System administrator monitoring Windows kernel process events on multiple screens in an IT operations center

Event ID 6280InformationMicrosoft-Windows-Kernel-ProcessWindows

ID d'événement Windows 6280 – Microsoft-Windows-Kernel-Process : Notification de création de processus

L'ID d'événement 6280 enregistre les événements de création de processus dans le fournisseur ETW Microsoft-Windows-Kernel-Process, capturant des informations détaillées sur le démarrage des processus pour la surveillance de la sécurité et l'analyse du système.

Emanuel DE ALMEIDA

18 mars 20269 min de lecture 0

Event ID 6280Microsoft-Windows-Kernel-Process 5 méthodes 9 min

Référence événement

Signification de cet événement

L'ID d'événement 6280 représente une notification de création de processus au niveau du noyau générée par le sous-système de gestion des processus du noyau Windows. Lorsqu'un exécutable se lance sur le système, le noyau enregistre immédiatement cet événement dans le fournisseur ETW Microsoft-Windows-Kernel-Process avant que le processus ne soit entièrement initialisé. Ce timing garantit que même les processus de courte durée ou ceux qui plantent au démarrage sont capturés dans le journal des événements.

L'événement contient des données judiciaires critiques, y compris l'ID de processus (PID), l'ID du processus parent (PPID), le chemin de l'exécutable, les arguments de la ligne de commande et l'identifiant de sécurité (SID) du contexte utilisateur sous lequel le processus s'exécute. De plus, il enregistre le temps de création du processus avec une grande précision, ce qui le rend inestimable pour l'analyse chronologique lors de la réponse aux incidents.

Contrairement à l'ID d'événement de sécurité 4688, qui dépend de la configuration de la politique d'audit et peut être désactivé par les administrateurs, l'ID d'événement 6280 fonctionne au niveau du noyau et fournit un suivi cohérent des processus indépendamment des paramètres d'audit. Cependant, le journal Microsoft-Windows-Kernel-Process/Analytic où cet événement apparaît est désactivé par défaut et doit être explicitement activé pour la collecte des événements.

Les équipes de sécurité activent souvent ce canal de journalisation comme mécanisme de surveillance de processus de secours ou lors de l'enquête sur des menaces sophistiquées qui tentent de désactiver la journalisation d'audit traditionnelle. La génération au niveau du noyau de l'événement le rend plus difficile à supprimer pour les logiciels malveillants par rapport aux événements d'audit en mode utilisateur.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025

Analyse

Causes possibles

Création de processus normale lors du lancement de tout fichier exécutable sur le système
Démarrage de service pendant le démarrage du système ou l'initiation manuelle d'un service
Exécution de tâche planifiée déclenchant de nouvelles instances de processus
Lancements d'applications utilisateur depuis le bureau, le menu Démarrer ou la ligne de commande
Création de processus enfant à partir de processus parents (engendrement)
Initialisation de processus système pendant la séquence de démarrage de Windows
Exécution de script PowerShell créant de nouveaux contextes de processus
Exécution de logiciels malveillants tentant de lancer des processus non autorisés
Outils d'administration lançant des processus avec élévation de privilèges
Mises à jour d'applications en arrière-plan créant des processus d'installation

Méthodes de résolution

Étapes de dépannage

Activer et afficher les événements de processus du noyau

Tout d'abord, activez le journal Microsoft-Windows-Kernel-Process/Analytic pour commencer à collecter l'ID d'événement 6280 :

# Activer le journal Analytic du processus Kernel
wevtutil sl Microsoft-Windows-Kernel-Process/Analytic /e:true

# Vérifier que le journal est activé
wevtutil gl Microsoft-Windows-Kernel-Process/Analytic

Naviguez vers le Visualisateur d'événements pour voir les événements :

Visualisateur d'événements → Journaux des applications et services → Microsoft → Windows → Kernel-Process → Analytic

Interrogez les entrées récentes de l'ID d'événement 6280 en utilisant PowerShell :

# Obtenir les 50 derniers événements de création de processus
Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-Kernel-Process/Analytic'; Id=6280} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap

Astuce pro : Le journal Analytic peut générer de grands volumes d'événements. Envisagez de filtrer par plage de temps ou processus spécifiques pour éviter un impact sur les performances.

