ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows security monitoring dashboard displaying session management events in a professional SOC environment
Event ID 6279InformationWinLogonWindows

ID d'événement Windows 6279 – WinLogon : Session de connexion utilisateur détruite

L'ID d'événement 6279 indique qu'une session de connexion utilisateur a été détruite dans Windows. Cet événement informatif se déclenche lorsqu'un utilisateur se déconnecte, se déconnecte d'une session à distance, ou lorsque le système termine une session en raison d'un délai d'attente ou de l'application d'une politique.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 6279WinLogon 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement Windows 6279 représente la destruction d'une session de connexion utilisateur et est généré par le processus WinLogon chaque fois qu'une session utilisateur se termine. Cet événement sert de contrepartie aux événements de connexion, fournissant une piste d'audit complète du cycle de vie de la session utilisateur, de la création à la destruction. L'événement est enregistré dans le journal des événements de sécurité et nécessite une configuration appropriée de la politique d'audit pour apparaître.

L'événement contient plusieurs champs de données critiques, y compris l'ID de sécurité (SID) de l'utilisateur dont la session a été détruite, l'ID de connexion qui identifie de manière unique la session, le nom de la session et le type de connexion qui indique comment l'utilisateur s'est initialement authentifié. Le contexte supplémentaire inclut l'adresse réseau source pour les sessions à distance et le package d'authentification utilisé lors du processus de connexion initial.

La destruction de session peut se produire par divers mécanismes : déconnexion normale initiée par l'utilisateur, terminaison de session administrative, expiration automatique en raison de politiques d'inactivité, arrêt ou redémarrage du système, déconnexion de bureau à distance ou terminaison forcée en raison de politiques de sécurité. Chaque scénario fournit des informations médico-légales précieuses pour l'analyse de sécurité et le rapport de conformité.

Dans les environnements Windows Server, en particulier ceux exécutant des services de bureau à distance ou Citrix, l'ID d'événement 6279 devient particulièrement important pour suivre les sessions utilisateur simultanées et assurer la conformité appropriée des licences. L'événement aide les administrateurs à comprendre les modèles d'utilisation des sessions et à identifier les problèmes potentiels avec les processus de nettoyage des sessions.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Déconnexion initiée par l'utilisateur via le menu Démarrer ou Ctrl+Alt+Suppr
  • Déconnexion ou terminaison de session Remote Desktop Protocol (RDP)
  • Délai d'expiration automatique de session en raison des politiques d'inactivité
  • Terminaison administrative des sessions utilisateur via le Gestionnaire des tâches ou la ligne de commande
  • Arrêt ou redémarrage du système forçant le nettoyage de session
  • Application des stratégies de groupe entraînant la terminaison de session
  • Dépassement des limites de session des services Terminal
  • Violations de la politique de sécurité déclenchant une déconnexion forcée
  • Problèmes de connectivité réseau causant des interruptions de session à distance
  • Plantages d'applications ou instabilité du système affectant l'intégrité de la session
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails spécifiques de l'ID d'événement 6279 pour comprendre le contexte de la terminaison de session.

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez pour l'ID d'événement 6279 en cliquant avec le bouton droit sur le journal Sécurité et en sélectionnant Filtrer le journal actuel
  4. Entrez 6279 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur les entrées récentes de l'ID d'événement 6279 pour examiner les détails, y compris :
    • ID de sécurité du sujet et nom du compte
    • ID de connexion (correspond aux événements de connexion)
    • Nom de session et type de connexion
    • Adresse réseau source (pour les sessions à distance)
  6. Utilisez PowerShell pour interroger plusieurs événements efficacement :
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=6279} -MaxEvents 50 | Select-Object TimeCreated, Id, @{Name='User';Expression={$_.Properties[1].Value}}, @{Name='LogonID';Expression={$_.Properties[3].Value}}
Astuce pro : Recoupez l'ID de connexion avec les événements de connexion correspondants (4624, 4625) pour construire une chronologie complète de la session.
02

Corréler les événements de session avec l'analyse PowerShell

Utilisez PowerShell pour analyser les modèles de session et identifier les problèmes potentiels de gestion des sessions.

