ANAVEM
FrancaisEnglish
ANAVEM
Languageen
System administrator analyzing Windows kernel events and symbolic link creation logs on multiple monitoring displays
Event ID 4912InformationMicrosoft-Windows-Kernel-GeneralWindows

ID d'événement Windows 4912 – Microsoft-Windows-Kernel-General : Création de lien symbolique du gestionnaire d'objets

L'ID d'événement 4912 enregistre lorsque le gestionnaire d'objets Windows crée des liens symboliques dans l'espace de noms du noyau, généralement lors du démarrage du système ou des processus d'initialisation des pilotes.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 20269 min de lecture 0
Event ID 4912Microsoft-Windows-Kernel-General 5 méthodes 9 min
Référence événement

Signification de cet événement

Le gestionnaire d'objets Windows maintient un espace de noms unifié pour tous les objets du noyau, y compris les périphériques, les pilotes, les sections et d'autres ressources système. Les liens symboliques dans cet espace de noms fournissent des couches d'indirection qui permettent aux objets d'être référencés par plusieurs noms ou fournissent des mappages de compatibilité entre différentes conventions de nommage.

L'ID d'événement 4912 suit spécifiquement la création de ces liens symboliques du noyau, qui diffèrent des liens symboliques du système de fichiers. Ces liens symboliques au niveau du noyau sont créés via l'appel système ZwCreateSymbolicLinkObject et sont essentiels pour le bon fonctionnement des pilotes de périphériques et la gestion des ressources système.

Les données de l'événement incluent le nom du lien symbolique (généralement au format \??\DeviceName ou \Global??\DeviceName), le chemin de l'objet cible et les informations de contexte de sécurité. Ces informations s'avèrent précieuses pour les administrateurs système surveillant les changements dans l'espace de noms du noyau, les professionnels de la sécurité enquêtant sur des tentatives potentielles d'escalade de privilèges, et les développeurs déboguant des problèmes d'installation de pilotes.

Dans les mises à jour de Windows 11 2026, Microsoft a amélioré le niveau de détail des journaux pour inclure un contexte de processus supplémentaire et une meilleure corrélation avec les événements du noyau associés, facilitant ainsi le suivi du cycle de vie complet des opérations d'objets du noyau lors de scénarios de dépannage système.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Initialisation du pilote de périphérique créant des liens symboliques pour l'accès matériel
  • Processus de démarrage du système établissant des mappages de l'espace de noms des objets du noyau
  • Installation d'application nécessitant un accès aux périphériques au niveau du noyau
  • Démarrage du service Windows créant les références nécessaires aux objets du noyau
  • Création de périphériques virtuels par des logiciels de virtualisation ou des conteneurs
  • Logiciel de sécurité installant des composants en mode noyau avec des exigences de lien symbolique
  • Opérations de restauration du système recréant les structures de l'espace de noms du noyau
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails spécifiques de l'événement pour comprendre quel lien symbolique a été créé et par quel processus.

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSystème
  3. Filtrez pour l'ID d'événement 4912 en cliquant avec le bouton droit sur le journal Système et en sélectionnant Filtrer le journal actuel
  4. Entrez 4912 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur un événement 4912 pour voir des informations détaillées incluant :
    • Nom du lien symbolique et chemin cible
    • ID de processus et contexte de sécurité
    • Corrélation de l'horodatage avec d'autres événements système
Astuce pro : Recherchez des motifs dans les noms de liens symboliques - les liens liés aux appareils suivent souvent le format \??\DeviceName tandis que les liens de l'espace de noms global utilisent \Global??\ObjectName.
02

Interroger les événements avec PowerShell pour l'analyse des motifs

Utilisez PowerShell pour analyser plusieurs événements 4912 et identifier des motifs ou des anomalies dans la création de liens symboliques.

