UserLock Documentation
UserLock Documentation
Vous êtes ici: Référence > Avancé > Référence de la base de données

Référence de la base de données

La base de données UserLock est composées de quatre tables:

Vous trouverez ci-dessous la signification de tous les champs de ces tables.

Remarque : La base de données UserLock est disponible en libre accès afin de bénéficier des informations générées et sauvegarder par UserLock. Nous recommandons cependant de ne pas modifier ni sa structure, ni les informations stockées.

Table UserLogonEvents

Nom du champ

Type

Description du champ

EventType

entier

Sessions interactives
0 fermeture / 1 ouverture / 2 verrouillage / 3 déverrouillage / 4 connexion refusée / 5 reconnexion / 6 déconnexion
20: Connexions Interactives refusées par Active Directory
420: Connexions RDP refusées par Active Directory (Voir LogonInfo pour détails)

Sessions d'accès à distance Wi-Fi/VPN
200 fermeture / 201 / 204 connexion refusée
220 Connexions refusées par Active Directory (Voir LogonInfo pour détails)

Sessions IIS
100 fermeture / 101 ouverture / 104 connexion refusée
120: Connexions refusées par Active Directory (Voir LogonInfo pour détails)

Sessions SaaS
500 fermeture / 501 ouverture / 504 connexion refusée par UserLock

EventTime

heure et date

Date et heure de l'événement d'ouverture/fermeture de session

UserAccount

chaîne

Compte utilisateur

UserDomain

chaîne

Domaine de l'utilisateur

UserFullName

chaîne

Nom complet de l'utilisateur

ComputerName

chaîne

La station de travail ou le serveur de terminal

ComputerSession

entier

Identifiant de la session terminal

Country

chaîne

Pays à partir duquel la connexion a été effectuée

ClientName

chaîne

Nom de la station de travail ou nom du terminal pour une session terminal

ClientAddress

chaîne

Adresse de la station de travail ou du terminal (adresse MAC pour les sessions Wi-Fi, sinon adresse IP).

SessionId

chaîne

Identificateur de session (unique dans le temps)

SubSessionId

entier

Identificateur de sous-session. Incrémenté par 1 après chaque événement de déverrouillage ou de connexion (nouvelle sous-session)

Status

entier

0: Pour tous les événements de session, à l'exception des cas ci-dessous.
1: Pour :

  • Les réinitialisations faites depuis la console.
  • Les événements de fermeture de sessions interactives enregistrés automatiquement dans les cas suivants:
    • L'ordinateur ne se trouve plus dans la zone réseau protégée par le serveur UserLock depuis au moins 7 jours.
    • Le paramètre avancé "UnavailableTimeForRemove" est configuré et UserLock ne peut pas contacter l'ordinateur sur lequel la session était en cours pendant au moins le nombre de minutes configuré dans ce paramètre.
    • Le service UserLock a détecté à distance que la session n'existe plus sur cet ordinateur.
3: Pour les événements de fermeture de sessions interactives enregistrés automatiquement après un arrêt ou un crash de l'ordinateur sur lequel la session se déroulait.
Pour les valeurs 1 et 3: Si l'agent de bureau UserLock Desktop de l'ordinateur associé envoie ultérieurement la "vraie" fermeture de session interactive, l'enregistrement de la base de données sera automatiquement mis à jour avec la date de l'événement et le champ "Status" défini sur "0".

ErrorId

chaîne

Non nul uniquement si l'événement de session n'a pas pu être notifié en temps réel au serveur UserLock. Cela peut arriver dans les cas suivants :

  • La connexion réseau n'est pas encore initialisée
  • Les prérequis ne sont pas respectés
  • Le service UserLock n'est pas démarré

LastError

entier

Différent de 0 uniquement si l'événement de session n'a pas pu être notifié en temps réel au serveur UserLock. Consultez la documentation du champ ErrorId ci-dessus pour plus de détails.

Param1 à Param6

chaîne

Champs dynamiques pour les événements de sessions NPS/RRAS/IIS

Id

entier

Identifiant de l'enregistrement (automatique)

LogonInfo

entier

La signification de cette valeur est liée à la valeur du champ EventType associé.

