What is User Access Logging and how to use it

By Andrei Ungureanu - Last updated: Tuesday, April 10, 2018 - Save & Share - Leave a Comment

User Access Logging (zis si UAL) este inca un feature obscur al Windows Server (prezent incepand cu versiunea 2012) necunoscut de majoritatea administratorilor si inca ma mir ca a reusit sa isi faca aparitia si in urmatoarele versiuni de Windows Server.

UAL este un serviciu ce colecteaza date despre utilizarea anumitor componente si vine instalat si activat by default.

image

Puteti controla serviciul din consola services sau cu alte variante din command prompt. Pentru mediile high performance unde stiti ca nu aveti nevoie de asa ceva, puteti sa il opriti (genereaza IO-uri suplimentare si va consuma si spatiu pe disk). Serviciul stocheaza date de pe ultimii doi ani, asa ca intr-un mediu utilizat intens o sa stocheze multa informatie pe disk.

Dar sa vedem si cum putem sa interogam datele stocate de acest serviciu.

Prima comanda ar fi Get-UAL ce ne va spune daca serviciul ruleaza sau nu.

image

Urmeaza Get-UALOverview ce ne arata toate componentele pentru care sunt colectate date de utilizare.

image

Sau mai bine asa:

image

Ce nu apare in lista de mai sus este rolul DNS pentru care exista si o comanda speciala, Get-UALDNS:

image

Pe un sistem de test (in cazul meu) informatiile sunt putin confuze, insa pe un sistem de productie veti putea vedea numele si ip-urile clientilor ce au interogat serverul DNS.

Este o metoda foarte utila de a vedea daca un anumit server de DNS este utilizat si de catre cine (fara a mai folosi Wireshark).

Cu Get-UalDailyAccess putem vedea un raport pe ultimele 24 de ore si il putem filtra sa ne arate doar informatiile necesare (gen doar Active Directory):

image

Dar iata si lista cu toate comenzile disponibile:

Get-UalOverview: Provides UAL related details and history of installed products and roles.

Get-UalServerUser: Provides client user access data for the local or targeted server.

Get-UalServerDevice: Provides client device access data for the local or targeted server.

Get-UalUserAccess: Provides client user access data for each role or product installed on the local or targeted server.

Get-UalDeviceAccess: Provides client device access data for each role or product installed on the local or targeted server.

Get-UalDailyUserAccess: Provides client user access data for each day of the year.

Get-UalDailyDeviceAccess: Provides client device access data for each day of the year.

Get-UalDailyAccess: Provides both client device and user access data for each day of the year.

Get-UalHyperV: Provides virtual machine data relevant to the local or targeted server.

Get-UalDns: Provides DNS client specific data of the local or targeted DNS server.

Get-UalSystemId: Provides system specific data to uniquely identify the local or targeted server.

Ce trebuie sa stiti este ca aceste informatii nu sunt afisate real time (cu toate ca informatiile sunt culese realtime pentru majoritatea serviciilor). Baza de date pe care se fac interogarile este updatata o data la 24 de ore. Se pot face modificari in registry pentru a modifica aceasta valoare si gasiti tot ce va trebuie in documentatia oficiala:

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/jj574126(v%3dws.11)

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/hh849634%28v%3dws.11%29

Posted in Windows Server • Tags: Top Of Page

Write a comment