  1. Ouvrez PowerShell en tant qu'administrateur
  2. Interrogez les entrées récentes de l'ID d'événement 4912 :
    Get-WinEvent -FilterHashtable @{LogName='System'; Id=4912} -MaxEvents 50 | Select-Object TimeCreated, Id, LevelDisplayName, Message
  3. Pour une analyse plus détaillée, extrayez des données d'événements spécifiques :
    $events = Get-WinEvent -FilterHashtable @{LogName='System'; Id=4912} -MaxEvents 100
$events | ForEach-Object {
    $xml = [xml]$_.ToXml()
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        ProcessId = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'ProcessId'} | Select-Object -ExpandProperty '#text'
        SymbolicLinkName = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'SymbolicLinkName'} | Select-Object -ExpandProperty '#text'
        TargetName = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetName'} | Select-Object -ExpandProperty '#text'
    }
} | Format-Table -AutoSize
  4. Exportez les résultats pour une analyse plus approfondie :
    $events | Export-Csv -Path "C:\Temp\Event4912_Analysis.csv" -NoTypeInformation
Avertissement : Des volumes élevés d'événements 4912 pendant le fonctionnement normal sont attendus. Concentrez-vous sur les motifs inhabituels ou les événements se produisant en dehors des périodes normales de démarrage du système.
03

Corréler avec l'activité des processus et des pilotes

Recoupez l'ID d'événement 4912 avec les événements de création de processus et de chargement de pilote pour comprendre le contexte complet.

  1. Activez la journalisation supplémentaire si elle n'est pas déjà active :
    wevtutil sl Microsoft-Windows-Kernel-General/Analytic /e:true
  2. Interrogez les événements corrélés autour de la même période :
    # Obtenez les événements 4912 avec le contexte environnant
$startTime = (Get-Date).AddHours(-1)
$endTime = Get-Date

# Interrogez plusieurs sources d'événements
$kernelEvents = Get-WinEvent -FilterHashtable @{
    LogName='System'
    Id=4912,7034,7035,7036
    StartTime=$startTime
    EndTime=$endTime
} | Sort-Object TimeCreated
  3. Vérifiez les événements de chargement de pilote qui pourraient être corrélés :
    Get-WinEvent -FilterHashtable @{
    LogName='System'
    Id=219  # Événements de chargement de pilote
    StartTime=$startTime
    EndTime=$endTime
}
  4. Examinez les événements de création de processus à partir du journal de sécurité (si la politique d'audit est activée) :
    Get-WinEvent -FilterHashtable @{
    LogName='Security'
    Id=4688  # Création de processus
    StartTime=$startTime
    EndTime=$endTime
} -ErrorAction SilentlyContinue

Cette corrélation aide à identifier si la création de lien symbolique fait partie des opérations légitimes du système ou d'une activité potentiellement suspecte.

04

Surveiller les changements de l'espace de noms des objets du noyau

Utilisez des outils avancés pour surveiller l'espace de noms des objets du noyau et comprendre l'impact de la création de liens symboliques.

  1. Téléchargez et exécutez WinObj de Microsoft Sysinternals:
    # Téléchargez WinObj (assurez-vous de l'obtenir de la source officielle de Microsoft)
Invoke-WebRequest -Uri "https://live.sysinternals.com/Winobj.exe" -OutFile "C:\Tools\Winobj.exe"
  2. Lancez WinObj pour parcourir l'espace de noms des objets du noyau et localiser les liens symboliques récemment créés
  3. Utilisez Process Monitor (ProcMon) pour suivre les modèles d'accès aux objets:
    # Téléchargez ProcMon
Invoke-WebRequest -Uri "https://live.sysinternals.com/Procmon.exe" -OutFile "C:\Tools\Procmon.exe"
  4. Configurez les filtres de ProcMon pour n'afficher que les opérations du gestionnaire d'objets:
    • Réglez l'activité des processus et des threads sur Afficher
    • Ajoutez un filtre : Opération contient CreateFile
    • Ajoutez un filtre : Chemin commence par \??\ ou \Global??\
  5. Pour une surveillance programmatique, utilisez WMI pour suivre la création d'objets:
    Register-WmiEvent -Query "SELECT * FROM Win32_SystemTrace WHERE EventType = 'ObjectCreate'" -Action {
    $Event = $Event.SourceEventArgs.NewEvent
    Write-Host "Objet créé : $($Event.ObjectName) à $($Event.TimeCreated)"
}
Astuce pro : Le préfixe \??\ indique l'espace de noms des périphériques locaux, tandis que \Global??\ indique l'espace de noms global visible pour toutes les sessions.
05

Traçage ETW avancé pour les opérations sur les objets du noyau

Implémentez le suivi des événements pour Windows (ETW) afin de capturer les opérations détaillées du gestionnaire d'objets du noyau, y compris la création de liens symboliques.