Filtrer les événements de processus par chemin d'exécutable

Créez des requêtes ciblées pour surveiller des exécutables spécifiques ou des modèles de processus suspects :

# Surveiller les lancements d'exécutables spécifiques
$FilterXML = @"

  
    
  

"@

Get-WinEvent -FilterXml $FilterXML -MaxEvents 25

Surveiller les processus lancés depuis des répertoires suspects :

# Vérifier les processus provenant des répertoires temporaires
$Events = Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-Kernel-Process/Analytic'; Id=6280} -MaxEvents 100
$Events | Where-Object {$_.Message -match "\\temp\\|\\appdata\\local\\temp\\"} | Select-Object TimeCreated, Message

Exporter les résultats filtrés pour analyse :

# Exporter les événements de processus suspects vers un fichier CSV
$SuspiciousEvents = Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-Kernel-Process/Analytic'; Id=6280} -MaxEvents 1000 |
  Where-Object {$_.Message -match "powershell|cmd|wscript|cscript"}
$SuspiciousEvents | Export-Csv -Path "C:\temp\process_events.csv" -NoTypeInformation

Analyser les relations parent-enfant des processus

Extraire et analyser les informations de hiérarchie des processus à partir de l'ID d'événement 6280 pour identifier les modèles de génération de processus :

# Analyser les événements de création de processus pour les relations parent-enfant
$ProcessEvents = Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-Kernel-Process/Analytic'; Id=6280} -MaxEvents 500

$ProcessData = foreach ($Event in $ProcessEvents) {
    $XML = [xml]$Event.ToXml()
    $EventData = $XML.Event.EventData.Data
    
    [PSCustomObject]@{
        TimeCreated = $Event.TimeCreated
        ProcessId = ($EventData | Where-Object {$_.Name -eq 'ProcessId'}).InnerText
        ParentProcessId = ($EventData | Where-Object {$_.Name -eq 'ParentProcessId'}).InnerText
        ImageName = ($EventData | Where-Object {$_.Name -eq 'ImageName'}).InnerText
        CommandLine = ($EventData | Where-Object {$_.Name -eq 'CommandLine'}).InnerText
    }
}

# Afficher l'arborescence des processus
$ProcessData | Sort-Object TimeCreated | Format-Table -AutoSize

Identifier les processus avec des relations parentales inhabituelles :

# Trouver les processus générés par des parents inattendus
$UnusualParents = $ProcessData | Where-Object {
    ($_.ImageName -match "powershell.exe" -and $_.ParentProcessId -notmatch "explorer.exe|cmd.exe") -or
    ($_.ImageName -match "cmd.exe" -and $_.ParentProcessId -match "winword.exe|excel.exe|outlook.exe")
}

$UnusualParents | Format-Table TimeCreated, ImageName, ParentProcessId -AutoSize

Avertissement : La création de processus à haut volume peut affecter les performances du système. Utilisez des filtres basés sur le temps lors de l'analyse de systèmes occupés.

Configurer la journalisation et la surveillance avancées ETW

Configurez la journalisation ETW complète avec une taille de journal et des politiques de rétention personnalisées :

# Configurer la taille du journal et la rétention
wevtutil sl Microsoft-Windows-Kernel-Process/Analytic /ms:104857600  # 100MB
wevtutil sl Microsoft-Windows-Kernel-Process/Analytic /rt:false      # Désactiver en temps réel

# Créer une tâche planifiée pour la rotation des journaux
$Action = New-ScheduledTaskAction -Execute "wevtutil" -Argument "cl Microsoft-Windows-Kernel-Process/Analytic"
$Trigger = New-ScheduledTaskTrigger -Daily -At "02:00AM"
$Settings = New-ScheduledTaskSettingsSet -RunOnlyIfNetworkAvailable:$false
Register-ScheduledTask -TaskName "RotateKernelProcessLog" -Action $Action -Trigger $Trigger -Settings $Settings -User "SYSTEM"

Créez un transfert d'événements personnalisé pour une surveillance centralisée :

# Enregistrez sous ProcessCreation.xml pour le transfert d'événements
<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
    <SubscriptionId>ProcessCreationEvents</SubscriptionId>
    <SubscriptionType>SourceInitiated</SubscriptionType>
    <Description>Transférer les événements de création de processus</Description>
    <Enabled>true</Enabled>
    <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>
    <Query>
        <![CDATA[
        <QueryList>
            <Query Id="0">
                <Select Path="Microsoft-Windows-Kernel-Process/Analytic">*[System[EventID=6280]]</Select>
            </Query>
        </QueryList>
        ]]>
    </Query>
</Subscription>

