Compartilhar via


<serviceSecurityAudit>

Especifica as configurações que permitem a auditoria de eventos de segurança durante operações de serviço.

<configuration>
  <system.serviceModel>
    <behaviors>
      <serviceBehaviors>
        <behavior>
          <serviceSecurityAudit>

Syntax

<serviceSecurityAudit auditLogLocation="Default/Application/Security"
                      messageAuthenticationAuditLevel="None/Success/Failure/SuccessOrFailure"
                      serviceAuthorizationAuditLevel="None/Success/Failure/SuccessOrFailure"
                      suppressAuditFailure="Boolean" />

Atributos e elementos

As seções a seguir descrevem atributos, elementos filho e elementos pai.

Atributos

Atributo Descrição
auditLogLocation Especifica o local do log de auditoria. Os valores válidos incluem os seguintes:

– Padrão: os eventos de segurança são gravados no log do aplicativo no Windows XP e no Log de Eventos no Windows Server 2003 e no Windows Vista.
– Aplicativo: os eventos de auditoria são gravados no Log de Eventos do Aplicativo.
– Segurança: os eventos de auditoria são gravados no Log de Evento de Segurança.

O valor padrão é Default. Para obter mais informações, consulte AuditLogLocation.
suppressAuditFailure Um valor booliano que especifica o comportamento para suprimir falhas de gravação no log de auditoria.

Os aplicativos devem ser notificados por falhas de gravação no log de auditoria. Se o aplicativo não for projetado para lidar com falhas de auditoria, você deverá usar esse atributo para suprimir falhas por escrito no log de auditoria.

Se esse atributo for true, exceções diferentes de OutOfMemoryException, StackOverFlowException, ThreadAbortException e ArgumentException resultantes de tentativas de gravar eventos de auditoria serão tratadas pelo sistema e não serão propagadas para o aplicativo. Se esse atributo for false, todas as exceções resultantes de tentativas de gravar eventos de auditoria serão passadas para o aplicativo.

O padrão é true.
serviceAuthorizationAuditLevel Especifica os tipos de eventos de autorização que são registrados no log de auditoria. Os valores válidos incluem os seguintes:

– None: nenhum evento de auditoria de autorização de serviço é realizado.
– Success: somente eventos de autorização de serviço bem-sucedidos são auditados.
– Failure: somente eventos de autorização do serviço de falha são auditados.
– SuccessOrFailure: os eventos de autorização do serviço de êxito e falha são auditados.

O valor padrão é Nenhum. Para obter mais informações, consulte AuditLevel.
messageAuthenticationAuditLevel Especifica o tipo de eventos de auditoria de autenticação de mensagem registrados. Os valores válidos incluem os seguintes:

– None: nenhum evento de auditoria é gerado.
– Success: somente eventos de segurança bem-sucedidos (validação completa, incluindo validação de assinatura de mensagem, codificação e validação de token) são registrados.
– Failure: somente eventos com falha são registrados.
– SuccessOrFailure: os eventos com sucesso e falha são registrados.

O valor padrão é Nenhum. Para obter mais informações, consulte AuditLevel.

Elementos filho

Nenhum.

Elementos pai

Elemento Descrição
<behavior> Especifica um elemento de comportamento.

Comentários

Esse elemento de configuração é usado para auditar eventos de autenticação do WCF (Windows Communication Foundation). Quando a auditoria está habilitada, as tentativas de autenticação bem-sucedidas ou com falha (ou ambas) podem ser auditadas. Os eventos são gravados em um dos três logs de eventos: aplicativo, segurança ou o log padrão para a versão do sistema operacional. Todos os logs de eventos podem ser exibidos usando o visualizador de eventos do Windows.

Para um exemplo detalhado do uso desse elemento de configuração, confira Comportamento de Auditoria de Serviço.

Por padrão, no Windows XP, os eventos de auditoria podem ser vistos no Log de Aplicativos; no Windows Server 2003 e no Windows Vista, os eventos de auditoria podem ser vistos no Log de Segurança. O local dos eventos de auditoria pode ser especificado definindo o atributo auditLogLocation como "Aplicativo" ou "Segurança". Para mais informações, confira Como auditar eventos de segurança. Se os eventos forem gravados no Log de Segurança, LocalSecurityPolicy-> Enable Object Access deverá ser definido como "Success" e "Failure".

Ao examinar o log de eventos, a origem dos eventos de auditoria é "ServiceModel Audit 3.0.0.0". Os registros de auditoria de autenticação de mensagem têm uma categoria de "MessageAuthentication", enquanto os registros de auditoria de autorização de serviço têm uma categoria de "ServiceAuthorization".

Os eventos de auditoria de autenticação de mensagem abordam se a mensagem foi adulterada, se a mensagem expirou e se o cliente pode se autenticar no serviço. Eles fornecem informações sobre se a autenticação foi bem-sucedida ou falhou junto com a identidade do cliente e o ponto de extremidade para o qual a mensagem foi enviada junto com a ação associada à mensagem.

Os eventos de auditoria de autorização de serviço abrangem a decisão de autorização tomada por um gerente de autorização de serviço. Eles fornecem informações sobre se a autorização foi bem-sucedida ou falhou junto com a identidade do cliente, o ponto de extremidade para o qual a mensagem foi enviada, a ação associada à mensagem, o identificador do contexto de autorização gerado com base na mensagem de entrada e o tipo do gerenciador de autorização que tomou a decisão de acesso.

Exemplo

<system.serviceModel>
  <behaviors>
    <serviceBehaviors>
      <behavior name="NewBehavior">
        <serviceSecurityAudit auditLogLocation="Application"
                              suppressAuditFailure="true"
                              serviceAuthorizationAuditLevel="Success"
                              messageAuthenticationAuditLevel="Success" />
      </behavior>
    </serviceBehaviors>
  </behaviors>
</system.serviceModel>

Confira também