  1. Créez une session de trace ETW pour les opérations d'objets du noyau :
    # Démarrer la trace ETW pour le gestionnaire d'objets
logman create trace "ObjectManagerTrace" -p "Microsoft-Windows-Kernel-General" 0xFFFFFFFF 0xFF -o C:\Traces\ObjectManager.etl -ets
  2. Configurez des fournisseurs supplémentaires pour un suivi complet :
    # Ajouter le fournisseur de processus du noyau
logman update trace "ObjectManagerTrace" -p "Microsoft-Windows-Kernel-Process" 0xFFFFFFFF 0xFF -ets

# Ajouter le fournisseur de système de fichiers pour la corrélation d'accès aux périphériques
logman update trace "ObjectManagerTrace" -p "Microsoft-Windows-Kernel-File" 0xFFFFFFFF 0xFF -ets
  3. Laissez la trace s'exécuter pendant la période où les événements 4912 se produisent, puis arrêtez-la :
    logman stop "ObjectManagerTrace" -ets
  4. Analysez la trace ETW à l'aide de Windows Performance Analyzer (WPA) ou convertissez-la en un format lisible :
    # Convertir ETL en CSV pour analyse
tracerpt C:\Traces\ObjectManager.etl -o C:\Traces\ObjectManager.csv -of CSV
  5. Analysez les données de trace pour les opérations de liens symboliques :
    # Script PowerShell pour analyser les événements pertinents
$traceData = Import-Csv "C:\Traces\ObjectManager.csv"
$symbolicLinkEvents = $traceData | Where-Object {
    $_.EventName -like "*SymbolicLink*" -or 
    $_.EventName -like "*ObjectCreate*"
} | Select-Object TimeStamp, ProcessName, EventName, Details
Avertissement : Le suivi ETW peut générer de grandes quantités de données et peut affecter les performances du système. Utilisez des fournisseurs ciblés et des sessions limitées dans le temps pour les systèmes de production.

Aperçu

L'ID d'événement 4912 se déclenche lorsque le gestionnaire d'objets Windows crée des liens symboliques dans l'espace de noms des objets du noyau. Cet événement fait partie du fournisseur Microsoft-Windows-Kernel-General et apparaît dans le journal Système lors des opérations normales du système. Le gestionnaire d'objets maintient un espace de noms hiérarchique pour les objets du noyau, et les liens symboliques fournissent des mécanismes de redirection similaires aux raccourcis de système de fichiers mais au niveau du noyau.

Ces événements se produisent généralement lors du démarrage du système lorsque les pilotes s'initialisent et créent les liens symboliques nécessaires pour l'accès aux périphériques, ou lorsque les applications demandent la création de liens symboliques d'objets du noyau via des API documentées. L'événement contient des détails sur le nom du lien symbolique, l'objet cible et le processus responsable de la demande de création.

Bien qu'il s'agisse d'un événement informatif indiquant des opérations normales du noyau, surveiller ces événements aide à suivre les changements dans l'espace de noms du noyau et peut aider à résoudre les problèmes de pilotes de périphériques ou les enquêtes de sécurité impliquant la manipulation d'objets du noyau. Les administrateurs système voient souvent des groupes de ces événements lors des séquences de démarrage ou lors de l'installation de nouveaux pilotes matériels.

