Как включить И просмотреть журналы для запросов Kerberos на Windows server 2012?
У меня IIS 8.5 работает на Windows server 2012 R2. Я хочу видеть сообщения об успехах и сбоях, связанных с Kerberos (как и в других / более ранних версиях Windows).
Я активировал этот ключ: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa \ Kerberos \ Parameters (LogLevel = 1) (и перезагружен)
IIS настроен на проверку подлинности Windows с включенным только «Согласование» в разделе поставщиков.
Я не вижу Успех Аудит событий в журнале безопасности при успешном выполнении Kerberos. Я не вижу ничего особенного в том, что касается ведения журналов Kerberos. Я вижу случайную ошибку в журнале системных событий, но ничего больше.
Можно ли собирать и просматривать события Kerberos в Windows 2012 R2? Если да, то как?
У вас правильная запись в реестре. Вам даже не нужно перезагружаться.
Если LogLevel
имеет значение, отличное от нуля, то все ошибки Kerberos будут регистрироваться в системе Журнал событий. «Успехи» Kerberos не регистрируются таким же образом. (Ошибки Kerberos - это такие вещи, как AP_ERR_MODIFIED
, PRINCIPAL_UNKNOWN
и т. Д.)
Параметр LogLevel
не влияет на то, что отображается в Однако журнал событий безопасности
Так всегда работало. В этом отношении Server 2012 R2 ничем не отличается.
С другой стороны, если вы ожидаете увидеть более подробные события «Audit Success» и «Audit Failure» для активности тикетов Kerberos в журнале событий безопасности, то вы в настоящее время не отображается, вам необходимо настроить свою расширенную политику аудита ... но я считаю, что большинство этих событий регистрируются только на KDC / контроллерах домена. ( Например .)
Есть несколько различных подкатегорий для ведения журнала. Вы должны запустить auditpol / list / subcategory: *
, чтобы увидеть их все. Чтобы увидеть настроенные значения, запустите auditpol / get /Category:*
.
. У нас возникли проблемы с поиском событий с идентификатором 4768 (билет Kerberos), но, пройдя через политики таким образом, мы включили правильные политики, чтобы они снова отображались в журналах безопасности.