  1. Créez un script d'analyse de session complet :
# Obtenez les événements de destruction de session des dernières 24 heures
$StartTime = (Get-Date).AddDays(-1)
$SessionEvents = Get-WinEvent -FilterHashtable @{
    LogName='Security'
    Id=6279
    StartTime=$StartTime
} | ForEach-Object {
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        UserName = $_.Properties[1].Value
        LogonID = $_.Properties[3].Value
        SessionName = $_.Properties[4].Value
        LogonType = $_.Properties[5].Value
        SourceIP = $_.Properties[6].Value
    }
}

# Regroupez par utilisateur pour identifier les modèles
$SessionEvents | Group-Object UserName | Sort-Object Count -Descending
  1. Analysez la durée des sessions en corrélant avec les événements de connexion :
# Trouvez les paires de connexion/déconnexion correspondantes
$LogonEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624; StartTime=$StartTime}
$SessionDurations = foreach ($Logoff in $SessionEvents) {
    $MatchingLogon = $LogonEvents | Where-Object {
        $_.Properties[7].Value -eq $Logoff.LogonID
    } | Select-Object -First 1
    
    if ($MatchingLogon) {
        [PSCustomObject]@{
            User = $Logoff.UserName
            LogonTime = $MatchingLogon.TimeCreated
            LogoffTime = $Logoff.TimeCreated
            Duration = $Logoff.TimeCreated - $MatchingLogon.TimeCreated
        }
    }
}

$SessionDurations | Sort-Object Duration -Descending
Avertissement : Les grands environnements peuvent générer des milliers d'événements de session. Utilisez des filtres temporels appropriés pour éviter les problèmes de performance.
03

Configurer les politiques d'audit avancées pour le suivi des sessions

Assurez-vous de configurer correctement la politique d'audit pour capturer des informations de session complètes.

  1. Vérifiez les paramètres actuels de la politique d'audit en utilisant la stratégie de groupe ou la ligne de commande :
# Vérifiez la politique d'audit actuelle
auditpol /get /category:"Logon/Logoff"

# Activez l'audit détaillé des connexions si nécessaire
auditpol /set /subcategory:"Logon" /success:enable /failure:enable
auditpol /set /subcategory:"Logoff" /success:enable /failure:enable
  1. Configurez la stratégie de groupe pour les environnements d'entreprise :
    • Ouvrez Group Policy Management Console
    • Accédez à Configuration de l'ordinateurStratégiesParamètres WindowsParamètres de sécuritéConfiguration avancée de la politique d'audit
    • Développez Politiques d'auditLogon/Logoff
    • Activez Audit Logon et Audit Logoff pour les succès et les échecs
  2. Vérifiez l'application de la politique d'audit :
# Vérifiez la politique d'audit effective
Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\Security" -Name MaxSize

# Surveillez les changements de politique d'audit
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4719} -MaxEvents 10
  1. Configurez les paramètres de rétention du journal de sécurité dans le registre :
# Augmentez la taille du journal de sécurité (valeur en octets)
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\Security" -Name "MaxSize" -Value 104857600

# Définissez la politique de rétention (0=écraser si nécessaire, 1=écraser les événements plus anciens que X jours)
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\Security" -Name "Retention" -Value 0
04

Mettre en œuvre la surveillance des sessions et l'alerte

Configurez une surveillance proactive pour les modèles de terminaison de session inhabituels qui pourraient indiquer des problèmes de sécurité.

  1. Créez un script PowerShell pour la surveillance continue des sessions :
# Script de surveillance des sessions
param(
    [int]$ThresholdMinutes = 60,
    [string]$LogPath = "C:\Logs\SessionMonitoring.log"
)

$StartTime = (Get-Date).AddMinutes(-$ThresholdMinutes)
$SuspiciousEvents = Get-WinEvent -FilterHashtable @{
    LogName='Security'
    Id=6279
    StartTime=$StartTime
} | Where-Object {
    # Signaler les sessions terminées dans les 5 minutes suivant la connexion
    $LogonEvents = Get-WinEvent -FilterHashtable @{
        LogName='Security'
        Id=4624
        StartTime=$StartTime
    } | Where-Object {$_.Properties[7].Value -eq $_.Properties[3].Value}
    
    if ($LogonEvents) {
        $Duration = $_.TimeCreated - $LogonEvents[0].TimeCreated
        $Duration.TotalMinutes -lt 5
    }
}

