ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Event Viewer displaying Security log entries with Event ID 4906 on a professional monitoring dashboard
Event ID 4906InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4906 – Microsoft-Windows-Security-Auditing : Une tentative d'enregistrement d'une source d'événement de sécurité a été effectuée

L'ID d'événement 4906 se déclenche lorsqu'une application ou un service tente de s'enregistrer comme source d'événements de sécurité dans le système de journal des événements Windows, généralement lors de l'installation de logiciels ou du démarrage de services.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 4906Microsoft-Windows-Security-Auditing 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 4906 est généré par le sous-système d'audit de sécurité de Windows chaque fois qu'un processus tente d'enregistrer une nouvelle source d'événements de sécurité. Cet enregistrement est une condition préalable pour toute application ou service qui souhaite écrire des événements dans le journal de sécurité ou se constituer en tant que source d'événements reconnue dans l'architecture du journal des événements Windows.

Le processus d'enregistrement implique la création d'entrées de registre sous HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Security et potentiellement d'autres catégories de journal des événements. Windows valide les autorisations et le contexte de sécurité du processus demandeur avant de permettre à l'enregistrement de se poursuivre. L'événement capture à la fois les tentatives d'enregistrement réussies et échouées, offrant aux administrateurs une visibilité complète sur les activités de gestion des sources d'événements.

Cet événement est particulièrement pertinent dans les environnements d'entreprise où les outils de surveillance de la sécurité, les logiciels antivirus et les applications personnalisées enregistrent fréquemment des sources d'événements. Les informations enregistrées incluent l'ID du processus, le chemin de l'exécutable, le contexte utilisateur et le nom spécifique de la source d'événements en cours d'enregistrement. Les cadres de sécurité modernes dans Windows Server 2025 et Windows 11 24H2 ont amélioré cette journalisation pour inclure un contexte supplémentaire sur l'origine et le but de la demande d'enregistrement.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Processus d'installation de logiciels enregistrant de nouvelles sources d'événements lors de la configuration
  • Services Windows initialisant leurs capacités de journalisation des événements au démarrage
  • Outils de surveillance de la sécurité établissant leur infrastructure de journalisation
  • Logiciels antivirus ou de protection des points de terminaison enregistrant des sources d'événements
  • Applications personnalisées mettant en œuvre l'intégration du journal des événements Windows
  • Composants système enregistrant des sources d'événements supplémentaires après des mises à jour
  • Outils de gestion tiers établissant des capacités de journalisation d'audit
  • Scripts PowerShell ou outils administratifs créant de nouvelles sources d'événements par programmation
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails spécifiques de l'occurrence de l'ID d'événement 4906 pour comprendre ce qui a déclenché la tentative d'enregistrement.

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez pour l'ID d'événement 4906 en cliquant avec le bouton droit sur le journal Sécurité et en sélectionnant Filtrer le journal actuel
  4. Entrez 4906 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur une entrée récente de l'ID d'événement 4906 pour voir des informations détaillées
  6. Examinez les champs clés suivants dans les détails de l'événement:
    • Nom du processus: L'exécutable qui a initié l'enregistrement
    • ID du processus: Le PID du processus demandeur
    • Nom du compte: Le contexte utilisateur sous lequel l'enregistrement a eu lieu
    • Nom de la source: Le nom de la source de l'événement en cours d'enregistrement
  7. Recoupez le nom du processus avec des applications connues pour vérifier la légitimité
Astuce pro : Utilisez l'onglet Détails dans l'Observateur d'événements pour copier des valeurs de champs spécifiques à des fins d'investigation ou de documentation.
02

Interroger les événements avec PowerShell

Utilisez PowerShell pour analyser de manière programmatique les occurrences de l'ID d'événement 4906 et extraire des informations détaillées pour l'enquête.

