ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows security monitoring dashboard showing event logs and audit trails in a cybersecurity operations center
Event ID 5141ErrorMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 5141 – Microsoft-Windows-Security-Auditing : Échec de l'audit d'accès aux objets

L'ID d'événement 5141 indique un échec dans l'audit d'accès aux objets lorsque Windows ne peut pas enregistrer les événements de sécurité pour les tentatives d'accès à des fichiers, dossiers ou registres en raison de problèmes de politique d'audit ou de contraintes de ressources système.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 5141Microsoft-Windows-Security-Auditing 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 5141 représente une lacune critique dans l'infrastructure d'audit de sécurité de Windows. Lorsque cet événement apparaît, il signale que le service du sous-système de l'autorité de sécurité locale (LSASS) ou le gestionnaire de comptes de sécurité (SAM) n'a pas pu terminer la journalisation de l'audit d'accès aux objets en raison de contraintes de ressources ou de problèmes de configuration.

Le sous-système d'audit de Windows fonctionne grâce à une interaction complexe entre le moniteur de référence de sécurité (SRM), les paramètres de stratégie d'audit et le service de journal des événements. Lorsque l'audit d'accès aux objets est activé via la stratégie de groupe ou la stratégie de sécurité locale, Windows tente de journaliser chaque tentative d'accès qui correspond aux critères d'audit configurés. Cependant, si le système est submergé par le volume des événements d'audit, ou s'il y a des problèmes avec l'infrastructure d'audit elle-même, l'ID d'événement 5141 est généré pour indiquer l'échec.

Cet événement est particulièrement significatif car il représente un angle mort de sécurité. Dans les environnements soumis à la conformité réglementaire (SOX, HIPAA, PCI-DSS), les événements d'audit manquants peuvent entraîner des échecs de conformité et des incidents de sécurité potentiels passant inaperçus. L'événement apparaît souvent en grappes pendant les périodes d'activité élevée du système de fichiers, comme lors des opérations de sauvegarde, des transferts de fichiers volumineux, ou lorsque des processus automatisés accèdent rapidement à de nombreux fichiers.

La cause sous-jacente implique généralement soit une épuisement des ressources système (CPU, mémoire ou goulots d'étranglement d'E/S), des limitations de taille de journal d'audit, ou des politiques d'audit trop agressives qui tentent de journaliser chaque accès aux fichiers sur des systèmes occupés. Les versions modernes de Windows en 2026 ont amélioré les performances d'audit, mais le défi fondamental demeure : équilibrer une journalisation de sécurité complète avec les performances du système.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Politique d'audit configurée pour enregistrer des événements d'accès aux objets excessifs submergeant le système
  • Ressources système insuffisantes (CPU, mémoire ou disque I/O) pour traiter les événements d'audit
  • Journal des événements de sécurité atteignant la taille maximale avec réécriture désactivée
  • Processus LSASS subissant une charge élevée ou une pression mémoire
  • Paramètres de politique d'audit corrompus ou incohérences dans la base de données de sécurité
  • Problèmes de réseau empêchant les événements d'audit d'atteindre les systèmes de journalisation centralisés
  • Logiciel antivirus ou de sécurité interférant avec les opérations du sous-système d'audit
  • Listes de contrôle d'accès système (SACL) configurées sur des répertoires à fort trafic
  • Service de journal des événements rencontrant des problèmes de performance ou des plantages
  • Privilèges insuffisants pour que le sous-système d'audit écrive dans les journaux d'événements
Méthodes de résolution

Étapes de dépannage

01

Vérifier l'état et la configuration du journal des événements de sécurité

Commencez par examiner la configuration et l'état actuel du journal des événements de sécurité pour identifier les problèmes immédiats.

