如何在 Windows 2012 R21 上启用 Kerberos 日志记录

如何在 Windows 2012 R21 上启用 Kerberos 日志记录

如何在 Windows Server 2012 上启用和查看 Kerberos 请求日志?

我在 Windows Server 2012 R2 上运行 IIS 8.5。我想查看与 Kerberos 相关的成功和失败消息(就像在其他/早期版本的 Windows 上一样)。

我已启用此项:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters (LogLevel=1)(并重新启动)

IIS 设置为 Windows Auth,且在提供程序部分仅启用“协商”。

当 Kerberos 成功时,我在安全日志中看不到成功审核事件。在 Kerberos 日志方面,我根本看不到太多信息。我在系统事件日志中看到偶尔的错误,但没有其他信息。

是否可以在 Windows 2012 R2 中收集和查看 Kerberos 事件?如果可以,如何操作?

答案1

您的注册表项已正确输入。您甚至不需要重新启动。

如果LogLevel设置为非零值,则所有 Kerberos错误将会被记录在系统事件日志。Kerberos“成功”的记录方式不同。(Kerberos 错误包括AP_ERR_MODIFIEDPRINCIPAL_UNKNOWN等。)

LogLevel设置对显示的内容没有影响安全事件日志。

一直以来都是这样运作的。Server 2012 R2 在这方面也不例外。

另一方面,如果您希望在安全事件日志中看到更多详细的 Kerberos 票证活动的“审核成功”和“审核失败”事件(目前尚未看到),则需要设置高级审计策略...我相信大多数事件仅记录在 KDC/域控制器上。(例如

答案2

日志记录有几个不同的子类别。您应该运行auditpol /list /subcategory:*以查看所有子类别。要查看配置的值,请​​运行auditpol /get /Category:*

我们在查找事件 ID 4768(Kerberos 票证)事件时遇到了麻烦,但通过这种方式检查策略,我们启用了正确的策略以使它们再次显示在安全日志中。

相关内容