Windows Events — Référence des Event ID & Dépannage

ID d'événement Windows 5025 – Pare-feu Windows : Échec du démarrage du service

L'ID d'événement 5025 indique que le service de pare-feu Windows n'a pas pu démarrer, généralement en raison d'une configuration de service corrompue, de dépendances manquantes ou d'une corruption du registre affectant la sécurité du système.

ID d'événement Windows 5024 – Plateforme de filtrage Windows : Échec de l'initialisation du moteur de filtrage

L'ID d'événement 5024 indique que le moteur de filtrage de la plateforme de filtrage Windows (WFP) n'a pas réussi à s'initialiser ou a rencontré une erreur critique lors du démarrage, ce qui pourrait affecter la sécurité du réseau et la fonctionnalité du pare-feu.

ID d'événement Windows 4983 – Microsoft-Windows-Security-Auditing : Échec de l'authentification en mode principal IPsec

L'ID d'événement 4983 indique un échec d'authentification en mode principal IPsec lors de l'établissement d'une connexion VPN ou réseau sécurisé. Cet événement d'audit de sécurité aide à identifier les problèmes d'authentification dans les communications IPsec.

ID d'événement Windows 4978 – Sécurité : Échec de la négociation en mode principal IPsec

L'ID d'événement 4978 indique que la négociation du mode principal IPsec a échoué lors de l'établissement d'une connexion sécurisée. Cet événement de sécurité se produit lorsque deux points de terminaison ne parviennent pas à s'accorder sur les paramètres cryptographiques ou les méthodes d'authentification.

ID d'événement Windows 4977 – Microsoft-Windows-Security-Auditing : Association de sécurité en mode principal IPsec établie

L'ID d'événement 4977 indique l'établissement réussi d'une association de sécurité en mode principal IPsec entre deux points d'extrémité, confirmant la création d'un tunnel sécurisé pour la communication réseau chiffrée.

ID d'événement Windows 4976 – Microsoft-Windows-Security-Auditing : Connexion spéciale

L'ID d'événement 4976 enregistre lorsqu'un compte utilisateur se voit accorder des privilèges spéciaux lors de la connexion, généralement pour les comptes de service ou l'accès administratif nécessitant des autorisations élevées.

ID d'événement Windows 4963 – Microsoft-Windows-Security-Auditing : Audit d'accès aux objets désactivé

L'ID d'événement 4963 indique que l'audit d'accès aux objets a été désactivé sur un système Windows. Cet événement de sécurité se déclenche lorsque les stratégies d'audit pour la surveillance de l'accès aux fichiers, dossiers ou registres sont désactivées.

ID d'événement Windows 4962 – Microsoft-Windows-Security-Auditing : Association de sécurité en mode principal IPsec établie

L'ID d'événement 4962 enregistre lorsque Windows établit avec succès une association de sécurité en mode principal IPsec entre deux points de terminaison, indiquant la création d'un tunnel sécurisé pour les communications réseau.

ID d'événement Windows 4960 – Microsoft-Windows-Security-Auditing : Échec de l'authentification en mode principal IPsec

L'ID d'événement 4960 indique que l'authentification en mode principal IPsec a échoué lors de la négociation IKE. Cet événement d'audit de sécurité se déclenche lorsque Windows ne peut pas établir de tunnels IPsec sécurisés en raison de problèmes d'authentification.

ID d'événement Windows 4950 – Microsoft-Windows-Kernel-General : Heure du système modifiée

L'ID d'événement 4950 se déclenche lorsque l'heure système est modifiée sur une machine Windows, soit manuellement par un utilisateur, soit automatiquement par les services de synchronisation de l'heure.

ID d'événement Windows 4948 – Microsoft-Windows-Security-Auditing : Association de sécurité en mode principal IPsec établie

L'ID d'événement 4948 indique l'établissement réussi d'une association de sécurité en mode principal IPsec entre deux points d'extrémité, confirmant la création d'un tunnel sécurisé pour les communications réseau chiffrées.

ID d'événement Windows 4947 – Microsoft-Windows-Security-Auditing : Service de l'agent de stratégie IPsec démarré

L'ID d'événement 4947 indique que le service Agent de stratégie IPsec a démarré avec succès sur le système. Cet événement d'audit de sécurité confirme que l'application de la stratégie IPsec est active et prête à sécuriser les communications réseau.

ID d'événement Windows 4946 – Microsoft-Windows-Kernel-Power : Transition de l'état d'alimentation du système

L'ID d'événement 4946 indique une transition de l'état d'alimentation du système, généralement lorsque Windows entre ou sort du mode veille, hibernation ou d'autres états de gestion de l'alimentation. Critique pour diagnostiquer les problèmes liés à l'alimentation.

ID d'événement Windows 4944 – Microsoft-Windows-Security-Auditing : Un compte a été verrouillé

L'ID d'événement 4944 indique qu'un compte utilisateur a été verrouillé en raison du dépassement du nombre maximum de tentatives de connexion échouées pendant la période de seuil de verrouillage configurée.

ID d'événement Windows 4936 – Microsoft-Windows-Security-Auditing : Changement de politique de gestion des comptes utilisateur

L'ID d'événement 4936 enregistre les modifications des politiques de gestion des comptes utilisateurs dans Active Directory. Cet événement d'audit de sécurité se déclenche lorsque les administrateurs modifient les politiques de mot de passe, les paramètres de verrouillage de compte ou les politiques d'authentification Kerberos.

ID d'événement Windows 4935 – Microsoft-Windows-Security-Auditing : Tentatives maximales de réinitialisation de mot de passe quotidiennes dépassées

L'ID d'événement 4935 se déclenche lorsqu'un compte utilisateur dépasse le nombre maximal de tentatives de réinitialisation de mot de passe autorisées sur une période de 24 heures, activant des mécanismes de verrouillage de sécurité pour prévenir les attaques par force brute.

ID d'événement Windows 4933 – Microsoft-Windows-Security-Auditing : Création de la table de stratégie d'audit par utilisateur

L'ID d'événement 4933 se déclenche lorsque Windows crée une table de stratégie d'audit par utilisateur lors du démarrage du système ou lorsque les stratégies d'audit sont modifiées. Cet événement d'audit de sécurité suit l'initialisation des paramètres d'audit spécifiques à l'utilisateur.

ID d'événement Windows 4932 – Microsoft-Windows-Security-Auditing : Une tentative d'accès à un objet a été effectuée

L'ID d'événement 4932 enregistre lorsqu'un processus tente d'accéder à un objet protégé par la sécurité. Cet événement d'audit se déclenche lorsque l'audit d'accès aux objets est activé et aide à suivre les tentatives d'accès aux fichiers, au registre ou aux services.

ID d'événement Windows 4928 – Microsoft-Windows-Security-Auditing : Contexte de nommage de la source de réplique Active Directory établi

L'ID d'événement 4928 indique qu'un contexte de nommage source de réplique Active Directory a été établi avec succès entre les contrôleurs de domaine lors des opérations de réplication.

ID d'événement Windows 4912 – Microsoft-Windows-Kernel-General : Création de lien symbolique du gestionnaire d'objets

L'ID d'événement 4912 enregistre lorsque le gestionnaire d'objets Windows crée des liens symboliques dans l'espace de noms du noyau, généralement lors du démarrage du système ou des processus d'initialisation des pilotes.

ID d'événement Windows 4908 – Sécurité : Informations sur le domaine de confiance modifiées

L'ID d'événement 4908 indique que les informations de domaine de confiance ont été modifiées sur un contrôleur de domaine, généralement lors des opérations d'établissement, de modification ou de suppression de la confiance de domaine.