Journaux d’événements Windows : Introduction

Les journaux d’événements Windows sont des journaux standardisés maintenus par le système d’exploitation et diverses applications et services pour enregistrer les occurrences importantes, les erreurs, les avertissements et les messages d’information. Ils fonctionnent comme un journal détaillé des activités système, fournissant des archives chronologiques cruciales pour le dépannage, l’audit des événements de sécurité et la réalisation d’analyses médico-légales.

Pour le partage d’écran, les journaux d’événements sont inestimables car ils peuvent fournir des preuves de :

• Connexions et déconnexions des utilisateurs (Succès et échecs - journal de sécurité).

• Événements de démarrage et d’arrêt du système.

• L’application plante, bloque et erreurs importantes.

• Actions pertinentes pour la sécurité telles que des modifications des politiques de sécurité ou la gestion des comptes utilisateurs (journal de sécurité).

• Événements de démarrage/arrêt du service (journal système).

• Tentatives de nettoyage des journaux d’événements eux-mêmes (une activité très suspecte souvent indicative de recouvrement de traces).

• Des artefacts spécifiques de techniques de contournement, tels que les changements de temps système (journal de sécurité, ID d’événement 4616) ou la suppression du journal USN (journal d’application, ID d’événement 3079).

• Installation de logiciels ou de pilotes.

Comprendre comment naviguer et interroger ces journaux est essentiel pour découvrir des preuves qui pourraient ne pas être apparentes dans d’autres artefacts.

• Emplacement: Les journaux d’événements sont stockés sous forme de fichiers, généralement avec l’extension, dans le répertoire (généralement )..evtx%SystemRoot%\System32\Winevt\Logs\C:\Windows\System32\Winevt\Logs\