if ($SuspiciousEvents) {
    $Alert = "ALERTE : {0} terminaisons de session suspectes détectées" -f $SuspiciousEvents.Count
    Add-Content -Path $LogPath -Value "$(Get-Date): $Alert"
    # Envoyer un email ou déclencher une alerte SIEM ici
}
  1. Planifiez le script de surveillance à l'aide du Planificateur de tâches :
# Créer une tâche planifiée pour la surveillance des sessions
$Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\SessionMonitor.ps1"
$Trigger = New-ScheduledTaskTrigger -RepetitionInterval (New-TimeSpan -Minutes 15) -RepetitionDuration (New-TimeSpan -Days 365) -At (Get-Date)
$Settings = New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries -DontStopIfGoingOnBatteries
$Principal = New-ScheduledTaskPrincipal -UserId "SYSTEM" -LogonType ServiceAccount

Register-ScheduledTask -TaskName "SessionMonitoring" -Action $Action -Trigger $Trigger -Settings $Settings -Principal $Principal
  1. Configurez le transfert d'événements Windows pour une surveillance centralisée :
# Activer WinRM pour le transfert d'événements
winrm quickconfig -force

# Configurer l'abonnement aux événements (à exécuter sur le serveur collecteur)
wecutil cs SessionDestructionSubscription.xml

# Exemple de contenu XML d'abonnement :
# <Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
#   <SubscriptionId>SessionDestruction</SubscriptionId>
#   <Query><![CDATA[<QueryList><Query><Select Path="Security">*[System[EventID=6279]]</Select></Query></QueryList>]]></Query>
# </Subscription>
05

Analyse médico-légale avancée et dépannage

Effectuer une analyse médico-légale approfondie lorsque les modèles d'ID d'événement 6279 indiquent des incidents de sécurité potentiels ou des problèmes système.

  1. Créer des requêtes d'analyse médico-légale complètes :
# Script d'analyse médico-légale avancée
$AnalysisStart = (Get-Date).AddDays(-7)

# Obtenir tous les événements de session avec un contexte détaillé
$SessionData = Get-WinEvent -FilterHashtable @{
    LogName='Security'
    Id=@(4624,4634,4647,6279)
    StartTime=$AnalysisStart
} | ForEach-Object {
    $EventData = @{}
    for ($i = 0; $i -lt $_.Properties.Count; $i++) {
        $EventData["Property$i"] = $_.Properties[$i].Value
    }
    
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        EventID = $_.Id
        UserName = $EventData.Property1
        LogonID = $EventData.Property3
        LogonType = $EventData.Property8
        SourceIP = $EventData.Property11
        ProcessName = $EventData.Property9
        AllProperties = $EventData
    }
}

# Identifier les modèles anormaux
$AnomalousPatterns = $SessionData | Group-Object UserName | Where-Object {
    $_.Count -gt 100 -or  # Nombre élevé de sessions
    ($_.Group | Group-Object SourceIP | Measure-Object).Count -gt 10  # Plusieurs IP sources
}
  1. Analyser les raisons de la terminaison des sessions et les corréler avec les événements système :
# Corréler avec les événements système qui pourraient causer la terminaison des sessions
$SystemEvents = Get-WinEvent -FilterHashtable @{
    LogName='System'
    Id=@(1074,6005,6006,6008,6009)
    StartTime=$AnalysisStart
}

# Trouver les sessions terminées près des événements système
$CorrelatedEvents = foreach ($SysEvent in $SystemEvents) {
    $NearbySessionEvents = $SessionData | Where-Object {
        $_.EventID -eq 6279 -and
        [Math]::Abs(($_.TimeCreated - $SysEvent.TimeCreated).TotalMinutes) -lt 5
    }
    
