ADFS – Activer log et debug sur ADFS

Sur les serveurs ADFS, il est parfois nécessaire de troubleshooter de manière avancé.

Pour ce faire, il faut activer les logs avancé sur ADFS.

Sommaire

ADFS activation des audits

Audits activation

Dans ce cas si, la configuration est réalisée par GPO, mais elle peut aussi être réalisée manuellement via la console secpol.msc.

Se rendre dans :

Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Object Access\Audit Application Generated

Activer l’audit sur Success et Failure.

ADFS logs
Autoriser le compte de service ADFS à loguer

Autoriser le compte de service ADFS à écrire des logs.

Se rendre dans :

Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Generate security audits

Dans cette politique, renseigner le compte de service ADFS :

Get-WmiObject Win32_Service -Filter « Name=’adfssrv' » | select Name, StartName

ADFS logs
ADFS logs

Appliquer la GPO (si GPO il y a) sur les serveurs ADFS.

Debug ADFS

Sur les serveurs ADFS, il est possible de lancer un debug avancé. Pour ce faire, se rendre dans l’Observateur d’événement (eventvwr.msc).

Faire un clic droit puis dans la partie View, sélectionner « Show Analytic and Debug Logs ».

ADFS debug

Il est possible d’activer temporairement les logs debug pour ADFS. Et d’avoir une trace plus fine lors de troubleshooting.

ADFS debug