  1. Ouvrez PowerShell en tant qu'administrateur
  2. Interrogez les entrées récentes de l'ID d'événement 4906 :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4906} -MaxEvents 20 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap
  3. Extrayez les propriétés détaillées de l'événement pour l'analyse :
    $events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4906} -MaxEvents 10
foreach ($event in $events) {
    $eventXML = [xml]$event.ToXml()
    $processName = $eventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'ProcessName'} | Select-Object -ExpandProperty '#text'
    $sourceName = $eventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'SourceName'} | Select-Object -ExpandProperty '#text'
    Write-Host "Time: $($event.TimeCreated) | Process: $processName | Source: $sourceName"
}
  4. Filtrez les événements par plage horaire spécifique si vous enquêtez sur un incident particulier :
    $startTime = (Get-Date).AddHours(-24)
$endTime = Get-Date
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4906; StartTime=$startTime; EndTime=$endTime}
  5. Exportez les résultats pour une analyse plus approfondie :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4906} -MaxEvents 50 | Export-Csv -Path "C:\Temp\Event4906_Analysis.csv" -NoTypeInformation
03

Enquêter sur les entrées de source d'événements du registre

Examinez le Registre Windows pour vérifier les enregistrements des sources d'événements et identifier toute entrée suspecte ou non autorisée.

  1. Ouvrez l'Éditeur du Registre en appuyant sur Win + R, en tapant regedit, et en appuyant sur Entrée
  2. Accédez à l'emplacement principal du registre des journaux d'événements :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog
  3. Examinez la sous-clé Sécurité pour voir les sources d'événements de sécurité enregistrées :
    HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Security
  4. Cherchez les entrées de sources d'événements récemment créées ou suspectes en vérifiant :
    • Les noms de sous-clés qui ne correspondent pas aux applications connues
    • Les sources d'événements avec des noms inhabituels ou génériques
    • Les horodatages récemment modifiés sur les clés de registre
  5. Pour chaque source d'événement suspecte, examinez les valeurs de registre suivantes :
    • EventMessageFile : Pointe vers la DLL contenant les messages d'événements
    • TypesSupported : Définit quels types d'événements la source peut générer
    • CategoryMessageFile : Spécifie les ressources de messages de catégorie
  6. Recoupez le chemin EventMessageFile avec le processus qui a déclenché l'ID d'événement 4906
  7. Utilisez PowerShell pour interroger les informations du registre de manière programmatique :
    Get-ChildItem "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\Security" | ForEach-Object {
    $sourceName = $_.PSChildName
    $messageFile = Get-ItemProperty -Path $_.PSPath -Name "EventMessageFile" -ErrorAction SilentlyContinue
    if ($messageFile) {
        Write-Host "Source: $sourceName | Message File: $($messageFile.EventMessageFile)"
    }
}
Avertissement : Ne modifiez ni ne supprimez les entrées du registre à moins d'être certain qu'elles sont malveillantes. Supprimer des sources d'événements légitimes peut perturber la fonctionnalité de journalisation des applications.
04

Corréler avec l'activité des processus et des fichiers

Enquêter sur les processus et les fichiers associés à l'ID d'événement 4906 pour déterminer si les tentatives d'enregistrement sont légitimes ou potentiellement malveillantes.

  1. Utilisez Process Monitor (ProcMon) pour surveiller en temps réel l'activité du registre et des fichiers lors des enregistrements de sources d'événements
  2. Téléchargez ProcMon depuis Microsoft Sysinternals si ce n'est pas déjà disponible
  3. Configurez les filtres ProcMon pour se concentrer sur l'activité liée au journal des événements:
    • Définissez le filtre d'activité des processus et des threads pour inclure les opérations du registre
    • Ajoutez un filtre de chemin contenant "EventLog" pour capturer l'accès pertinent au registre
    • Incluez l'activité du système de fichiers pour les exécutables mentionnés dans l'ID d'événement 4906
  4. Analysez les fichiers exécutables qui ont déclenché l'enregistrement de la source d'événement:
    # Obtenez des informations sur les fichiers pour les processus qui ont enregistré des sources d'événements
$events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4906} -MaxEvents 10
foreach ($event in $events) {
    $eventXML = [xml]$event.ToXml()
    $processPath = $eventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'ProcessName'} | Select-Object -ExpandProperty '#text'
    if (Test-Path $processPath) {
        $fileInfo = Get-ItemProperty -Path $processPath
        $signature = Get-AuthenticodeSignature -FilePath $processPath
        Write-Host "File: $processPath"
        Write-Host "Version: $($fileInfo.VersionInfo.FileVersion)"
        Write-Host "Signature: $($signature.Status)"
        Write-Host "Signer: $($signature.SignerCertificate.Subject)"
        Write-Host "---"
    }
}
  5. Vérifiez les journaux de Windows Defender ou d'autres logiciels de sécurité pour toute détection liée aux processus
  6. Vérifiez les signatures numériques et la validité des certificats pour les exécutables suspects
  7. Utilisez Autoruns de Sysinternals pour identifier si des sources d'événements suspectes sont configurées pour un démarrage automatique
05

