Accès aux journaux des utilisateurs
La journalisation des accès utilisateur vous permet de quantifier le nombre de demandes client uniques des rôles et des services sur un serveur local.
Important
La journalisation des accès ordinateur est installée et activée par défaut. Vous pouvez arrêter et désactiver la journalisation des utilisation à l’aide de Windows PowerShell, de la commande Net Start ou de Netsh.exe.
À l’aide de la journalisation des éléments, vous pouvez :
Quantifier les éléments suivants pour les serveurs locaux (physiques ou virtuels) :
- Demandes d’utilisateur client
- Demandes des utilisateurs clients pour les produits logiciels installés
Récupérer des données sur un serveur local exécutant Hyper-V pour identifier les périodes de forte et de faible demande sur une VM Hyper-V.
Récupérer des données à partir de plusieurs serveurs distants (physiques ou virtuels).
Conseil
Vous pouvez récupérer des données de journalisation des informations de journalisation à l’aide d’interfaces WMI ou Windows PowerShell.
Quels sont les rôles et les services de serveur pris en charge ?
La journalisation des services prend en charge les rôles de serveur et les services suivants :
- Services de certificats Active Directory (AD CS)
- Services AD RMS (Active Directory Rights Management Services)
- BranchCache
- DNS (Domain Name System)
- Protocole DHCP (Dynamic Host Configuration Protocol)
- Serveur de télécopie
- Services de fichiers
- Serveur FTP
- Hyper-V
- Serveur Web (IIS)
- Services MSMQ (Microsoft Message Queue)
- Services de stratégie réseau et d'accès
- Services d'impression et de numérisation de document
- Service Routage et accès à distance
- Services de déploiement Windows (WDS)
- Windows Server Update Services (WSUS)
Quelles sont les données enregistrées ?
La journalisation des appareils peut enregistrer les données relatives aux utilisateurs et aux appareils. Le tableau suivant décrit les données relatives aux utilisateurs journalisées par la journalisation des utilisateurs.
| Données | Description |
|---|---|
| UserName | Nom d’utilisateur du client qui accompagne les entrées de journalisation des accès utilisateur provenant des rôles et produits installés, le cas échéant. |
| ActivityCount | Nombre de fois qu’un utilisateur accède à un rôle ou un service. |
| FirstSeen | Date et heure auxquelles un utilisateur accède pour la première fois à un rôle ou un service. |
| LastSeen | Date et heure auxquelles un utilisateur accède pour la dernière fois à un rôle ou un service. |
| ProductName | Nom du produit parent logiciel (par exemple, Windows) qui fournit les données de journalisation des accès utilisateur. |
| RoleGUID | GUID affecté ou inscrit par la journalisation des accès utilisateur, et qui représente le rôle de serveur ou le produit installé. |
| RoleName | Nom du rôle, composant ou sous-produit qui fournit les données de journalisation des accès utilisateur. Ce nom est également associé à une valeur ProductName et à une valeur RoleGUID. |
| TenantIdentifier | GUID unique du client d’un rôle ou d’un produit installé qui accompagne les données de journalisation des accès utilisateur, le cas échéant. |
Le tableau suivant décrit les données relatives aux appareils journalisées par la journalisation des appareils.
| Données | Description |
|---|---|
| IPAddress | Adresse IP d’un périphérique client qui est utilisé pour accéder à un rôle ou un service. |
| ActivityCount | Nombre de fois qu’un utilisateur accède à un rôle ou un service. |
| FirstSeen | Date et heure auxquelles une adresse IP est utilisée pour la première fois pour accéder à un rôle ou un service. |
| LastSeen | Date et heure auxquelles une adresse IP est utilisée pour la dernière fois pour accéder à un rôle ou un service. |
| ProductName | Nom du produit parent logiciel (par exemple, Windows) qui fournit les données de journalisation des accès utilisateur. |
| RoleGUID | GUID affecté ou inscrit par la journalisation des accès utilisateur, et qui représente le rôle de serveur ou le produit installé. |
| RoleName | Nom du rôle, composant ou sous-produit qui fournit les données de journalisation des accès utilisateur. Ce nom est également associé à une valeur ProductName et à une valeur RoleGUID. |
| TenantIdentifier | GUID unique du client d’un rôle ou d’un produit installé qui accompagne les données de journalisation des accès utilisateur, le cas échéant. |
Notes
Les données de journalisation des informations de journalisation sont stockées dans C:\ Windows \System32\LogFiles\Sum.
Conseil
Dans la mesure où la journalisation des accès utilisateur enregistre le nom d’utilisateur, l’adresse IP source et les détails du service en cours d’accès, il peut vous aider à identifier une activité inhabituelle ou suspecte.
Collecter les données de journalisation des informations
Vous pouvez utiliser Windows PowerShell pour collecter des données de journalisation. Le tableau suivant décrit les cmdlets disponibles.
| Applet de commande | Description |
|---|---|
| Get-UalOverview | fournit des détails associés à la journalisation des accès utilisateur et l’historique des rôles et produits installés. |
| Get-UalServerUser | fournit les données des accès des utilisateurs clients pour le serveur local ou ciblé. |
| Get-UalServerDevice | fournit les données des accès des périphériques clients pour le serveur local ou ciblé. |
| Get-UalUserAccess | fournit les données des accès des utilisateurs clients pour chaque rôle ou produit installé sur le serveur local ou ciblé. |
| Get-UalDeviceAccess | fournit les données des accès des périphériques clients pour chaque rôle ou produit installé sur le serveur local ou ciblé. |
| Get-UalDailyUserAccess | fournit les données des accès des utilisateurs clients pour chaque jour de l’année. |
| Get-UalDailyDeviceAccess | fournit les données des accès des périphériques clients pour chaque jour de l’année. |
| Get-UalDailyAccess | fournit à la fois les données des accès des périphériques et des utilisateurs clients pour chaque jour de l’année. |
| Get-UalHyperV | fournit les données d’ordinateur virtuel qui se rapportent au serveur local ou ciblé. |
| Get-UalDns | fournit les données spécifiques de client DNS du serveur DNS local ou ciblé. |
| Get-UalSystemId | fournit les données spécifiques au système permettant d’identifier de façon unique le serveur local ou ciblé. |