简介

UAL 是 Microsoft Windows Server 版本中默认包含的一项功能，从 Server 2012 开始。根据Microsoft的定义，UAL 是一项“以 IP 地址和用户名的形式记录已安装产品的唯一客户端访问请求和本地服务器上的角色。”

这意味着 UAL 记录用户对 Windows 服务器上运行的各种服务的访问。

访问记录到磁盘上的数据库，其中包含有关访问的服务类型、执行访问的用户帐户以及发生访问的源 IP 地址的信息。UAL 的一个关键要素是每条记录都基于用户名、源 IP 和访问的服务的组合——因此它自然适合识别对系统的异常或罕见访问。

在默认设置下，此信息最多保留三年。这些数据在法医调查中非常有价值。不幸的是，数字取证社区明显缺乏对此类数据的认识。许多取证解决方案不解析这些数据库，因此威胁分析师可能会错过与调查相关的数据。

在哪里可以找到 UAL 数据

UAL 数据库文件存储在目录 C:\Windows\System32\LogFiles\Sum 下。在此目录中，您最多可以找到五个扩展名为 .mdb 的可扩展存储引擎 (ESE) 数据库文件。

例如：

上面显示的文件包括：