    if ($NearbySessionEvents) {
        [PSCustomObject]@{
            SystemEvent = $SysEvent.Id
            SystemTime = $SysEvent.TimeCreated
            AffectedSessions = $NearbySessionEvents.Count
            Users = ($NearbySessionEvents.UserName | Sort-Object -Unique) -join ', '
        }
    }
}
  1. Générer des rapports médico-légaux détaillés :
# Générer un rapport de session complet
$Report = @{
    TotalSessions = ($SessionData | Where-Object EventID -eq 6279).Count
    UniqueUsers = ($SessionData.UserName | Sort-Object -Unique).Count
    TopUsers = $SessionData | Group-Object UserName | Sort-Object Count -Descending | Select-Object -First 10
    SessionsByHour = $SessionData | Group-Object {$_.TimeCreated.Hour} | Sort-Object Name
    RemoteSessions = $SessionData | Where-Object {$_.SourceIP -and $_.SourceIP -ne '-'}
    AnomalousPatterns = $AnomalousPatterns
    SystemCorrelations = $CorrelatedEvents
}

# Exporter en JSON pour une analyse plus approfondie
$Report | ConvertTo-Json -Depth 3 | Out-File "C:\Forensics\SessionAnalysis_$(Get-Date -Format 'yyyyMMdd_HHmmss').json"
Avertissement : L'analyse médico-légale peut être gourmande en ressources. Exécutez-la pendant les heures creuses et envisagez d'utiliser des tâches en arrière-plan pour de grands ensembles de données.

Aperçu

L'ID d'événement 6279 est un événement d'audit de connexion standard de Windows qui enregistre lorsque les sessions de connexion utilisateur sont détruites ou terminées. Cet événement se déclenche dans le journal de sécurité chaque fois qu'une session utilisateur se termine, que ce soit par déconnexion normale, déconnexion de bureau à distance, expiration de session ou terminaison forcée par les politiques système. L'événement fait partie du cadre complet d'audit de connexion de Windows et fournit des informations cruciales pour le suivi de la gestion du cycle de vie des sessions utilisateur.

Cet événement apparaît généralement dans des environnements à haute sécurité où un suivi détaillé des sessions est requis, tels que les institutions financières, les organisations de santé et les agences gouvernementales. Les administrateurs système s'appuient sur l'ID d'événement 6279 pour surveiller les modèles d'activité des utilisateurs, enquêter sur les incidents de sécurité et garantir la conformité avec les politiques organisationnelles concernant la gestion des sessions.

L'événement contient des informations détaillées sur la session terminée, y compris le compte utilisateur, le type de session, l'ID de connexion et la raison de la destruction de la session. Comprendre cet événement est essentiel pour maintenir des pistes d'audit appropriées et résoudre les problèmes liés aux sessions dans les environnements Windows d'entreprise.

