none
Absence evenements specifiques AD-FS RRS feed

  • Question

  • Bonjour,

    Rencontrant actuellement une problématique professionnelle d'obtention d'évènements systèmes AD-FS spécifiques je me permets de solliciter votre expertise sur ce forum.

    Constatant l'absence totale d'évènements de types 403, 404, 410, 411 et 516 sur notre solution centralisé de gestion de logs (WEF), j'ai remarqué qu'aucun de ces évènements n'était également présent au sein du journal d'évènements local des 2 serveurs AD-FS ciblés.

    Après vérification des prérequis nécessaire à la génération de ces derniers je vous précise que les paramètres d'audit sont correctement configurés :

    - Local Security Policy > Object Access > Success Audits + Failure Audits
    - MMC AD-FS > Federation Service Properties > Events > Success + Failure

    Également pris soin de vérifier le paramétrage de taille maximale du journal de sécurité que j'ai augmenté à 50 Mo pour éviter saturation et éventuel écrasement par d'autres types d'évènements.

    Auriez-vous une idée de la non-génération/visibilité de ces derniers ? Quelle technique pourrais-je utiliser pour simuler volontairement des erreurs de tokens d'authentification et donc obtention de logs 4X/5X ?


    Par avance merci.

    Cordialement,

    Thomas
    jeudi 6 juin 2019 08:16

Réponses

  • Bonjour, avez-vous lancé la commande ci-desous sur votre serveur ADFS?

    Set-ADFSProperties -LogLevel Information,Errors,Verbose,Warnings,FailureAudits,SuccessAudits

    auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable


    Cordialement.

    Bonjour Franck,

    Merci pour votre réponse, finalement parvenu à identifier et résoudre cette problématique.

    Ayant cependant déjà appliqué une configuration identique à celle de vos commandes préconisée, le problème se situait en fait à un autre niveau.

    J'ai tout d'abord suspecté avec un collègue une évolution des numéros d'ID d'évènements de journalisation apparus avec ADFS Server 2016 (volonté de simplification de Microsoft).

    Constatant cependant sur la ressource suivante que les évènements de type sécurité restaient similaires en tout point entre les versions d'ADFS Server 2012 R2 et 2016 je suis parti sur une autre piste.

    En reprenant toute la procédure de configuration Microsoft de journalisation AD-FS j'ai tout d'abord constaté une incohérence entre le compte de service de cluster AD-FS configuré sur la Local Policy de génération d'événements et le compte de service réellement exploité.

    Donc ajouté ce dernier sans constater de génération d'évènements 4XX, 5XX sur le moment.

    La vérification puis augmentation pour test du niveau d'audit AD-FS m'aura enfin permis de constater la présence de ces évènements (Basic > Verbose).

    Les évènements de sécurité initialement évoqués tel que le 403 sont ainsi désormais correctement généré et visible au sein du journal de sécurité.


    En espérant que mon commentaire finisse par être utile à une éventuelle personne concernée par cette même problématique.

    Merci de votre aide.

    Cordialement,

    mardi 16 juillet 2019 09:22

Toutes les réponses

  • Bonjour, avez-vous lancé la commande ci-desous sur votre serveur ADFS?

    Set-ADFSProperties -LogLevel Information,Errors,Verbose,Warnings,FailureAudits,SuccessAudits

    auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable


    Cordialement.

    jeudi 6 juin 2019 09:20
  • Bonjour, avez-vous lancé la commande ci-desous sur votre serveur ADFS?

    Set-ADFSProperties -LogLevel Information,Errors,Verbose,Warnings,FailureAudits,SuccessAudits

    auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable


    Cordialement.

    Bonjour Franck,

    Merci pour votre réponse, finalement parvenu à identifier et résoudre cette problématique.

    Ayant cependant déjà appliqué une configuration identique à celle de vos commandes préconisée, le problème se situait en fait à un autre niveau.

    J'ai tout d'abord suspecté avec un collègue une évolution des numéros d'ID d'évènements de journalisation apparus avec ADFS Server 2016 (volonté de simplification de Microsoft).

    Constatant cependant sur la ressource suivante que les évènements de type sécurité restaient similaires en tout point entre les versions d'ADFS Server 2012 R2 et 2016 je suis parti sur une autre piste.

    En reprenant toute la procédure de configuration Microsoft de journalisation AD-FS j'ai tout d'abord constaté une incohérence entre le compte de service de cluster AD-FS configuré sur la Local Policy de génération d'événements et le compte de service réellement exploité.

    Donc ajouté ce dernier sans constater de génération d'évènements 4XX, 5XX sur le moment.

    La vérification puis augmentation pour test du niveau d'audit AD-FS m'aura enfin permis de constater la présence de ces évènements (Basic > Verbose).

    Les évènements de sécurité initialement évoqués tel que le 403 sont ainsi désormais correctement généré et visible au sein du journal de sécurité.


    En espérant que mon commentaire finisse par être utile à une éventuelle personne concernée par cette même problématique.

    Merci de votre aide.

    Cordialement,

    mardi 16 juillet 2019 09:22
  • Bonjour, merci de votre retour.

    N'hésitez pas à valider les réponses nécessaires à la résolution du problème.

    Cordialement.

    mardi 16 juillet 2019 09:34