Windows Events — Référence des Event ID & Dépannage
ID d'événement Windows 4702 – Sécurité : Tâche planifiée créée
L'ID d'événement 4702 enregistre la création d'une nouvelle tâche planifiée sur les systèmes Windows. Cet événement d'audit de sécurité aide les administrateurs à suivre la création de tâches à des fins de conformité et de surveillance de la sécurité.
ID d'événement Windows 4701 – Sécurité : Une tâche planifiée a été désactivée
L'ID d'événement 4701 enregistre lorsqu'une tâche planifiée est désactivée sur les systèmes Windows. Cet événement d'audit de sécurité suit les modifications de gestion des tâches à des fins de conformité et de surveillance de la sécurité.
ID d'événement Windows 4700 – Sécurité : Un compte utilisateur a été créé
L'ID d'événement 4700 enregistre la création d'un nouveau compte utilisateur sur un système Windows. Cet événement d'audit de sécurité fournit des informations détaillées sur qui a créé le compte, quand il a été créé, et les propriétés du compte configurées lors de la création.
ID d'événement Windows 4699 – Sécurité : Un droit de jeton a été ajusté
L'ID d'événement 4699 enregistre lorsque Windows ajuste les privilèges de jeton d'utilisateur ou de processus, généralement lors d'une élévation de privilèges ou de changements de contexte de sécurité. Critique pour l'audit de sécurité et la surveillance des privilèges.
ID d'événement Windows 4698 – Microsoft-Windows-Security-Auditing : Tâche planifiée créée
L'ID d'événement 4698 enregistre la création d'une nouvelle tâche planifiée sur les systèmes Windows. Cet événement d'audit de sécurité aide les administrateurs à suivre la création de tâches à des fins de conformité et de surveillance de la sécurité.
ID d'événement Windows 4697 – Audit de sécurité : Un service a été installé sur le système
L'ID d'événement 4697 se déclenche lorsqu'un nouveau service Windows est installé sur le système. Cet événement d'audit de sécurité aide à suivre les installations de services à des fins de conformité et de surveillance de la sécurité.
ID d'événement Windows 4696 – Microsoft-Windows-Security-Auditing : Jeton principal attribué au processus
L'ID d'événement 4696 enregistre lorsque Windows attribue un jeton principal à un nouveau processus lors de sa création, fournissant un contexte de sécurité détaillé pour l'audit des processus et l'analyse judiciaire.
ID d'événement Windows 4693 – Microsoft-Windows-Security-Auditing : Tentative d'accès à un objet système protégé
L'ID d'événement 4693 enregistre lorsqu'un processus tente d'accéder à un objet système protégé, indiquant généralement l'application de la politique de sécurité ou des tentatives d'accès non autorisées potentielles dans les environnements Windows.
ID d'événement Windows 4692 – Microsoft-Windows-Security-Auditing : Une tentative de sauvegarde de la politique d'audit de sécurité a été effectuée
L'ID d'événement 4692 se déclenche lorsque Windows tente de sauvegarder la configuration de la politique d'audit de sécurité. Cet événement d'audit de sécurité suit les opérations de sauvegarde de la politique à des fins de conformité et d'enquête judiciaire.
ID d'événement Windows 4689 – Sécurité : Audit de terminaison de processus
L'ID d'événement 4689 enregistre lorsqu'un processus se termine sur les systèmes Windows avec l'audit des processus activé. Cet événement de sécurité fournit des informations détaillées sur la gestion du cycle de vie des processus et est essentiel pour l'analyse judiciaire et la surveillance de la sécurité.
ID d'événement Windows 4688 – Microsoft-Windows-Security-Auditing : Événement d'audit de création de processus
L'ID d'événement 4688 enregistre chaque nouvelle création de processus sur les systèmes Windows lorsque l'audit des processus est activé. Critique pour la surveillance de la sécurité, la criminalistique et la détection de l'exécution non autorisée de programmes.
ID d'événement Windows 4675 – Microsoft-Windows-Security-Auditing : Attribution des droits de connexion du compte utilisateur
L'ID d'événement 4675 enregistre lorsque les droits de connexion d'un compte utilisateur sont attribués ou supprimés, généralement lors de l'application de la stratégie de groupe ou de modifications manuelles de la politique de sécurité.
ID d'événement Windows 4674 – Sécurité : Tentative d'opération sur un objet privilégié
L'ID d'événement 4674 enregistre lorsqu'un utilisateur ou un processus tente d'effectuer une opération privilégiée sur un objet protégé, fournissant des informations d'audit détaillées pour la surveillance de la sécurité et le suivi de la conformité.
ID d'événement Windows 4673 – Sécurité : Utilisation de privilège sensible
L'ID d'événement 4673 enregistre lorsqu'un utilisateur ou un processus tente d'utiliser un privilège sensible sur les systèmes Windows. Cet événement d'audit de sécurité aide à suivre les opérations privilégiées et les risques de sécurité potentiels.
ID d'événement Windows 4649 – Microsoft-Windows-Security-Auditing : Une attaque par rejeu a été détectée
L'ID d'événement 4649 indique que Windows a détecté une potentielle attaque par rejeu Kerberos où les informations d'identification d'authentification ont été réutilisées de manière malveillante. Cet événement d'audit de sécurité nécessite une enquête immédiate pour prévenir tout accès non autorisé.
ID d'événement Windows 4621 – LSA : Politique de l'agent de récupération de l'administrateur modifiée
L'ID d'événement 4621 se déclenche lorsque la politique de l'Agent de récupération de l'administrateur pour le système de fichiers de chiffrement (EFS) est modifiée, indiquant des changements dans les capacités de récupération de données sur le système.
ID d'événement Windows 4618 – Sécurité : Un modèle d'événement de sécurité surveillé s'est produit
L'ID d'événement 4618 indique que la sécurité Windows a détecté un modèle d'événement de sécurité surveillé, généralement lié à des modifications de la politique d'audit ou à des mises à jour de la configuration de la surveillance de la sécurité.
ID d'événement Windows 4616 – Sécurité : Heure du système modifiée
L'ID d'événement 4616 enregistre lorsque l'heure système est modifiée sur une machine Windows. Cet événement d'audit de sécurité suit les modifications de l'heure à des fins de conformité et d'enquête judiciaire.
ID d'événement Windows 4611 – LSA : Un processus de connexion de confiance a été attribué à un package d'authentification
L'ID d'événement 4611 se déclenche lorsque l'Autorité de sécurité locale (LSA) assigne un processus de connexion de confiance à un package d'authentification, indiquant l'initialisation normale du sous-système d'authentification ou des modifications de configuration.
ID d'événement Windows 4610 – LSA : Package d'authentification chargé
L'ID d'événement 4610 enregistre lorsque l'Autorité de sécurité locale (LSA) charge un package d'authentification lors du démarrage du système, indiquant l'initialisation du sous-système de sécurité.
ID d'événement Windows 4609 – Sécurité : Windows démarre
L'ID d'événement 4609 enregistre le début du processus de démarrage de Windows. Cet événement d'audit de sécurité se déclenche lors du démarrage du système et fournit des informations temporelles critiques pour la surveillance de la sécurité et l'analyse judiciaire.