Mettre en œuvre une surveillance et une alerte avancées

Configurez une surveillance complète pour l'ID d'événement 4906 afin de détecter les enregistrements de sources d'événements non autorisés et d'établir des modèles de comportement de référence.

  1. Créez un abonnement personnalisé Windows Event Forwarding (WEF) pour centraliser la surveillance de l'ID d'événement 4906 sur plusieurs systèmes
  2. Configurez une tâche planifiée pour exécuter des scripts de surveillance PowerShell:
    # Créer un script de surveillance : Monitor-EventSource4906.ps1
$lastRun = Get-Date (Get-Content "C:\Scripts\LastRun.txt" -ErrorAction SilentlyContinue)
if (-not $lastRun) { $lastRun = (Get-Date).AddHours(-1) }

$newEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4906; StartTime=$lastRun}

foreach ($event in $newEvents) {
    $eventXML = [xml]$event.ToXml()
    $processName = $eventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'ProcessName'} | Select-Object -ExpandProperty '#text'
    $sourceName = $eventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'SourceName'} | Select-Object -ExpandProperty '#text'
    
    # Définir une liste blanche de processus connus
    $knownProcesses = @('setup.exe', 'msiexec.exe', 'services.exe', 'svchost.exe')
    
    if ($processName -notin $knownProcesses) {
        # Envoyer une alerte pour un processus inconnu enregistrant une source d'événement
        Write-EventLog -LogName Application -Source "EventSourceMonitor" -EventId 1001 -EntryType Warning -Message "Processus inconnu $processName a enregistré la source d'événement $sourceName"
    }
}

Get-Date | Out-File "C:\Scripts\LastRun.txt"
  3. Configurez le Planificateur de tâches Windows pour exécuter le script de surveillance toutes les 15 minutes
  4. Configurez l'intégration SIEM pour collecter et analyser les modèles de l'ID d'événement 4906
  5. Créez une documentation de référence des sources d'événements légitimes dans votre environnement
  6. Implémentez des paramètres de stratégie de groupe pour restreindre les autorisations d'enregistrement des sources d'événements là où c'est approprié:
    • Accédez à Configuration de l'ordinateurParamètres WindowsParamètres de sécuritéPolitiques localesAttribution des droits utilisateur
    • Examinez et configurez la politique Générer des audits de sécurité
  7. Utilisez Windows Performance Toolkit (WPT) pour une corrélation et une analyse avancées des événements dans des environnements complexes
Astuce pro : Maintenez une liste blanche des sources d'événements approuvées et de leurs processus associés pour réduire les faux positifs dans votre système de surveillance.

Aperçu

L'ID d'événement 4906 apparaît dans le journal de sécurité lorsqu'une application, un service ou un composant système tente de s'enregistrer en tant que source d'événements de sécurité. Ce processus d'enregistrement permet au composant d'écrire des événements liés à la sécurité dans le journal des événements Windows. L'événement se déclenche lors des installations de logiciels, des démarrages de services ou lorsque les applications initialisent leurs capacités de journalisation.

Cet événement fait partie du cadre complet d'audit de sécurité de Windows et aide les administrateurs à suivre quels composants s'enregistrent pour écrire des événements de sécurité. Bien que généralement bénins, surveiller ces enregistrements peut aider à identifier les logiciels non autorisés tentant d'établir des capacités de journalisation ou à détecter des installations potentielles d'outils de sécurité.

