Background
Quando um processo de autenticação e autorização não está se comportando como você gostaria que estivesse, uma das primeiras ações a se fazer é habilitar o debug para as classes relacionadas a segurança.
Algumas vezes também, preciso liberar o acesso anonymous ou dar alguma permissão especial a algum recurso via spring-security. Para isso você precisa configurar o arquivo applicationContext-spring-security.xml e informar quais URL's dos recursos serão configuradas.
Então, para descobrir quais URL's são necessárias configurar para alcançar seu objetivo é necessário habilitar o log security, que permitirá identificá-las.
Referência
