Microsoft.ActiveDirectoryFederationServices.2016.FederationServerFailureWritingToAuditLogMonitor_AlertMessageResourceID">
<AlertOnState>Error</AlertOnState>
<AutoResolve>true</AutoResolve>
<AlertPriority>Normal</AlertPriority>
<AlertSeverity>Error</AlertSeverity>
</AlertSettings>
<OperationalStates>
<OperationalState ID="FirstEventRaised" MonitorTypeStateID="FirstEventRaised" HealthState="Error"/>
<OperationalState ID="SecondEventRaised" MonitorTypeStateID="SecondEventRaised" HealthState="Success"/>
</OperationalStates>
<Configuration>
<FirstComputerName>$Target/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</FirstComputerName>
<FirstLogName>$Target/Property[Type="Microsoft.ActiveDirectoryFederationServices.2016.FederationServer"]/ADFSEventLog$</FirstLogName>
<FirstExpression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">207</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<RegExExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>MatchesMOM2005RegularExpression</Operator>
<Pattern>(^AD FS$)</Pattern>
</RegExExpression>
</Expression>
</And>
</FirstExpression>
<SecondComputerName>$Target/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</SecondComputerName>
<SecondLogName>Security</SecondLogName>
<SecondExpression>
<RegExExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>MatchesMOM2005RegularExpression</Operator>
<Pattern>(^AD FS Auditing$)</Pattern>
</RegExExpression>
</SecondExpression>
</Configuration>
</UnitMonitor>