如何在 Windows Server 2012 上启用和查看 Kerberos 请求日志?
我在 Windows Server 2012 R2 上运行 IIS 8.5。我想查看与 Kerberos 相关的成功和失败消息(就像在其他/早期版本的 Windows 上一样)。
我已启用此项:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters (LogLevel=1)(并重新启动)
IIS 设置为 Windows Auth,且在提供程序部分仅启用“协商”。
当 Kerberos 成功时,我在安全日志中看不到成功审核事件。在 Kerberos 日志方面,我根本看不到太多信息。我在系统事件日志中看到偶尔的错误,但没有其他信息。
是否可以在 Windows 2012 R2 中收集和查看 Kerberos 事件?如果可以,如何操作?
答案1
您的注册表项已正确输入。您甚至不需要重新启动。
如果LogLevel设置为非零值,则所有 Kerberos错误将会被记录在系统事件日志。Kerberos“成功”的记录方式不同。(Kerberos 错误包括AP_ERR_MODIFIED、PRINCIPAL_UNKNOWN等。)
该LogLevel设置对显示的内容没有影响安全事件日志。
一直以来都是这样运作的。Server 2012 R2 在这方面也不例外。
另一方面,如果您希望在安全事件日志中看到更多详细的 Kerberos 票证活动的“审核成功”和“审核失败”事件(目前尚未看到),则需要设置高级审计策略...但我相信大多数事件仅记录在 KDC/域控制器上。(例如。
答案2
日志记录有几个不同的子类别。您应该运行auditpol /list /subcategory:*以查看所有子类别。要查看配置的值,请运行auditpol /get /Category:*。
我们在查找事件 ID 4768(Kerberos 票证)事件时遇到了麻烦,但通过这种方式检查策略,我们启用了正确的策略以使它们再次显示在安全日志中。