Déployez l'abonnement :

# Créer un abonnement d'événements
wecutil cs ProcessCreation.xml

Mettre en œuvre des règles de détection automatisée des menaces

Créer un script de surveillance basé sur PowerShell pour la détection de menaces en temps réel :

# Script de détection de menaces avancées
$LogName = 'Microsoft-Windows-Kernel-Process/Analytic'
$EventId = 6280

# Définir des modèles suspects
$SuspiciousPatterns = @(
    '.*\\temp\\.*\.exe',
    '.*powershell.*-enc.*',
    '.*cmd.*\/c.*echo.*',
    '.*wscript.*\.vbs',
    '.*regsvr32.*scrobj.dll'
)

# Surveiller les nouveaux événements
Register-WmiEvent -Query "SELECT * FROM Win32_NTLogEvent WHERE LogFile='$LogName' AND EventCode=$EventId" -Action {
    $Event = $Event.SourceEventArgs.NewEvent
    $Message = $Event.Message
    
    foreach ($Pattern in $SuspiciousPatterns) {
        if ($Message -match $Pattern) {
            Write-Host "[ALERT] Processus suspect détecté : $Message" -ForegroundColor Red
            # Ajouter la logique d'alerte ici (email, SIEM, etc.)
            break
        }
    }
}

Write-Host "Surveillance des processus active. Appuyez sur Ctrl+C pour arrêter."
try { while ($true) { Start-Sleep 1 } }
finally { Get-EventSubscriber | Unregister-Event }

Configurer Windows Performance Toolkit (WPT) pour une analyse avancée :

# Créer une session ETW personnalisée pour un suivi détaillé des processus
$SessionName = "ProcessMonitoring"
$ETLFile = "C:\temp\process_trace.etl"

# Démarrer la session ETW
logman create trace $SessionName -p Microsoft-Windows-Kernel-Process -o $ETLFile -ets

# Arrêter la session après la période de collecte
# logman stop $SessionName -ets

Astuce pro : Combinez la surveillance de l'ID d'événement 6280 avec l'ID d'événement Sysmon 1 pour un suivi complet des processus à travers différents mécanismes de journalisation.

Aperçu

L'ID d'événement 6280 se déclenche chaque fois qu'un nouveau processus démarre sur un système Windows, généré par le fournisseur Microsoft-Windows-Kernel-Process ETW (Event Tracing for Windows). Cet événement capture des détails complets sur la création de processus, y compris les informations sur le processus parent, les arguments de ligne de commande et le contexte de sécurité. Contrairement à l'ID d'événement 4688 plus couramment référencé dans le journal de sécurité, l'ID d'événement 6280 fournit un suivi de processus au niveau du noyau qui fonctionne indépendamment des paramètres de la politique d'audit.

Cet événement apparaît dans le journal Microsoft-Windows-Kernel-Process/Analytic, qui nécessite une activation manuelle via l'Observateur d'événements ou des commandes PowerShell. Les administrateurs système utilisent l'ID d'événement 6280 pour une surveillance avancée des processus, la détection de logiciels malveillants et l'analyse judiciaire lorsque l'audit traditionnel du journal de sécurité est insuffisant ou désactivé.

L'événement devient particulièrement précieux dans les environnements où un suivi complet des processus est requis mais où les politiques d'audit de sécurité ne peuvent pas être modifiées en raison de préoccupations de performance ou de restrictions organisationnelles. L'ID d'événement 6280 offre une visibilité similaire sur la création de processus avec une charge minimale sur le système par rapport à l'audit traditionnel des journaux.

Questions Fréquentes

Quelle est la différence entre l'ID d'événement 6280 et l'ID d'événement de sécurité 4688 ?+

L'ID d'événement 6280 est généré par le fournisseur ETW Microsoft-Windows-Kernel-Process au niveau du noyau et fonctionne indépendamment des paramètres de la politique d'audit, tandis que l'ID d'événement 4688 nécessite que 'Audit Process Creation' soit activé dans la politique de sécurité. L'ID d'événement 6280 fournit des informations similaires sur la création de processus mais apparaît dans le canal de journal analytique plutôt que dans le journal de sécurité. La génération au niveau du noyau de 6280 le rend plus fiable pour l'analyse judiciaire car il ne peut pas être facilement désactivé par des logiciels malveillants qui pourraient tenter de modifier les politiques d'audit.

