Windows Events — Référence des Event ID & Dépannage
ID d'événement Windows 4724 – Microsoft-Windows-Security-Auditing : Réinitialisation du mot de passe du compte utilisateur par l'administrateur
L'ID d'événement 4724 enregistre lorsqu'un administrateur réinitialise le mot de passe d'un autre utilisateur dans Active Directory ou des comptes locaux, fournissant une piste d'audit de sécurité critique pour les activités de gestion des mots de passe.
ID d'événement Windows 4722 – Microsoft-Windows-Security-Auditing : Compte utilisateur activé
L'ID d'événement 4722 se déclenche lorsqu'un compte utilisateur est activé dans Active Directory ou la base de données SAM locale. Critique pour l'audit de sécurité et le suivi des changements d'état des comptes.
ID d'événement Windows 4720 – Microsoft-Windows-Security-Auditing : Compte utilisateur créé
L'ID d'événement 4720 enregistre la création d'un nouveau compte utilisateur sur les systèmes Windows. Cet événement d'audit de sécurité suit les activités de création de compte à des fins de conformité et de surveillance de la sécurité.
ID d'événement Windows 4719 – Microsoft-Windows-Security-Auditing : Politique d'audit système modifiée
L'ID d'événement 4719 se déclenche lorsque les paramètres de la politique d'audit de Windows sont modifiés, indiquant des changements dans la configuration de l'audit de sécurité qui affectent les événements enregistrés.
ID d'événement Windows 4672 – Sécurité : Privilèges spéciaux attribués à une nouvelle connexion
L'ID d'événement 4672 se déclenche lorsque Windows attribue des privilèges spéciaux à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés à un compte.
ID d'événement Windows 4670 – Sécurité : Permissions de l'objet modifiées
L'ID d'événement 4670 enregistre lorsque les autorisations sont modifiées sur des objets sécurisables comme des fichiers, des dossiers ou des clés de registre. Critique pour l'audit de sécurité et le suivi de la conformité.
ID d'événement Windows 4663 – Sécurité : Une tentative d'accès à un objet a été effectuée
L'ID d'événement 4663 enregistre lorsqu'un processus tente d'accéder à un fichier, un dossier, une clé de registre ou un autre objet sécurisable. Cet événement d'audit de sécurité suit les tentatives d'accès aux objets pour la conformité et l'analyse judiciaire.
ID d'événement Windows 4662 – Sécurité : Audit d'accès aux objets
L'ID d'événement 4662 enregistre lorsqu'une opération est effectuée sur un objet avec une audit configurée. Cet événement de sécurité suit les tentatives d'accès aux fichiers, dossiers, clés de registre et objets Active Directory.
ID d'événement Windows 4660 – Microsoft-Windows-Security-Auditing : Objet supprimé
L'ID d'événement 4660 enregistre lorsqu'un objet est supprimé d'Active Directory ou de la base de données de sécurité locale, fournissant une piste d'audit pour les suppressions sensibles à la sécurité, y compris les comptes d'utilisateurs, les groupes et les unités organisationnelles.
ID d'événement Windows 4658 – Microsoft-Windows-Security-Auditing : Le descripteur d'un objet a été fermé
L'ID d'événement 4658 enregistre lorsqu'un handle vers un objet système est fermé, fournissant une piste d'audit pour le suivi de l'accès aux objets dans la surveillance de la sécurité Windows.
ID d'événement Windows 4657 – Microsoft-Windows-Security-Auditing : Valeur du registre modifiée
L'ID d'événement 4657 enregistre lorsqu'une valeur de registre est modifiée sur les systèmes Windows avec l'audit d'accès aux objets activé. Critique pour la surveillance de la sécurité et le suivi de la conformité.
ID d'événement Windows 4656 – Microsoft-Windows-Security-Auditing : Une poignée vers un objet a été demandée
L'ID d'événement 4656 enregistre lorsqu'un processus demande un handle à un objet comme des fichiers, des clés de registre ou des processus. Critique pour l'audit de sécurité et la surveillance d'accès dans les environnements Windows.
ID d'événement Windows 4612 – LSA : Modifications de la politique d'audit de sécurité
L'ID d'événement 4612 se déclenche lorsque les paramètres de stratégie d'audit de l'Autorité de sécurité locale (LSA) sont modifiés, indiquant des changements dans la configuration de l'audit de sécurité Windows qui affectent les événements enregistrés.
ID d'événement Windows 1108 – WinMgmt : Corruption du référentiel WMI détectée
L'ID d'événement 1108 indique une corruption du référentiel WMI détectée par le service Windows Management Instrumentation, nécessitant une enquête immédiate et une reconstruction potentielle du référentiel pour restaurer la fonctionnalité de gestion du système.
ID d'événement Windows 1104 – Microsoft-Windows-Eventlog : Arrêt du service de journalisation des événements
L'ID d'événement 1104 indique que le service de journal des événements Windows est en cours d'arrêt, généralement lors de l'arrêt du système, du redémarrage ou des opérations de maintenance du service.
ID d'événement Windows 1101 – Winlogon : Notification de connexion utilisateur pour le programme d'amélioration de l'expérience client
L'ID d'événement 1101 de Winlogon indique les notifications de connexion utilisateur pour le Programme d'amélioration de l'expérience client (CEIP). Cet événement informatif suit les sessions utilisateur à des fins de télémétrie.
ID d'événement Windows 1100 – EventLog : Arrêt du service de journalisation des événements
L'ID d'événement 1100 indique que le service Windows Event Log s'est arrêté, généralement lors de l'arrêt du système ou du redémarrage du service. Cet événement informatif aide à suivre le cycle de vie du service et les changements d'état du système.
ID d'événement Windows 16394 – Erreur d'application : Crash critique de l'application avec violation d'accès mémoire
L'ID d'événement 16394 indique un crash critique de l'application causé par des violations d'accès à la mémoire ou des données d'application corrompues, nécessitant une enquête immédiate pour prévenir l'instabilité du système.
ID d'événement Windows 16389 – Inconnu : Échec de l'initialisation de l'application ou du service
L'ID d'événement 16389 indique qu'une application ou un service n'a pas réussi à s'initialiser correctement au démarrage, souvent en raison de problèmes de dépendance, de fichiers corrompus ou de permissions insuffisantes.
ID d'événement Windows 16388 – Microsoft-Windows-Kernel-General : Notification de changement de l'heure système
L'ID d'événement 16388 se déclenche lorsque Windows détecte un changement de l'heure système, soit par un ajustement manuel, soit par une synchronisation automatique. Critique pour l'audit de sécurité et le dépannage des problèmes liés au temps.
ID d'événement Windows 16384 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté
L'ID d'événement 16384 se déclenche lorsque Windows détecte un changement de l'heure système, soit manuel, soit automatique. Critique pour l'audit de sécurité et le dépannage des problèmes de synchronisation de l'heure dans les environnements de domaine.