Raisons détaillées d'une connexion réussie lorsque le champs EventType associé = 1, 3, 5, 101, 201 ou 501:
128: MFA réussie (sauf si la valeur du champ "SkipReason" est différente de "-1", voir la documentation de ce champ ci-dessous).

Raisons détaillées d'un refus de connexion par UserLock lorsque le champs EventType associé = 4, 104 ou 204.
1 : Restriction de Groupe
2 : Restriction de Postes de travail
4 : Restriction de temps
8 : Restriction Quota de temps
16 : Restriction de Sessions
32 : Restriction de Points d'accès initiaux
64 : L'utilisateur est bloqué par UserLock
128: MFA échouée (lorsqu'un utilisateur tape un code MFA incorrect et que sa session est refusée)
256: MFA annulée (lorsqu'un utilisateur clique sur le bouton «Annuler» d'une fenêtre MFA)
512: Demande d'aide (lorsqu'un utilisateur clique sur le bouton "Demander de l'aide" d'une fenêtre MFA).
1024: Restriction de géolocalisation
2048: UserLock inaccessible

Un refus de connexion par UserLock peut avoir plusieurs raisons. C'est pourquoi la valeur enregistrée est une valeur cumulative. Par exemple 25 correspond à l'application conjointe de restrictions de Groupe, Utilisateur et Quotas de temps (1 + 16 + 8).

Raisons détaillées d'un refus de connexion par UserLock lorsque le champs EventType associé =20, 220 ou 420:
0 : Inconnue
1 : Utilisateur invalide
2 : Mot de passe invalide
4 : Compte verrouillé
8 : Les horloges du contrôleur de domaine et de la station sont désynchronisées
16 : Le mot de passe doit être changer avant l'ouverture de la session
32 : Restriction Active Directory
64 : Restriction de compte
128 : ​Restriction d'heures de connexion
256 : Compte désactivé
512 : Restriction de station
1024 : Compte expiré
2048 : ​Mot de passe expiré

Les refus de connexions par Active Directory étant exclusifs, la valeur enregistrée sera toujours une seule valeur de cette liste.

Raison détaillée d'un refus de connexion par UserLock lorsque le champs EventType associé = 120:
2 : Mot de passe invalide

SessionType

entier

Type de Session:
1 = Station
2 = Terminal
4 = IIS
16 = VPN
32 = Wi-Fi
64 = SSO

ServerAddress

chaîne

L'adresse IP de l'ordinateur où s'est déroulé l'événement de session.

TimeZoneShift

entier

Décalage horaire par rapport à UTC (Temps universel coordonné), en minutes.
Ce champ est rempli uniquement pour les événements de sessions interactives.

SkipReason

entier

Relatif au bouton “Passer” optionnellement affiché dans la boîte de dialogue de configuration MFA.
-1: Passer n'a pas été cliqué.
1: Passer a été cliqué, puis la raison suivante a été choisie: "J'ai oublié mon smartphone".
2: Passer a été cliqué, puis la raison suivante a été choisie: "Je n'ai pas de smartphone".
3: Passer a été cliqué, puis la raison suivante a été choisie: "Autre raison technique".

Table UserStatus

Nom du champ

Type

Description du champ

Id

entier

Identifiant de l'enregistrement (automatique)

Status

entier

Statut actuel de l'utilisateur.
0 : Non protégé
1 : Protégé
2 : Inactif
3 : Nouveau
4 : Risque
5 : Haut risque

Triggers

entier

Identifiant des conditions remarquables pour la déduction du statut actuel de l'utilisateur.
Valeurs en hexadécimal:
0x00000001 : Protégé
0x00000002 : Premier évènement
0x00000004 : Evènement
0x00000008 : Evènement après une période
0x00000010 : Inactivité
0x00000020 : Accès refusé pour un compte verrouillé dans Active Directory
0x00000040 : Sessions au-delà des limites
0x00000080 : Sessions au-delà d'une valeur personnalisée
0x00000100 : Accès refusé par UserLock
0 : Accès refusé par Active Directory

OldStatus

entier

Statut précédent de l'utilisateur.
0 : Non protégé
1 : Protégé
2 : Inactif
3 : Nouveau
4 : Risque
5 : Haut risque

