Référence IT & Documentation
Documentation technique de référence : articles KB vérifiés et référence complète des Event ID Windows.
ID d'événement Windows 4928 – Microsoft-Windows-Security-Auditing : Contexte de nommage de la source de réplique Active Directory établi
L'ID d'événement 4928 indique qu'un contexte de nommage source de réplique Active Directory a été établi avec succès entre les contrôleurs de domaine lors des opérations de réplication.
ID d'événement Windows 4912 – Microsoft-Windows-Kernel-General : Création de lien symbolique du gestionnaire d'objets
L'ID d'événement 4912 enregistre lorsque le gestionnaire d'objets Windows crée des liens symboliques dans l'espace de noms du noyau, généralement lors du démarrage du système ou des processus d'initialisation des pilotes.
ID d'événement Windows 4908 – Sécurité : Informations sur le domaine de confiance modifiées
L'ID d'événement 4908 indique que les informations de domaine de confiance ont été modifiées sur un contrôleur de domaine, généralement lors des opérations d'établissement, de modification ou de suppression de la confiance de domaine.
ID d'événement Windows 4906 – Microsoft-Windows-Security-Auditing : Une tentative d'enregistrement d'une source d'événement de sécurité a été effectuée
L'ID d'événement 4906 se déclenche lorsqu'une application ou un service tente de s'enregistrer comme source d'événements de sécurité dans le système de journal des événements Windows, généralement lors de l'installation de logiciels ou du démarrage de services.
ID d'événement Windows 4897 – Microsoft-Windows-Security-Auditing : Descripteur de sécurité du modèle de services de certificats modifié
L'ID d'événement 4897 se déclenche lorsque les autorisations de sécurité sur un modèle d'autorité de certification sont modifiées, indiquant des changements concernant qui peut demander, gérer ou s'inscrire aux certificats à partir de ce modèle.
ID d'événement Windows 4896 – Microsoft-Windows-Security-Auditing : Descripteur de sécurité du modèle de services de certificats modifié
L'ID d'événement 4896 se déclenche lorsque les autorisations de sécurité sur un modèle d'autorité de certification sont modifiées, indiquant des changements concernant qui peut demander, approuver ou gérer des types de certificats spécifiques.
ID d'événement Windows 4892 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté
L'ID d'événement 4892 se déclenche lorsque Windows détecte un changement de l'heure système, généralement lors de la synchronisation de l'heure, des ajustements manuels ou des corrections de dérive de l'horloge matérielle.
ID d'événement Windows 4890 – Microsoft-Windows-Security-Auditing : Une poignée vers un objet a été demandée
L'ID d'événement 4890 enregistre lorsqu'un processus demande un handle à un objet système. Cet événement d'audit de sécurité suit les tentatives d'accès aux objets à des fins de conformité et de surveillance de la sécurité.
ID d'événement Windows 4888 – Kernel-Power : Transition de l'état d'alimentation du système
L'ID d'événement 4888 de Kernel-Power indique une transition de l'état d'alimentation du système, généralement consignée lorsque Windows entre ou sort des états de veille, d'hibernation ou d'arrêt lors des opérations de gestion de l'alimentation.
ID d'événement Windows 4881 – Sécurité : Modifications des autorisations de sécurité du modèle de services de certificats
L'ID d'événement 4881 se connecte lorsque les autorisations de sécurité sur un modèle d'autorité de certification sont modifiées, indiquant des changements concernant qui peut demander ou gérer des types de certificats spécifiques dans votre infrastructure PKI.
ID d'événement Windows 4880 – Sécurité : Autorisations de sécurité du modèle de services de certificats modifiées
L'ID d'événement 4880 enregistre lorsque les autorisations de sécurité sur un modèle d'autorité de certification sont modifiées, indiquant des changements concernant qui peut demander ou gérer des types de certificats spécifiques dans votre infrastructure PKI.
ID d'événement Windows 4877 – Audit de sécurité : Modifications des autorisations de sécurité du modèle de services de certificats
L'ID d'événement 4877 se déclenche lorsque les autorisations de sécurité sur un modèle d'autorité de certification sont modifiées. Critique pour la surveillance de la sécurité PKI et l'audit de conformité dans les environnements d'entreprise.
ID d'événement Windows 4876 – Sécurité : Privilèges spéciaux attribués à une nouvelle connexion
L'ID d'événement 4876 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés lors de l'authentification.
ID d'événement Windows 4872 – Microsoft-Windows-Security-Auditing : Modifications des autorisations de sécurité du modèle de services de certificats
L'ID d'événement 4872 se déclenche lorsque les autorisations de sécurité sur un modèle d'autorité de certification sont modifiées. Cet événement d'audit suit les modifications des listes de contrôle d'accès des modèles de certificats et aide à surveiller les modifications de sécurité PKI.
ID d'événement Windows 4871 – Microsoft-Windows-Security-Auditing : Demande refusée par les services de certificats
L'ID d'événement 4871 se déclenche lorsque les services de certificats Active Directory refusent une demande de certificat en raison de violations de politique, de permissions insuffisantes ou de restrictions de modèle.
ID d'événement Windows 4870 – Kerberos : Échec du renouvellement TGT
L'ID d'événement 4870 indique un échec de renouvellement de Ticket Granting Ticket (TGT) Kerberos, se produisant généralement lorsque l'authentification de domaine rencontre des problèmes avec les opérations de rafraîchissement de ticket.
ID d'événement Windows 4869 – Kerberos : Échec de l'opération du client des services de certificats
L'ID d'événement 4869 indique qu'une opération client des services de certificats Kerberos a échoué, généralement lors des processus d'inscription ou de renouvellement de certificats dans les environnements Active Directory.
ID d'événement Windows 5378 – SCHANNEL : Erreur de validation de la chaîne de certificats TLS/SSL
L'ID d'événement 5378 indique que SCHANNEL a rencontré une erreur de validation de chaîne de certificats lors de la poignée de main TLS/SSL, généralement en raison de certificats racine non fiables ou de chaînes de certificats incomplètes.
ID d'événement Windows 5143 – Microsoft-Windows-Security-Auditing : L'objet de partage réseau a été accédé
L'ID d'événement 5143 enregistre lorsqu'un utilisateur ou un processus accède à un objet de partage réseau. Cet événement d'audit de sécurité suit les tentatives d'accès aux partages de fichiers à des fins de conformité et de surveillance de la sécurité.
ID d'événement Windows 4625 – Microsoft-Windows-Security-Auditing : Échec de la connexion d'un compte
L'ID d'événement 4625 enregistre les tentatives de connexion échouées dans les journaux de sécurité Windows. Cet événement de sécurité critique aide les administrateurs à suivre les tentatives d'accès non autorisées, les attaques par force brute et les problèmes d'authentification sur les comptes de domaine et locaux.