L'événement contient des détails sur le processus faisant la demande d'enregistrement, le nom de la source d'événement cible et le contexte de sécurité dans lequel l'enregistrement se produit. Comprendre cet événement aide à maintenir la visibilité sur l'infrastructure de journalisation de votre système et peut aider à résoudre les problèmes des applications qui ne parviennent pas à initialiser correctement leurs capacités de journalisation des événements.

Questions Fréquentes

Que signifie l'ID d'événement 4906 et pourquoi apparaît-il dans mon journal de sécurité ?+
L'ID d'événement 4906 indique qu'une application ou un service a tenté de s'enregistrer comme source d'événements de sécurité dans le système de journal des événements Windows. Cet enregistrement est nécessaire pour tout composant qui souhaite écrire des événements dans le journal de sécurité ou se définir comme une source d'événements reconnue. L'événement apparaît dans le cadre du cadre d'audit de sécurité de Windows pour offrir une visibilité sur les composants qui établissent des capacités de journalisation sur votre système.
L'ID d'événement 4906 est-il une préoccupation de sécurité ou un comportement normal du système ?+
L'ID d'événement 4906 est généralement un comportement normal du système qui se produit lors d'installations logicielles légitimes, de démarrages de services ou lorsque des applications initialisent leurs capacités de journalisation. Cependant, cela peut être une préoccupation de sécurité si des processus inconnus ou suspects enregistrent des sources d'événements, car cela pourrait indiquer qu'un logiciel malveillant tente d'établir une infrastructure de journalisation ou des installations logicielles non autorisées. L'essentiel est d'examiner le nom du processus et le contexte pour déterminer la légitimité.
Comment puis-je déterminer si une inscription d'ID d'événement 4906 est légitime ou malveillante ?+
Pour déterminer la légitimité, examinez le nom du processus, le chemin de l'exécutable, la signature numérique et le moment de l'enregistrement. Les enregistrements légitimes proviennent généralement d'exécutables signés lors d'installations logicielles connues ou de mises à jour système. Les indicateurs suspects incluent des exécutables non signés, des processus s'exécutant à partir de répertoires temporaires, des enregistrements se produisant en dehors des fenêtres d'installation, ou des noms de source d'événement qui ne correspondent pas à l'application enregistrante. Recoupez le processus avec votre inventaire logiciel et vos outils de sécurité.
Puis-je empêcher les applications non autorisées d'enregistrer des sources d'événements de sécurité ?+
Bien que vous ne puissiez pas complètement empêcher l'enregistrement de sources d'événements via les paramètres standard de Windows, vous pouvez mettre en place une surveillance et des alertes pour détecter rapidement les enregistrements non autorisés. Utilisez la stratégie de groupe pour restreindre les autorisations des utilisateurs, mettez en œuvre une liste blanche d'applications et configurez les logiciels de sécurité pour surveiller les modifications du registre dans les clés EventLog. De plus, maintenez un inventaire des sources d'événements approuvées et auditez régulièrement les nouveaux enregistrements par rapport à cette base de référence.
Que dois-je faire si je trouve des entrées suspectes d'Event ID 4906 dans mon environnement ?+
Si vous découvrez des entrées suspectes d'ID d'événement 4906, enquêtez immédiatement sur le processus et le fichier exécutable associés. Vérifiez la signature numérique, analysez le fichier avec un logiciel antivirus à jour et examinez les entrées de registre créées par l'enregistrement. Isolez les systèmes affectés si un logiciel malveillant est suspecté, examinez les installations ou modifications logicielles récentes et recherchez d'autres indicateurs de compromission. Documentez vos conclusions et envisagez de mettre en place une surveillance supplémentaire pour des événements similaires à l'avenir.
Documentation

Références (2)

1
Microsoft Security Auditing Events DocumentationComprehensive guide to Windows security auditing events and their meaningshttps://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Windows Event Log ArchitectureTechnical documentation on Windows Event Log system architecture and event source registrationhttps://docs.microsoft.com/en-us/windows/win32/eventlog/event-logging
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#security-auditing#event-id-4906#event-sources

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...