  1. Ouvrez Observateur d'événementsJournaux WindowsSécurité
  2. Cliquez avec le bouton droit sur le journal Sécurité et sélectionnez Propriétés
  3. Vérifiez les paramètres Taille maximale du journal et Lorsque la taille maximale du journal des événements est atteinte
  4. Si réglé sur Ne pas écraser les événements, changez pour Écraser les événements si nécessaire ou augmentez la taille du journal
  5. Utilisez PowerShell pour vérifier l'état actuel du journal :
    Get-WinEvent -ListLog Security | Select-Object LogName, FileSize, MaximumSizeInBytes, RecordCount, IsEnabled
  6. Vérifiez les événements 5141 récents et leur fréquence :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5141} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap
  7. Examinez l'état du service du journal des événements :
    Get-Service -Name EventLog | Select-Object Name, Status, StartType
Astuce pro : Si le journal de sécurité est plein et réglé pour ne pas écraser, c'est probablement la cause immédiate des événements 5141.
02

Analyser et optimiser les paramètres de la politique d'audit

Examinez les politiques d'audit actuelles pour identifier les paramètres trop agressifs qui pourraient surcharger le système.

  1. Vérifiez la configuration actuelle de la politique d'audit :
    auditpol /get /category:*
  2. Concentrez-vous spécifiquement sur l'audit de l'accès aux objets :
    auditpol /get /subcategory:"File System" /subcategory:"Registry" /subcategory:"Handle Manipulation"
  3. Ouvrez Stratégie de sécurité locale ou Console de gestion des stratégies de groupe
  4. Accédez à Configuration de l'ordinateurParamètres WindowsParamètres de sécuritéConfiguration avancée de la politique d'audit
  5. Examinez les sous-catégories Accès aux objets et désactivez les audits inutiles :
    • Envisagez de désactiver l'audit de Succès pour les emplacements à fort trafic
    • Concentrez-vous sur l'audit de Échec pour la surveillance de la sécurité
    • Désactivez l'audit sur les répertoires système comme C:\Windows\Temp
  6. Vérifiez les configurations SACL sur les répertoires à fort trafic :
    Get-Acl "C:\" -Audit | Select-Object -ExpandProperty Audit
  7. Appliquez les modifications et surveillez l'amélioration de la fréquence 5141
Avertissement : La réduction de la portée de l'audit peut avoir un impact sur les exigences de conformité. Documentez tous les changements et assurez-vous qu'ils répondent aux politiques de sécurité de l'organisation.
03

Surveiller les performances du système et l'utilisation des ressources

Enquêter sur les contraintes de ressources système qui peuvent empêcher le traitement correct des événements d'audit.

  1. Vérifier l'utilisation des ressources du processus LSASS :
    Get-Process lsass | Select-Object Name, CPU, WorkingSet, PagedMemorySize, HandleCount
  2. Surveiller la performance du service Event Log :
    Get-Counter "\Process(EventLog)\% Processor Time", "\Process(EventLog)\Working Set"
  3. Vérifier la performance d'E/S du disque sur le lecteur système :
    Get-Counter "\PhysicalDisk(_Total)\Avg. Disk Queue Length", "\PhysicalDisk(_Total)\% Disk Time"
  4. Examiner l'utilisation de la mémoire système :
    Get-Counter "\Memory\Available MBytes", "\Memory\Committed Bytes"
  5. Ouvrir Performance Monitor et créer un ensemble de collecteurs de données personnalisé pour suivre :
    • Process(lsass)\% Processor Time
    • Process(EventLog)\% Processor Time
    • LogicalDisk(C:)\% Free Space
    • System\Processor Queue Length
  6. Exécuter le collecteur de données pendant les heures de pointe lorsque les événements 5141 se produisent
  7. Si des contraintes de ressources sont identifiées, envisager :
    • Ajouter plus de RAM au système
    • Déplacer les journaux d'événements vers un disque plus rapide
    • Réduire la charge du système pendant les périodes de pointe d'audit
04

Configurer les paramètres avancés du journal des événements et le transfert

Implémentez une gestion avancée des journaux d'événements pour gérer plus efficacement les environnements d'audit à haut volume.

