Journaux d’événements clés et identifiants pour le partage d’écran

Filtrer par identifiants d’événements spécifiques est la manière la plus efficace d’utiliser le Visualiseur d’événements lors d’un partage d’écran. Faites un clic droit sur un journal (par exemple, Sécurité) -> « Filtrer le journal actuel... ».

  • Changement d’heure du système (journal de sécurité) :

    • ID de l’événement : 4616

    • Rapport: Sécurité (Security.evtx)

    • Description: Enregistre les cas où l’heure du système a été modifiée.

    • Le contexte est essentiel : Examinez les champs « Nom du processus » ou « ID du processus » dans les détails de l’événement. Les modifications initiées par (souvent liées à ) peuvent être des synchronisations temporelles de réseau légitimes. Les changements initiés par ou indiquent fortement un changement manuel d’heure par l’utilisateur, ce qui est très suspect pendant ou juste avant la partie ou le SS.svchost.exe services.execmd.exepowershell.exe

  • Nettoyage du journal d’audit (journal de sécurité) :

    • ID de l’événement : 1102

    • Rapport: Sécurité (Security.evtx)

    • Description: Enregistre explicitement quand le journal de sécurité lui-même a été effacé. Cette action nécessite des privilèges administratifs et est presque toujours effectuée manuellement par quelqu’un cherchant à masquer des activités liées à la sécurité. Trouver cet événement est un indicateur très fort d’intention malveillante ou de manipulation.

  • Suppression de revues USN (journal de candidature) :

    • ID de l’événement : 3079

    • Rapport: Application (Application.evtx)

    • Source: Souvent ou des composants connexes.fsutil

    • Description: Indique que le journal de l’USN pour un volume spécifique (la lettre de lecteur généralement mentionnée) a été supprimé (par exemple, via ). C’est une tentative directe d’effacer l’historique d’activité du système de fichiers.fsutil usn deletejournal

  • Fichier journal effacé (non sécurisé) :

    • ID de l’événement : 104

    • Rapport: Système (System.evtx)

    • Description: Enregistrements lorsque d’autres journaux d’événements (comme Application, Système, Configuration ou journaux personnalisés sous « Journaux d’applications et de services ») étaient effacés. Cet événement n’est pas généré pour le nettoyage du journal de sécurité (qui utilise 1102). Effacer des journaux comme Application ou Système peut rester suspect selon le contexte.

  • Arrêt/démarrage du service EventLog (journal système) :

    • ID de l’événement : 7036

    • Rapport: Système (System.evtx)

    • Source: Gestionnaire de contrôle de service

    • Description: Journaux lorsque les services entrent dans des états d’exécution ou d’arrêt. Le filtrage pour « eventlog » dans le texte du message peut indiquer si le service de journalisation du cœur lui-même a été arrêté puis redémarré, indiquant une possible falsification.

PrécédentVérification du service EventLogSuivantConsidérations clés pour le partage d’écran

Mis à jour