Référence de la base de données

Nom du champ

Type

Description du champ

EventType

entier

Sessions interactives
0 fermeture / 1 ouverture / 2 verrouillage / 3 déverrouillage / 4 connexion refusée / 5 reconnexion / 6 déconnexion
20: Connexions Interactives refusées par Active Directory
420: Connexions RDP refusées par Active Directory (Voir LogonInfo pour détails)

Sessions d'accès à distance Wi-Fi/VPN
200 fermeture / 201 / 204 connexion refusée
220 Connexions refusées par Active Directory (Voir LogonInfo pour détails)

Sessions IIS
100 fermeture / 101 ouverture / 104 connexion refusée
120: Connexions refusées par Active Directory (Voir LogonInfo pour détails)

EventTime

heure et date

Date et heure de l'événement d'ouverture/fermeture de session

UserAccount

chaîne

Compte utilisateur

UserDomain

chaîne

Domaine de l'utilisateur

UserFullName

chaîne

Nom complet de l'utilisateur

ComputerName

chaîne

La station de travail ou le serveur de terminal

ComputerSession

entier

0 console locale / >1 pour les sessions terminal

ClientName

chaîne

Nom de la station de travail ou nom du terminal pour une session terminal

ClientAddress

chaîne

Adresse de la station de travail ou du terminal (adresse MAC pour les sessions Wi-Fi, sinon adresse IP).

SessionId

chaîne

Identificateur de session (unique dans le temps)

SubSessionId

entier

Identificateur de sous-session. Incrémenté par 1 après chaque événement de déverrouillage ou de connexion (nouvelle sous-session)

Status

entier

0 normal, 1 événement de fermeture de session inséré pour des raisons de cohérence (Ex: ouverture d'une nouvelle session alors que l'ancienne était encore enregistrée dans UserLock), 2 événement de fermeture de session inséré par l'outil de correction de la base (non publié pour l'instant)/ 3 événement de fermeture de session inséré à la suite d'un crash d'une machine.

ErrorId

chaîne

Non nul uniquement si l'événement de session n'a pas pu être notifié en temps réel au serveur UserLock. Cela peut arriver dans les cas suivants :

• La connexion réseau n'est pas encore initialisée
• Les prérequis ne sont pas respectés
• Le service UserLock n'est pas démarré

LastError

entier

Différent de 0 uniquement si l'événement de session n'a pas pu être notifié en temps réel au serveur UserLock. Consultez la documentation du champ ErrorId ci-dessus pour plus de détails.

Param1 à Param6

chaîne

Champs dynamiques pour les événements de sessions NPS/RRAS/IIS

Id

entier

Identifiant de l'enregistrement (automatique)

LogonInfo

entier

La signification de cette valeur est liée à la valeur de champs EventType associé.

Raisons détaillées d'une connexion réussie lorsque le champs EventType associé = 1:
128: MFA réussie (sauf si la valeur du champ "SkipReason" est différente de "-1", voir la documentation de ce champ ci-dessous).

Raisons détaillées d'un refus de connexion par UserLock lorsque le champs EventType associé = 4, 104 ou 204.
1 : Restriction de Groupe
2 : Restriction de Postes de travail
4 : Restriction de temps
8 : Restriction Quota de temps
16 : Restriction de Sessions
32 : Restriction de Points d'accès initiaux
64 : L'utilisateur est bloqué par UserLock
128: MFA échouée (lorsqu'un utilisateur tape un code MFA incorrect et que sa session est refusée)
256: MFA annulée (lorsqu'un utilisateur clique sur le bouton «Annuler» d'une fenêtre MFA)
512: Demande d'aide (lorsqu'un utilisateur clique sur le bouton "Demander de l'aide" d'une fenêtre MFA).
1024: Restriction de géolocalisation
2048: UserLock inaccessible

Un refus de connexion par UserLock peut avoir plusieurs raisons. C'est pourquoi la valeur enregistrée est une valeur cumulative. Par exemple 25 correspond à l'application conjointe de restrictions de Groupe, Utilisateur et Quotas de temps (1 + 16 + 8).