Questions Fréquentes

Que signifie l'ID d'événement Windows 6279 et quand se produit-il ?+
L'ID d'événement 6279 indique qu'une session de connexion utilisateur a été détruite ou terminée dans Windows. Cet événement informatif se produit chaque fois qu'une session utilisateur se termine, y compris les déconnexions normales, les déconnexions de bureau à distance, les expirations de session, les terminaisons administratives ou les arrêts du système. L'événement est enregistré dans le journal des événements de sécurité et fournit des informations détaillées sur la session terminée, y compris le compte utilisateur, le type de session et l'ID de connexion pour la corrélation avec d'autres événements d'audit.
Comment puis-je corréler l'ID d'événement 6279 avec les événements de connexion utilisateur pour suivre la durée de la session ?+
Pour corréler la destruction de session avec les événements de connexion, faites correspondre le champ Logon ID de l'Event ID 6279 avec les événements de connexion correspondants comme 4624 (connexion réussie) ou 4625 (connexion échouée). Utilisez PowerShell pour interroger les deux types d'événements et les joindre sur la propriété Logon ID. Cela vous permet de calculer la durée de la session en soustrayant l'heure de connexion de l'heure de déconnexion. Le Logon ID est unique pour chaque session et sert de clé primaire pour la corrélation entre différents événements d'audit.
Pourquoi est-ce que je ne vois pas l'ID d'événement 6279 dans mon journal de sécurité ?+
L'ID d'événement 6279 nécessite une configuration appropriée de la stratégie d'audit pour apparaître dans le journal de sécurité. Vous devez activer les stratégies 'Audit Logon' et 'Audit Logoff' sous la catégorie Logon/Logoff dans la Configuration avancée de la stratégie d'audit. Utilisez 'auditpol /set /subcategory:"Logoff" /success:enable' pour l'activer via la ligne de commande, ou configurez-le via la stratégie de groupe à Configuration de l'ordinateur → Stratégies → Paramètres Windows → Paramètres de sécurité → Configuration avancée de la stratégie d'audit → Stratégies d'audit → Logon/Logoff. Sans ces politiques activées, les événements de terminaison de session ne seront pas enregistrés.
Quelles informations sont contenues dans l'ID d'événement 6279 et comment puis-je les extraire par programmation ?+
L'ID d'événement 6279 contient plusieurs champs de données clés : ID de sécurité du sujet (SID de l'utilisateur), Nom du compte, Domaine du compte, ID de connexion (pour la corrélation), Nom de session, Type de connexion (interactive, réseau, service, etc.), et Adresse réseau source pour les sessions à distance. Vous pouvez extraire ces informations en utilisant PowerShell avec Get-WinEvent et en accédant au tableau Properties. Par exemple, $_.Properties[1].Value contient le nom du compte, $_.Properties[3].Value contient l'ID de connexion, et $_.Properties[5].Value contient le type de connexion. Créez des objets personnalisés pour structurer ces données pour l'analyse et le reporting.
Comment puis-je utiliser l'ID d'événement 6279 pour la surveillance de la sécurité et la réponse aux incidents ?+
L'ID d'événement 6279 est précieux pour la surveillance de la sécurité en suivant des schémas de session inhabituels qui pourraient indiquer une compromission ou des violations de politique. Surveillez les sessions avec des durées très courtes (attaques échouées potentielles), les terminaisons rapides de sessions multiples par le même utilisateur (bourrage d'identifiants possible), les sessions provenant d'IP sources ou de moments inhabituels, et les sessions terminées immédiatement après la connexion (attaques automatisées potentielles). Configurez une surveillance automatisée à l'aide de scripts PowerShell ou d'outils SIEM pour alerter sur ces schémas. Lors de la réponse à un incident, corrélez l'ID d'événement 6279 avec d'autres événements de sécurité pour construire une chronologie de l'activité utilisateur et identifier l'étendue des violations potentielles.
Documentation

Références (2)

1
Microsoft Security Auditing Events ReferenceComprehensive guide to Windows security auditing events including logon and session management eventshttps://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Advanced Security Audit Policy SettingsOfficial documentation for configuring advanced audit policies in Windows environmentshttps://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#windows-security#session-management#event-id-6279

Événements Windows associés

Windows Event Viewer showing system event logs on a monitoring dashboard
Event 6145
WinLogon
Windows EventInformation

ID d'événement Windows 6145 – WinLogon : Session de connexion utilisateur détruite

L'ID d'événement 6145 indique qu'une session de connexion utilisateur a été détruite par le service de connexion Windows, se produisant généralement lors d'une déconnexion normale, d'un arrêt du système ou d'une terminaison forcée de session.

18 mars9 min
Windows Event Viewer displaying Event ID 1502 user profile service errors on an administrator's monitoring workstation
Event 1502
WinLogon
Windows EventError

ID d'événement Windows 1502 – WinLogon : Échec du chargement du profil utilisateur par le service de profil utilisateur

L'ID d'événement 1502 indique que le service de profil utilisateur n'a pas pu charger un profil utilisateur lors de la connexion, généralement en raison de données de profil corrompues, de permissions insuffisantes ou de corruption du registre.

18 mars9 min
Windows Event Viewer displaying system telemetry logs on a professional IT workstation
Event 1101
Winlogon
Windows EventInformation

ID d'événement Windows 1101 – Winlogon : Notification de connexion utilisateur pour le programme d'amélioration de l'expérience client

L'ID d'événement 1101 de Winlogon indique les notifications de connexion utilisateur pour le Programme d'amélioration de l'expérience client (CEIP). Cet événement informatif suit les sessions utilisateur à des fins de télémétrie.

18 mars9 min
Windows Event Viewer showing system event logs on a monitoring dashboard
Event 5617
Winlogon
Windows EventInformation

ID d'événement Windows 5617 – Winlogon : Session de connexion utilisateur détruite

L'ID d'événement 5617 indique qu'une session de connexion utilisateur a été détruite par le service Windows Logon, se produisant généralement lors des processus normaux de déconnexion ou de terminaison de session utilisateur.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...