Home
  •  

監査ログへの書き込みに必要な特権がありません

Microsoft.ActiveDirectoryFederationServices20.FederationServerInsufficientPrivilegesWritingToAuditLogErrorMonitor (UnitMonitor)

Knowledge Base article:

概要

このモニターは、AD FS 2.0 Windows サービスに関連付けられているサービス アカウントに、イベント ビューアーのセキュリティ ログに監査を書き込むために必要な特権がないことを示しています。

AD FS 2.0 監査が正常にログに記録されている場合、モニターは緑の状態に変化し、元の重大アラートは自動的に解決します。

原因

フェデレーション サービスに、イベント ソースをセキュリティ ログに登録するための適切なアクセス許可がありません。

解決方法

フェデレーション サービスに、セキュリティ ログに書き込むための適切なアクセス許可があることを確認します。 これには、AD FS 2.0 サービス アカウントに監査を実行するための書き込みアクセス許可があることを確認する作業も含まれます。 詳細については、「 AD FS 2.0 トラブルシューティング ガイド (英語の可能性あり)」の AD FS 2.0 の監査の構成に関するセクションを参照してください。

Element properties:

TargetMicrosoft.ActiveDirectoryFederationServices20.FederationServer
Parent MonitorSystem.Health.SecurityState
CategorySecurityHealth
EnabledTrue
Alert GenerateTrue
Alert SeverityError
Alert PriorityNormal
Alert Auto ResolveTrue
Monitor TypeMicrosoft.Windows.2SingleEventLog2StateMonitorType
RemotableTrue
AccessibilityPublic
Alert Message
監査ログへの書き込みに必要な特権がありません
サービス アカウントには、Windows セキュリティ監査ログへの書き込みに必要な特権がありません。
RunAsDefault

Source Code:

<UnitMonitor ID="Microsoft.ActiveDirectoryFederationServices20.FederationServerInsufficientPrivilegesWritingToAuditLogErrorMonitor" Accessibility="Public" Enabled="true" Target="Microsoft.ActiveDirectoryFederationServices20.FederationServer" ParentMonitorID="Health!System.Health.SecurityState" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.2SingleEventLog2StateMonitorType" ConfirmDelivery="true">

  <Category>SecurityHealth</Category>

  <AlertSettings AlertMessage="Microsoft.ActiveDirectoryFederationServices20.FederationServerInsufficientPrivilegesWritingToAuditLogErrorMonitor_AlertMessageResourceID">

    <AlertOnState>Error</AlertOnState>

    <AutoResolve>true</AutoResolve>

    <AlertPriority>Normal</AlertPriority>

    <AlertSeverity>Error</AlertSeverity>

  </AlertSettings>

  <OperationalStates>

    <OperationalState ID="FirstEventRaised" MonitorTypeStateID="FirstEventRaised" HealthState="Error"/>

    <OperationalState ID="SecondEventRaised" MonitorTypeStateID="SecondEventRaised" HealthState="Success"/>

  </OperationalStates>

  <Configuration>

    <FirstComputerName>$Target/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</FirstComputerName>

    <FirstLogName>$Target/Property[Type="Microsoft.ActiveDirectoryFederationServices20.FederationServer"]/ADFSEventLog$</FirstLogName>

    <FirstExpression>

      <And>

        <Expression>

          <SimpleExpression>

            <ValueExpression>

              <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

            </ValueExpression>

            <Operator>Equal</Operator>

            <ValueExpression>

              <Value Type="UnsignedInteger">208</Value>

            </ValueExpression>

          </SimpleExpression>

        </Expression>

        <Expression>

          <RegExExpression>

            <ValueExpression>

              <XPathQuery Type="String">PublisherName</XPathQuery>

            </ValueExpression>

            <Operator>MatchesMOM2005RegularExpression</Operator>

            <Pattern>(^AD FS$)|(^AD FS 2.0$)</Pattern>

          </RegExExpression>

        </Expression>

      </And>

    </FirstExpression>

    <SecondComputerName>$Target/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</SecondComputerName>

    <SecondLogName>Security</SecondLogName>

    <SecondExpression>

      <RegExExpression>

        <ValueExpression>

          <XPathQuery Type="String">PublisherName</XPathQuery>

        </ValueExpression>

        <Operator>MatchesMOM2005RegularExpression</Operator>

        <Pattern>(^AD FS Auditing$)|(^AD FS 2.0 Auditing$)</Pattern>

      </RegExExpression>

    </SecondExpression>

  </Configuration>

</UnitMonitor>