Référence IT & Documentation
Documentation technique de référence : articles KB vérifiés et référence complète des Event ID Windows.
ID d'événement Windows 5889 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté
L'ID d'événement 5889 indique que l'heure du système a été modifiée, soit manuellement par un utilisateur, soit automatiquement par des services de synchronisation de l'heure. Cet événement aide à suivre les modifications de l'heure à des fins de sécurité et d'audit.
ID d'événement Windows 5888 – ESENT : Récupération de la base de données terminée avec succès
L'ID d'événement 5888 indique que le moteur de stockage extensible (ESENT) a terminé avec succès les opérations de récupération de la base de données, généralement lors du démarrage du système ou après un arrêt inattendu.
ID d'événement Windows 5828 – ESENT : Récupération de la base de données terminée avec succès
L'ID d'événement 5828 indique que le moteur de stockage extensible (ESENT) a terminé avec succès les opérations de récupération de la base de données, généralement après un arrêt inattendu ou un crash.
ID d'événement Windows 5827 – DFSR : Récupération de la base de données terminée avec succès
L'ID d'événement 5827 indique que le service de réplication du système de fichiers distribué (DFSR) a réussi à terminer les opérations de récupération de la base de données après avoir détecté une corruption ou des incohérences dans sa base de données interne.
ID d'événement Windows 5712 – DFSR : Notification de changement d'état du service DFSR
L'ID d'événement 5712 indique un changement d'état du service de réplication du système de fichiers distribués (DFSR), se produisant généralement lors du démarrage, de l'arrêt ou des modifications de configuration du service sur les systèmes Windows Server.
ID d'événement Windows 5633 – Audit de sécurité : Événement d'audit de gestion des comptes utilisateur
L'ID d'événement 5633 suit les opérations de gestion des comptes utilisateurs dans l'audit de sécurité Windows, se déclenchant lorsque des comptes utilisateurs sont créés, modifiés ou supprimés par des actions administratives.
ID d'événement Windows 5632 – LSA : Package d'authentification chargé
L'ID d'événement 5632 indique qu'un package d'authentification a été chargé par l'Autorité de sécurité locale (LSA). Cet événement d'audit de sécurité suit le moment où les fournisseurs d'authentification sont initialisés lors du démarrage du système ou des modifications du sous-système de sécurité.
ID d'événement Windows 5484 – Microsoft-Windows-Security-Auditing : Une poignée vers un objet a été demandée
L'ID d'événement 5484 enregistre lorsqu'un processus demande un handle à un objet dans Windows. Cet événement d'audit de sécurité suit les tentatives d'accès aux objets à des fins de conformité et de surveillance de la sécurité.
ID d'événement Windows 5453 – Microsoft-Windows-Kernel-PnP : Installation de périphérique bloquée par la politique
L'ID d'événement 5453 indique que Windows a bloqué l'installation d'un périphérique en raison de restrictions de stratégie de groupe ou de politiques d'installation de périphériques configurées sur le système.
ID d'événement Windows 5377 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion
L'ID d'événement 5377 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés lors de l'authentification.
ID d'événement Windows 5376 – Microsoft-Windows-Security-Auditing : Les informations d'identification du gestionnaire d'informations d'identification ont été sauvegardées
L'ID d'événement 5376 se déclenche lorsque les informations d'identification du Gestionnaire d'informations d'identification Windows sont sauvegardées sur un fichier ou un emplacement externe, indiquant une activité de sécurité potentielle qui nécessite une surveillance.
ID d'événement Windows 5157 – Plateforme de filtrage Windows : Connexion réseau bloquée par le pare-feu
L'ID d'événement 5157 indique que la plateforme de filtrage Windows a bloqué une tentative de connexion réseau. Cet événement d'audit de sécurité aide les administrateurs à suivre le trafic réseau bloqué et l'efficacité des règles de pare-feu.
ID d'événement Windows 5156 – Microsoft-Windows-Security-Auditing : Connexion réseau autorisée par la plateforme de filtrage Windows
L'ID d'événement 5156 enregistre lorsque la plateforme de filtrage Windows autorise une connexion réseau. Cet événement d'audit de sécurité suit les connexions entrantes et sortantes autorisées pour la conformité et la surveillance du réseau.
ID d'événement Windows 5152 – Plateforme de filtrage Windows : Paquet réseau bloqué par le pare-feu
L'ID d'événement 5152 indique que la plateforme de filtrage Windows a bloqué un paquet réseau. Cet événement d'audit de sécurité aide à suivre l'activité du pare-feu et à identifier les tentatives de connexion bloquées sur les systèmes Windows.
ID d'événement Windows 5124 – WinRM : le service WS-Management ne peut pas traiter la demande
L'ID d'événement 5124 indique que le service WS-Management n'a pas pu traiter une demande en raison de problèmes d'authentification, d'autorisation ou de configuration. Critique pour le dépannage de la gestion à distance PowerShell et Windows Remote Management.
ID d'événement Windows 5121 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté
L'ID d'événement 5121 se déclenche lorsque Windows détecte un changement de l'heure système, soit par un ajustement manuel, soit par une synchronisation automatique. Critique pour l'audit de sécurité et le dépannage des problèmes liés au temps.
ID d'événement Windows 5120 – Microsoft-Windows-Hyper-V-VmSwitch : Échec de la connexion du port de commutateur virtuel
L'ID d'événement 5120 indique qu'un commutateur virtuel Hyper-V n'a pas réussi à connecter l'adaptateur réseau d'une machine virtuelle à un port de commutateur, généralement en raison de contraintes de ressources ou de problèmes de configuration.
ID d'événement Windows 5061 – Microsoft-Windows-Security-Auditing : Échec de l'opération cryptographique
L'ID d'événement 5061 indique un échec d'opération cryptographique dans l'audit de sécurité Windows, généralement lié à la validation de certificat, aux processus de chiffrement ou aux problèmes de vérification de signature numérique.
ID d'événement Windows 5058 – Microsoft-Windows-Kernel-General : Échec de l'opération de fichier clé
L'ID d'événement 5058 indique une défaillance critique d'opération de fichier au niveau du noyau, impliquant généralement des fichiers système, des ruches de registre ou des bases de données de sécurité que Windows ne peut pas accéder ou modifier correctement.
ID d'événement Windows 5056 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté
L'ID d'événement 5056 se déclenche lorsque Windows détecte un changement de l'heure système, généralement lors du démarrage ou lorsque la synchronisation de l'heure se produit. Critique pour les pistes d'audit et le dépannage des problèmes liés au temps.