Assumindo o IIS 7.x, você pode ir ao Gerenciador do Servidor - > Função do IIS - > Adicione Serviços de Função e instale o recurso Rastreamento.
Isso adiciona um módulo de rastreamento de solicitação com falha.
No nível do Site, você precisa usar o painel Ações para Habilitar Rastreamento de Solicitações Falhadas e configurar o número de registros a serem mantidos. Em seguida, você pode configurar uma Regra de Rastreamento de Solicitações com Falha para capturar o que lhe interessa.
401s vão acontecer sempre que HTTP auth for usado, então pode ser difícil capturar um "ruim" se isso não acontecer consistentemente - você pode rastrear com base na página e no código de status se ele for consistente. / p>
401.2 com o substatus 5 pode ser apenas uma dança de autenticação incompleta; certamente se encaixa com uma tentativa de autenticação malsucedida.
Verifique também o log de eventos de segurança em busca de tentativas de logon com falhas. Essa pode ser uma aposta melhor para entender o que está acontecendo.
E se um domínio estiver envolvido, não se esqueça de consultar o registro do sistema e do aplicativo em busca de eventos que possam revelar um problema ao se comunicar com o controlador de domínio.
Por fim, há um hotfix para sites que usam o AppPoolIdentity para impedir que eles parem de funcionar quando a senha da conta do computador é alterada (consulte isso ).
Para IISs antigos, havia uma ferramenta do Resource Kit chamada AuthDiag, que pode ser útil.