  1. Augmentez la taille maximale du journal des événements de sécurité :
    wevtutil sl Security /ms:1073741824
  2. Configurez le transfert des journaux d'événements pour réduire la pression sur le stockage local :
    # Activer WinRM pour le transfert d'événements
winrm quickconfig -q
# Configurer l'abonnement sur le serveur collecteur
wecutil cs subscription.xml
  3. Créez un journal d'événements personnalisé pour les événements d'audit à haut volume :
    New-WinEvent -ProviderName "Microsoft-Windows-Security-Auditing" -Id 5141 -Version 1
  4. Configurez la politique d'audit pour utiliser des canaux personnalisés via le registre :
    • Accédez à HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Security
    • Modifiez la valeur MaxSize pour augmenter la capacité du journal
    • Réglez Retention sur 0 pour écraser si nécessaire
  5. Implémentez une rotation des journaux basée sur PowerShell :
    # Archiver et effacer le journal de sécurité lorsqu'il atteint 80% de sa capacité
$log = Get-WinEvent -ListLog Security
if (($log.FileSize / $log.MaximumSizeInBytes) -gt 0.8) {
    wevtutil epl Security "C:\Logs\Security_$(Get-Date -Format 'yyyyMMdd_HHmmss').evtx"
    wevtutil cl Security
}
  6. Planifiez le script de rotation en tant que tâche Windows pour s'exécuter toutes les heures pendant les périodes de pointe
Astuce pro : Envisagez de mettre en œuvre le transfert d'événements Windows (WEF) pour centraliser les journaux d'audit et réduire la charge du système local.
05

Dépannage avancé et récupération du système

Effectuer une analyse approfondie du système et des procédures de récupération pour les problèmes persistants 5141.

  1. Vérifier la corruption du sous-système d'audit :
    # Vérifier l'intégrité de la base de données de sécurité
sfc /scannow
Dism /Online /Cleanup-Image /CheckHealth
  2. Réinitialiser la politique d'audit aux valeurs par défaut et reconfigurer :
    # Sauvegarder la politique actuelle
auditpol /backup /file:C:\temp\audit_backup.csv
# Réinitialiser aux valeurs par défaut
auditpol /clear /y
# Restaurer l'audit minimal requis
auditpol /set /subcategory:"Logon" /success:enable /failure:enable
  3. Reconstruire la configuration du service de journal des événements :
    # Arrêter le service de journal des événements
Stop-Service EventLog -Force
# Effacer la corruption du registre du journal des événements
Remove-Item "HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Security\*" -Recurse -Force
# Redémarrer le service pour reconstruire
Start-Service EventLog
  4. Vérifier les conflits de logiciels tiers :
    • Désactiver temporairement l'analyse en temps réel de l'antivirus
    • Arrêter les services non essentiels pouvant interférer avec l'audit
    • Examiner les logiciels récemment installés qui pourraient s'intégrer au sous-système de sécurité
  5. Activer la journalisation de débogage pour le sous-système d'audit :
    # Activer la journalisation de débogage LSA
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v LsaDbgInfoLevel /t REG_DWORD /d 0x800 /f
# Redémarrer le système pour appliquer les modifications
  6. Si les problèmes persistent, envisager :
    • Exécuter le diagnostic de mémoire Windows pour vérifier les problèmes matériels
    • Effectuer une mise à niveau sur place de Windows pour réparer les fichiers système
    • Consulter le support Microsoft avec les journaux de débogage et la configuration du système
Avertissement : Les étapes de dépannage avancées peuvent affecter la stabilité du système. Sauvegardez toujours les données critiques et testez d'abord dans des environnements non productifs.

Aperçu

L'ID d'événement 5141 se déclenche lorsque le sous-système d'audit de sécurité Windows rencontre des échecs lors de la tentative de journalisation des événements d'accès aux objets. Cette erreur se produit généralement dans des environnements avec des politiques d'audit agressives où le système ne peut pas suivre le volume des événements de sécurité générés. L'événement apparaît dans le journal de sécurité et indique que certaines tentatives d'accès aux objets (fichier, dossier, registre ou autres objets sécurisables) n'ont pas été correctement auditées en raison de limitations du système ou de problèmes de configuration.

Cet événement devient critique dans les environnements à haute sécurité où des pistes d'audit complètes sont obligatoires pour la conformité. Lorsque le 5141 apparaît, cela signifie que votre couverture d'audit présente des lacunes - des événements de sécurité qui auraient dû être enregistrés ont été omis. L'événement apparaît couramment sur des serveurs de fichiers occupés, des contrôleurs de domaine ou des systèmes avec des configurations SACL (System Access Control List) étendues où les politiques d'audit sont définies pour enregistrer à la fois les tentatives d'accès réussies et échouées.