Pourquoi ne vois-je pas l'ID d'événement 6280 dans mon Observateur d'événements par défaut ?+

Le journal Microsoft-Windows-Kernel-Process/Analytic est désactivé par défaut pour éviter l'impact sur les performances dû aux événements de création de processus à haut volume. Vous devez l'activer manuellement en utilisant 'wevtutil sl Microsoft-Windows-Kernel-Process/Analytic /e:true' ou via le Visualiseur d'événements en cliquant avec le bouton droit sur le journal Analytic sous Microsoft-Windows-Kernel-Process et en sélectionnant 'Enable Log'. Une fois activé, le système commencera à collecter les entrées Event ID 6280 pour toutes les nouvelles créations de processus.

Comment puis-je empêcher les journaux d'ID d'événement 6280 de consommer trop d'espace disque ?+

Configurez les limites de taille des journaux et les politiques de rétention en utilisant les commandes wevtutil. Définissez la taille maximale du journal avec 'wevtutil sl Microsoft-Windows-Kernel-Process/Analytic /ms:104857600' (exemple de 100MB). Activez le mode de réécriture des journaux avec '/rt:false' pour empêcher la consommation en temps réel. Créez des tâches planifiées pour effacer ou archiver périodiquement les journaux en utilisant 'wevtutil cl Microsoft-Windows-Kernel-Process/Analytic'. Pour les environnements de production, envisagez de transférer les événements vers un système de journalisation centralisé et de maintenir des fichiers journaux locaux plus petits.

L'ID d'événement 6280 peut-il aider à détecter les logiciels malveillants qui désactivent la journalisation des audits de sécurité ?+

Oui, l'ID d'événement 6280 fonctionne au niveau du noyau indépendamment des politiques d'audit de sécurité, ce qui le rend précieux pour détecter les logiciels malveillants qui tentent de désactiver l'audit des processus traditionnels. Étant donné que l'événement est généré par le sous-système de gestion des processus du noyau avant que le processus ne soit entièrement initialisé, il capture la création de processus même lorsque l'ID d'événement de sécurité 4688 est désactivé. Cependant, des logiciels malveillants sophistiqués pourraient potentiellement désactiver le journal analytique lui-même, il devrait donc être utilisé dans le cadre d'une approche de surveillance en couches plutôt qu'un mécanisme de détection unique.

Quelle information l'ID d'événement 6280 fournit-il que d'autres outils de surveillance des processus ne fournissent pas ?+

L'ID d'événement 6280 fournit des horodatages de création de processus au niveau du noyau avec une haute précision, des arguments de ligne de commande complets, des relations de processus parent et des informations de contexte de sécurité (SID) au moment exact de la création du processus. Contrairement aux outils de surveillance en mode utilisateur, il capture les processus de courte durée qui pourraient se terminer avant que d'autres mécanismes de surveillance puissent les détecter. L'événement inclut également les ID de processus et de processus parent qui permettent une analyse détaillée de l'arborescence des processus pour les enquêtes judiciaires. De plus, il fournit ces informations via l'infrastructure standard du journal des événements Windows, le rendant compatible avec les systèmes de gestion de journaux et SIEM existants.

Documentation

Références (2)

Microsoft Learn - Event Tracing for Windows (ETW)Comprehensive documentation on ETW providers and event collection mechanisms in Windows.https://learn.microsoft.com/en-us/windows/win32/etw/event-tracing-portal

Windows Performance Toolkit DocumentationOfficial guidance on using Windows Performance Toolkit for advanced ETW trace analysis and process monitoring.https://learn.microsoft.com/en-us/windows-hardware/test/wpt/

Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Événements Windows associés

Windows security monitoring dashboard showing Event Viewer with process creation audit logs

Event 4111

Microsoft-Windows-Kernel-Process

Windows EventInformation

ID d'événement Windows 4111 – Microsoft-Windows-Kernel-Process : Événement d'audit de création de processus

L'ID d'événement 4111 suit les événements de création de processus dans Windows lorsque l'audit avancé est activé. Cet événement axé sur la sécurité fournit des informations détaillées sur les nouveaux processus, y compris les détails du processus parent et les arguments de la ligne de commande.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter

Chargement des commentaires...