Raisons détaillées d'un refus de connexion par UserLock lorsque le champs EventType associé =20, 220 ou 420:
0 : Inconnue
1 : Utilisateur invalide
2 : Mot de passe invalide
4 : Compte verrouillé
8 : Les horloges du contrôleur de domaine et de la station sont désynchronisées
16 : Le mot de passe doit être changer avant l'ouverture de la session
32 : Restriction Active Directory
64 : Restriction de compte
128 : ​Restriction d'heures de connexion
256 : Compte désactivé
512 : Restriction de station
1024 : Compte expiré
2048 : ​Mot de passe expiré

Les refus de connexions par Active Directory étant exclusifs, la valeur enregistrée sera toujours une seule valeur de cette liste.

Raison détaillée d'un refus de connexion par UserLock lorsque le champs EventType associé = 120:
2 : Mot de passe invalide

SessionType

entier

Champs réservé pour une utilisation future

ServerAddress

chaîne

L'adresse IP de l'ordinateur où s'est déroulé l'événement de session.

TimeZoneShift

entier

Décalage horaire par rapport à UTC (Temps universel coordonné), en minutes.
Ce champ est rempli uniquement pour les événements de sessions interactives.

SkipReason

entier

Relatif au bouton “Passer” optionnellement affiché dans la boîte de dialogue de configuration MFA.
-1: Passer n'a pas été cliqué.
1: Passer a été cliqué, puis la raison suivante a été choisie: "J'ai oublié mon smartphone".
2: Passer a été cliqué, puis la raison suivante a été choisie: "Je n'ai pas de smartphone".
3: Passer a été cliqué, puis la raison suivante a été choisie: "Autre raison technique".

Nom du champ

Type

Description du champ

Id

entier

Identifiant de l'enregistrement (automatique)

Status

entier

Statut actuel de l'utilisateur.
0 : Non protégé
1 : Protégé
2 : Inactif
3 : Nouveau
4 : Risque
5 : Haut risque

Triggers

entier

Identifiant des conditions remarquables pour la déduction du statut actuel de l'utilisateur.
Valeurs en hexadécimal:
0x00000001 : Protégé
0x00000002 : Premier évènement
0x00000004 : Evènement
0x00000008 : Evènement après une période
0x00000010 : Inactivité
0x00000020 : Accès refusé pour un compte verrouillé dans Active Directory
0x00000040 : Sessions au-delà des limites
0x00000080 : Sessions au-delà d'une valeur personnalisée
0x00000100 : Accès refusé par UserLock
0 : Accès refusé par Active Directory

OldStatus

entier

Statut précédent de l'utilisateur.
0 : Non protégé
1 : Protégé
2 : Inactif
3 : Nouveau
4 : Risque
5 : Haut risque

OldTriggers

entier

Identifiant des conditions remarquables pour la déduction du précédent statut de l'utilisateur.
Valeurs en hexadécimal:
0x00000001 : Protégé
0x00000002 : Premier évènement
0x00000004 : Evènement
0x00000008 : Evènement après une période
0x00000010 : Inactivité
0x00000020 : Accès refusé pour un compte verrouillé dans Active Directory
0x00000040 : Sessions au-delà des limites
0x00000080 : Sessions au-delà d'une valeur personnalisée
0x00000100 : Accès refusé par UserLock
0 : Accès refusé par Active Directory

UserAccount

chaîne

Compte utilisateur

UserDomain

chaîne

Domaine de l'utilisateur

UserFullName

chaîne

Nom complet de l'utilisateur

SessionId

chaîne

Identificateur de session (unique dans le temps)

SubSessionId

entier

Identificateur de sous-session. Incrémenté par 1 après chaque événement de déverrouillage ou de connexion (nouvelle sous-session)

EventType

entier

Sessions interactives
0 fermeture / 1 ouverture / 2 verrouillage / 3 déverrouillage / 4 connexion refusée / 5 reconnexion / 6 déconnexion
20: Connexions Interactives refusées par Active Directory
420: Connexions RDP refusées par Active Directory (Voir LogonInfo de la table UserLogonEvents pour détails)

Sessions d'accès à distance Wi-Fi/VPN
200 fermeture / 201 / 204 connexion refusée
220 Connexions refusées par Active Directory (Voir LogonInfo de la table UserLogonEvents pour détails)

Sessions IIS
100 fermeture / 101 ouverture / 104 connexion refusée
120: Connexions refusées par Active Directory (Voir LogonInfo de la table UserLogonEvents pour détails)

EventTime

heure et date

Date et heure de l'événement d'ouverture/fermeture de session