Comprendre cet événement est crucial pour les administrateurs de sécurité qui dépendent de pistes d'audit complètes pour l'analyse judiciaire, les rapports de conformité et la surveillance de la sécurité. L'événement est généralement corrélé à une charge système élevée, un espace de journal d'audit insuffisant ou des politiques d'audit trop larges qui génèrent plus d'événements que le système ne peut traiter.

Questions Fréquentes

Que signifie l'ID d'événement 5141 et pourquoi est-il critique ?+
L'ID d'événement 5141 indique que Windows n'a pas réussi à enregistrer les événements d'audit d'accès aux objets en raison de limitations du système ou de problèmes de configuration. Cela est critique car cela représente des lacunes dans votre piste d'audit de sécurité - des tentatives d'accès qui auraient dû être enregistrées ont été ignorées. Dans les environnements de conformité, ces lacunes peuvent entraîner des violations réglementaires et des incidents de sécurité non détectés. L'événement apparaît généralement lorsque les politiques d'audit sont trop agressives pour la capacité du système ou lorsque les ressources sont limitées.
Comment puis-je empêcher l'ID d'événement 5141 de se produire fréquemment ?+
Prévenez les événements 5141 en équilibrant la couverture d'audit avec la capacité du système. Commencez par examiner les politiques d'audit et désactiver l'audit de réussite sur les répertoires à fort trafic, en vous concentrant plutôt sur l'audit des échecs. Augmentez la taille du journal des événements de sécurité, activez le remplacement des journaux et envisagez de mettre en œuvre le transfert d'événements Windows pour réduire la charge du système local. Surveillez les ressources système (CPU, mémoire, E/S disque) et assurez une capacité adéquate pendant les périodes de pointe d'audit. Retirez les SACL des répertoires système fréquemment consultés qui ne nécessitent pas d'audit.
L'ID d'événement 5141 indique-t-il une violation de sécurité ou une compromission ?+
Non, l'ID d'événement 5141 en lui-même n'indique pas une violation de sécurité. C'est un problème de performance et de configuration du système, pas un incident de sécurité. Cependant, il crée des angles morts de sécurité en empêchant une journalisation d'audit appropriée, ce qui pourrait permettre à de véritables incidents de sécurité de passer inaperçus. L'événement indique que votre système d'audit est surchargé, non pas qu'un accès non autorisé a eu lieu. Concentrez-vous sur la résolution des problèmes de capacité ou de configuration sous-jacents pour rétablir une couverture d'audit complète.
L'ID d'événement 5141 peut-il affecter les performances du système au-delà de la journalisation d'audit ?+
Oui, les conditions provoquant 5141 peuvent affecter les performances globales du système. Lorsque le sous-système d'audit est surchargé, il peut consommer des ressources CPU et mémoire excessives, affectant le processus LSASS et la réactivité globale du système. La génération d'événements d'audit à haut volume peut également provoquer des goulots d'étranglement d'E/S disque, surtout si le journal des événements de sécurité est stocké sur le même disque que le système d'exploitation. De plus, les tentatives d'audit échouées peuvent entraîner des retards pour les applications lors de l'accès aux objets audités, car le système tente de consigner les événements avant de permettre l'accès.
Quelle est la différence entre l'ID d'événement 5141 et les autres événements d'erreur liés à l'audit ?+
L'ID d'événement 5141 se rapporte spécifiquement aux échecs d'audit d'accès aux objets, tandis que d'autres erreurs d'audit ont des portées différentes. L'ID d'événement 1108 indique que le service du journal des événements lui-même a des problèmes, l'ID d'événement 1104 montre que le journal de sécurité a été effacé, et l'ID d'événement 4719 indique des changements de politique d'audit. L'événement 5141 est unique car il représente des événements d'audit abandonnés en raison de problèmes de capacité du système, et non de défaillances de service ou de changements de politique. Il s'agit spécifiquement de l'incapacité à enregistrer les tentatives d'accès à des fichiers, registres ou autres objets qui auraient dû être auditées selon les paramètres de politique actuels.
Documentation

Références (2)

1
Microsoft Learn - Windows Security AuditingComprehensive guide to Windows security auditing policies and configurationhttps://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/
2
Microsoft Docs - Advanced Security Audit PoliciesDetailed documentation on configuring advanced audit policies in Windowshttps://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policies
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#security-auditing#windows-events#event-id-5141

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...