OldTriggers

entier

Identifiant des conditions remarquables pour la déduction du précédent statut de l'utilisateur.
Valeurs en hexadécimal:
0x00000001 : Protégé
0x00000002 : Premier évènement
0x00000004 : Evènement
0x00000008 : Evènement après une période
0x00000010 : Inactivité
0x00000020 : Accès refusé pour un compte verrouillé dans Active Directory
0x00000040 : Sessions au-delà des limites
0x00000080 : Sessions au-delà d'une valeur personnalisée
0x00000100 : Accès refusé par UserLock
0 : Accès refusé par Active Directory

UserAccount

chaîne

Compte utilisateur

UserDomain

chaîne

Domaine de l'utilisateur

UserFullName

chaîne

Nom complet de l'utilisateur

SessionId

chaîne

Identificateur de session (unique dans le temps)

SubSessionId

entier

Identificateur de sous-session. Incrémenté par 1 après chaque événement de déverrouillage ou de connexion (nouvelle sous-session)

EventType

entier

Sessions interactives
0 fermeture / 1 ouverture / 2 verrouillage / 3 déverrouillage / 4 connexion refusée / 5 reconnexion / 6 déconnexion
20: Connexions Interactives refusées par Active Directory
420: Connexions RDP refusées par Active Directory (Voir LogonInfo de la table UserLogonEvents pour détails)

Sessions d'accès à distance Wi-Fi/VPN
200 fermeture / 201 / 204 connexion refusée
220 Connexions refusées par Active Directory (Voir LogonInfo de la table UserLogonEvents pour détails)

Sessions IIS
100 fermeture / 101 ouverture / 104 connexion refusée
120: Connexions refusées par Active Directory (Voir LogonInfo de la table UserLogonEvents pour détails)

EventTime

heure et date

Date et heure de l'événement d'ouverture/fermeture de session

AdminAction

Nom du champ

Type

Description du champ

Id

integer

ID de l’enregistrement (auto)

ServerName

string

Nom du serveur

Kind

integer
  • 0: action sur les sessions
  • 1: action sur les machines
  • 2: action sur les utilisateurs
  • 3: action sur les comptes protégés (stratégies)
  • 4: action sur les propriétés du serveur

  • 0: installation d'agent(s)
  • 1: désinstallation d’agent(s)
  • 2: redémarrage de machine(s)
  • 3: arrêt de machine(s)
  • 4: réveil de machine(s)
  • 10: fermeture de la (des) session(s)
  • 11: verrouillage de la (des) session(s)
  • 12: réinitialiser la (les) session(s)
  • 13: envoyer une popup à la (aux) session(s)
  • 20: réinitialiser la clé Mfa
  • 21: réinitialiser le statut de l'aide Mfa
  • 30: création de stratégie
  • 31: mise à jour de stratégie
  • 32: suppression de stratégie
  • 33: bloquer un utilisateur
  • 34: débloquer un utilisateur
  • 35: désactiver la Mfa
  • 40: mise à jour des paramètres du serveur
  • 41: mise à jour de la version du serveur

DateStart

date time

Date et heure de début de l'action de l'administrateur

DateEnd

date time

Date et heure de fin de l'action de l'administrateur

UserAccount

string

Nom du compte utilisateur à l’origine de l’action

Priority

integer
  • 0: Faible
  • 1: Moyenne
  • 2: Haute

Severity

integer
  • 0: Mineure
  • 1: Modérée
  • 2: Majeure
  • 3: Critique

DisplayState

integer
  • 0: Non-lu
  • 1: Lu

UserAccountFullName

string

Nom complet du compte utilisateur à l’origine de l’action

Domain

string

Nom du domaine

AdminActionResults

Field name

Data type

Field description

Id

integer

Record id (auto)

ServerName

string

Server name

AdminActionId

integer

AdminAction identifier

Item

string

The setting changed by the admin action

Param1

string

Dynamic fields

Param2

string

Dynamic fields

Param3

string

Dynamic fields

Param4

string

Dynamic fields

Param5

string

Dynamic fields

Param6

string

Dynamic fields

StateResult

integer
  • 0: Succeeded
  • 1: Canceled
  • 2: Failed

Details

string

Details about the admin action