Журнал доступа пользователей
Ведение журнала доступа пользователей (UAL) помогает определить количество уникальных запросов клиентов на роли и службы на локальном сервере.
Внимание
UAL устанавливается и включается по умолчанию. UAL можно остановить и отключить с помощью Windows PowerShell, команды Net Start, или используя Netsh.exe.
С помощью UAL можно выполнять следующие задачи:
Количество указанных ниже элементов для локальных серверов (физических или виртуальных):
- запросы пользователей клиента;
- запросы пользователей клиента на установленные программные продукты;
Получение данных на локальном сервере под управлением Hyper-V для определения периодов повышенного и пониженного потребления ресурсов на виртуальной машине Hyper-V.
Получение данных с нескольких удаленных серверов (физических или виртуальных).
Совет
Данные UAL можно извлекать с помощью инструментария WMI или интерфейсов Windows PowerShell.
Какие роли и службы сервера поддерживаются?
UAL поддерживает следующие роли и службы сервера:
- Службы сертификатов Active Directory (AD CS)
- Службы управления правами Active Directory (AD RMS)
- BranchCache
- Служба доменных имен (DNS)
- Протокол DHCP
- Факс-сервер
- Файловые службы
- FTP-сервер
- Hyper-V
- Веб-сервер (IIS)
- Службы очереди сообщений Майкрософт (MSMQ)
- Службы политики сети и доступа
- Службы печати и документов
- Служба маршрутизации и удаленного доступа (RRAS)
- Службы развертывания Windows (WDS)
- Службы Windows Server Update Services (WSUS)
Какие данные заносятся в журнал?
UAL может регистрировать данные, относящиеся к пользователю и устройству. В следующей таблице описаны связанные с пользователем данные, регистрируемые с помощью UAL.
| Данные | Описание |
|---|---|
| Имя пользователя | Имя пользователя на стороне клиента, сопровождающее записи UAL, полученные из установленных ролей и продуктов, если это применимо. |
| КоличествоАктивностей | Количество обращений отдельного пользователя к роли или службе. |
| FirstSeen | Дата и время первого доступа пользователя к роли или службе. |
| LastSeen | Дата и время последнего доступа пользователя к роли или службе. |
| НаименованиеПродукта | Имя родительского программного продукта (например, Windows), предоставляющего данные UAL. |
| RoleGUID | Идентификатор GUID, назначенный или зарегистрированный UAL, представляющий роль сервера или установленный продукт. |
| НазваниеРоли | Имя роли, компонента или подпродукта, предоставляющего данные UAL. Оно также связано с компонентами ProductName и RoleGUID. |
| ИдентификаторАрендатора | Уникальный код GUID для клиента установленной роли или продукта, сопровождающий данные UAL, если применимо. |
В следующей таблице описаны связанные с устройством данные, регистрируемые с помощью UAL.
| Данные | Описание |
|---|---|
| IP-адрес | IP-адрес клиентского устройства, использующегося для доступа к роли или службе. |
| КоличествоАктивностей | Количество обращений отдельного устройства к роли или службе. |
| FirstSeen | Дата и время, когда IP-адрес первый раз использовался для доступа к роли или службе. |
| LastSeen | Дата и время, когда IP-адрес последний раз использовался для доступа к роли или службе. |
| НаименованиеПродукта | Имя родительского программного продукта (например, Windows), предоставляющего данные UAL. |
| RoleGUID | Идентификатор GUID, назначенный или зарегистрированный UAL, представляющий роль сервера или установленный продукт. |
| НазваниеРоли | Имя роли, компонента или подпродукта, предоставляющего данные UAL. Оно также связано с компонентами ProductName и RoleGUID. |
| ИдентификаторАрендатора | Уникальный код GUID для клиента установленной роли или продукта, сопровождающий данные UAL, если применимо. |
Примечание.
Данные UAL хранятся в папке C:\Windows\System32\LogFiles\Sum.
Совет
UAL сохраняет в журнале имя пользователя, IP-адрес источника и подробную информацию о службе, к которой осуществляется доступ, поэтому на основе этих данных можно определить необычную или подозрительную активность.
Получение данных UAL
Для получения данных UAL можно использовать Windows PowerShell. В следующей таблице описаны доступные командлеты.
| Командлет | Описание |
|---|---|
| Get-UalOverview | Предоставляет подробные сведения о UAL и журнал установленных продуктов и ролей. |
| Get-UalServerUser | Предоставляет данные доступа к пользователю клиента для локального или целевого сервера. |
| Get-UalServerDevice | Предоставляет данные доступа к клиентскому устройству для локального или целевого сервера. |
| Get-UalUserAccess | Предоставляет данные о доступе пользователей клиента для каждой роли или продукта, установленного на локальном или целевом сервере. |
| Get-UalDeviceAccess | Предоставляет данные доступа к клиентскому устройству для каждой роли или продукта, установленного на локальном или целевом сервере. |
| Get-UalDailyUserAccess | Предоставляет данные о доступе пользователей клиента за каждый день года. |
| Get-UalDailyDeviceAccess | Предоставляет данные доступа к клиентскому устройству для каждого дня года. |
| Get-UalDailyAccess | Предоставляет данные о доступе к клиентскому устройству и пользователю в течение каждого дня года. |
| Get-UalHyperV | Предоставляет данные виртуальной машины, относящиеся к локальному или целевому серверу. |
| Get-UalDns | Предоставляет определенные данные DNS-клиента локального или целевого DNS-сервера. |
| Get-UalSystemId | Предоставляет данные, относящиеся к системе, для уникальной идентификации локального или целевого сервера. |