Questions Fréquentes

Que signifie l'ID d'événement 4912 et est-il normal de voir ces événements ?+
L'ID d'événement 4912 indique que le gestionnaire d'objets Windows a créé un lien symbolique dans l'espace de noms du noyau. Cela est tout à fait normal et se produit régulièrement lors du démarrage du système, de l'initialisation des pilotes et lorsque des applications demandent un accès aux périphériques au niveau du noyau. Ces événements sont informatifs et indiquent le bon fonctionnement du système. Vous verrez généralement des groupes de ces événements lors des séquences de démarrage ou lors de l'installation de nouveaux pilotes matériels.
Comment puis-je déterminer quel processus ou pilote crée des liens symboliques ?+
L'ID d'événement 4912 inclut des informations sur le contexte du processus. Utilisez PowerShell pour extraire ces données : Get-WinEvent -FilterHashtable @{LogName='System'; Id=4912} et examinez les données XML de l'événement pour ProcessId et le contexte de sécurité. Recoupez le ProcessId avec le Gestionnaire des tâches ou Process Explorer pour identifier l'application ou le service spécifique. Vous pouvez également corréler ces événements avec l'ID d'événement 4688 (création de processus) du journal de sécurité si l'audit des processus est activé.
Dois-je m'inquiéter des volumes élevés de l'ID d'événement 4912 ?+
Des volumes élevés lors du démarrage du système ou de l'installation de pilotes sont normaux. Cependant, des événements 4912 à haute fréquence continue pendant le fonctionnement en régime permanent pourraient indiquer un pilote ou une application défaillante créant et détruisant de manière répétée des liens symboliques. Surveillez les noms de liens symboliques et les chemins cibles - les opérations système légitimes créent généralement des liens prévisibles liés aux périphériques (format \??\DeviceName), tandis que des noms inhabituels ou à l'apparence aléatoire pourraient nécessiter une enquête.
L'ID d'événement 4912 peut-il aider à résoudre les problèmes de pilotes de périphériques ?+
Oui, l'ID d'événement 4912 est précieux pour le dépannage des pilotes. Lorsque les pilotes ne parviennent pas à se charger ou que les appareils ne sont pas reconnus, vérifiez si les liens symboliques attendus sont créés. L'absence d'événements 4912 pour des types d'appareils spécifiques lors du démarrage pourrait indiquer des problèmes d'installation de pilotes. Comparez les noms et cibles des liens symboliques avec des systèmes fonctionnant correctement pour identifier les divergences. Le moment de l'événement aide également à corréler les séquences de chargement des pilotes avec la disponibilité des appareils.
Comment puis-je filtrer l'ID d'événement 4912 pour me concentrer sur des appareils ou des applications spécifiques ?+
Utilisez PowerShell avec un filtrage personnalisé basé sur les noms de liens symboliques ou les chemins cibles. Par exemple, pour se concentrer sur les périphériques USB : Get-WinEvent -FilterHashtable @{LogName='System'; Id=4912} | Where-Object {$_.Message -like '*USB*'}. Vous pouvez également filtrer par ID de processus si vous savez quelle application vous enquêtez. Pour une surveillance continue, créez une vue personnalisée dans l'Observateur d'événements avec un filtrage XML pour n'afficher que les événements 4912 correspondant à des critères spécifiques comme des motifs de noms de liens symboliques ou des plages de temps.
Documentation

Références (2)

1
Microsoft Learn - Windows Event LoggingOfficial documentation covering Windows event logging architecture and Event ID interpretationhttps://learn.microsoft.com/en-us/windows/win32/eventlog/event-logging
2
Microsoft Docs - Object Manager RoutinesTechnical reference for Windows Object Manager operations and symbolic link creation APIshttps://learn.microsoft.com/en-us/windows-hardware/drivers/ddi/_kernel/#object-manager-routines
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#kernel-events#event-id-4912#object-manager

Événements Windows associés

Windows Event Viewer showing system time change events on a monitoring dashboard
Event 11708
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 11708 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 11708 indique que l'heure du système a été modifiée, soit manuellement par un utilisateur, soit automatiquement par des services de synchronisation de l'heure. Critique pour l'audit de sécurité et le dépannage des problèmes liés au temps.

18 mars9 min
Windows Event Viewer displaying system time change events on a professional monitoring dashboard
Event 5889
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 5889 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 5889 indique que l'heure du système a été modifiée, soit manuellement par un utilisateur, soit automatiquement par des services de synchronisation de l'heure. Cet événement aide à suivre les modifications de l'heure à des fins de sécurité et d'audit.

18 mars12 min
Windows Event Viewer showing system time change events on a monitoring dashboard
Event 5121
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 5121 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 5121 se déclenche lorsque Windows détecte un changement de l'heure système, soit par un ajustement manuel, soit par une synchronisation automatique. Critique pour l'audit de sécurité et le dépannage des problèmes liés au temps.

18 mars12 min
System administrator analyzing Windows kernel errors and event logs on multiple monitoring displays
Event 5058
Microsoft-Windows-Kernel-General
Windows EventError

ID d'événement Windows 5058 – Microsoft-Windows-Kernel-General : Échec de l'opération de fichier clé

L'ID d'événement 5058 indique une défaillance critique d'opération de fichier au niveau du noyau, impliquant généralement des fichiers système, des ruches de registre ou des bases de données de sécurité que Windows ne peut pas accéder ou modifier correctement.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...