Journaux d’événements Windows

But et fonction

Les journaux d’événements Windows sont le principal mécanisme de diagnostic et d’audit du système d’exploitation. Ce sont des journaux standardisés maintenus par Windows et diverses applications pour enregistrer les occurrences importantes, les erreurs, les avertissements et les messages d’information. Ils fonctionnent comme un journal détaillé et chronologique de l’activité système, essentiel pour le dépannage, l’audit de sécurité et l’analyse médico-légale.

Du point de vue du DFIR, les journaux d’événements sont une source indispensable de preuves haute fidélité, horodatées et temporelles, pour une vaste gamme d’activités au niveau du système. Ils contiennent souvent le seul enregistrement des actions spécifiques des utilisateurs, des manipulations de services et des techniques anti-médico-légales.

Emplacement et structure

Les journaux d’événements modernes sont stockés sous forme de fichiers XML binaires (), ce qui permet une journalisation structurée et extensible..evtx

  • Emplacement: C:\Windows\System32\winevt\Logs\

Windows organise les événements en différents journaux, appelés canaux, selon leur source ou leur objectif. Les principaux canaux fréquemment examinés lors d’une enquête incluent :

  • Système: Journal des événements générés par les composants système Windows, tels que les événements de démarrage/arrêt de service, les problèmes de chargement de pilotes et les changements d’heure système.

  • Sécurité: Enregistre les événements liés à la sécurité en fonction de la politique d’audit du système. Cela inclut les tentatives de connexion/déconnexion, la gestion du compte, les changements de politique et, surtout, les événements de suppression de journaux. L’accès à ce journal nécessite des privilèges administratifs.

  • Application: Contient les événements enregistrés par les applications installées (non spécifiques au système d’exploitation). Les plantages et erreurs des applications sont souvent enregistrés ici.

  • Coup monté: Enregistre les événements liés à l’installation de logiciels et aux mises à jour Windows.

  • Journaux d’applications et de services : Une catégorie plus large contenant de nombreux journaux spécifiques pour des fonctionnalités ou applications Windows individuelles (par exemple, , , ).Microsoft-Windows-TaskScheduler/Operational Microsoft-Windows-PowerShell/Operational Microsoft-Windows-Ntfs/Operational

L’ensemble du système de journalisation dépend du service de journal des événements de Windows (). Si ce service est arrêté, aucun nouvel événement ne sera enregistré.eventlog

Métadonnées stockées et identifiants d’événements clés

Chaque entrée du journal d’événement est un enregistrement structuré contenant des métadonnées précieuses, notamment :

  • ID de l’événement : Un numéro unique qui identifie le type spécifique d’événement.

  • Horodatage: Un horodatage de haute précision indiquant la date d’enregistrement de l’événement.

  • Source: Le nom du logiciel ou du composant qui a généré l’événement.

  • Niveau: La gravité de l’événement (par exemple, Information, Avertissement, Erreur, Critique).

  • Utilisateur: Le compte utilisateur associé à l’événement.

  • Données de l’événement : Une description détaillée, souvent au format XML, de l’événement, contenant des informations spécifiques telles que les noms des processus, les chemins de fichiers ou les codes d’erreur.

Bien qu’il existe des milliers d’identifiants d’événements, certains sont d’une importance capitale dans les enquêtes médico-légales :

  • ID d’événement 4624 (Sécurité) : Connexion utilisateur réussie.

  • ID d’événement 4616 (Sécurité) : Le temps du système a été modifié.

  • ID d’événement 1102 (Sécurité) : Le journal d’audit de sécurité a été effacé. C’est un indicateur majeur d’activité anti-médico-légale.

  • ID d’événement 104 (Système) : Un fichier journal (autre que la Sécurité) a été effacé.

  • ID d’événement 7036 (Système) : Un service est entré en état de fonctionnement ou d’arrêt (par exemple, le service ou services).SysMain eventlog

  • ID d’événement 3079 (Application) : Le journal de la USN a été supprimé, souvent par .fsutil.exe

Valeur médico-légale

Les journaux d’événements fournissent un enregistrement fiable généré par le système des activités, difficile à manipuler pour un utilisateur typique sans laisser de traces.

  • Détection des activités anti-médico-légales : C’est l’un de leurs rôles les plus cruciaux. Les journaux d’événements enregistrent explicitement l’effacement d’autres journaux (IDs 1102, 104), la suppression du journal USN (ID 3079) et les modifications de l’heure système (ID 4616). Ces actions sont la preuve directe d’une tentative de dissimulation des traces.

  • Système de suivi et manipulation du service : Les journaux fournissent une chronologie de la période où les services critiques (comme pour la prélecture) ont été arrêtés et relancés, ce qui peut être corrélé à l’exécution de logiciels malveillants.SysMain

  • Auditer l’activité des utilisateurs : Les événements de connexion et de déconnexion aident à établir une chronologie du moment où un utilisateur était actif sur le système.

  • Preuves corroborantes : Un événement dans le journal peut fournir le contexte crucial pour une autre preuve. Par exemple, un fichier de prélecture pour peut être corrélé à un identifiant d’événement 4616 montrant que c’était le processus qui a initié un changement de temps système.cmd.exe cmd.exe

L’analyse est généralement réalisée à l’aide du Visualiseur d’événements intégré (), qui permet le filtrage et la recherche. Pour une analyse à grande échelle, des outils en ligne de commande comme ou des analyseurs synthétiques spécialisés comme celui d’Eric Zimmerman sont utilisés.eventvwr.msc wevtutil.exe EvtxECmd

Points de réflexion (Concours SS)

Pour un ScreenSharer, les journaux d’événements sont l’arbitre ultime de la vérité pour les contournements au niveau système. Ils fournissent une preuve irréfutable de la manipulation.

  • Les journaux de Tattletale : Les journaux d’événements sont conçus pour rapporter leur propre manipulation. Trouver l’ID d’événement 1102 (journal de sécurité effacé) ou l’ID d’événement 104 (autres journaux effacés) est une « preuve irréfutable » qui prouve que le joueur a intentionnellement essayé d’effacer son historique d’activité.

  • Attraper le suppresseur de journal : L’identifiant d’événement 3079 est une preuve directe et concluante. Si un joueur supprime son USN Journal pour masquer des suppressions ou des remplacements de fichiers, cet événement sera enregistré, transformant une tentative sophistiquée de contournement en une simple infraction passible de bannissement.

  • Révéler la falsification du service : Un contournement courant consiste à arrêter le service pour éviter la journalisation de la prélecture. Un SSer peut vérifier le journal système pour l’ID d’événement 7036 depuis la source « Service Control Manager » afin de voir l’heure exacte à laquelle le service a été arrêté, prouvant ainsi la manipulation.SysMain SysMain

  • Prouver la manipulation du temps : Un joueur peut modifier son temps système pour essayer de confondre l’analyse basée sur l’horodatage. L’ID d’événement 4616 indique non seulement que l’heure a été modifiée, mais enregistre souvent le processus qui a initié le changement. Un changement d’heure effectué par est une indication claire de l’action manuelle de l’utilisateur.cmd.exe

PrécédentLecteur USB

Mis à jour