Obtenez une analyse rapide de tous les événements du journal de sécurité Windows audités et analysés par ADAudit Plus.
| N° de série | ID d'événement | Description |
| 4768 | Un ticket d'authentification Kerberos (TGT) a été demandé. Cet événement est généré chaque fois que les informations d'identification d'un utilisateur sont retirées. Il n'est enregistré que sur les contrôleurs de domaine pour les événements de succès et d’échec. |
|
| 4771 | La préauthentification Kerberos a échoué. Cet événement est généré chaque fois qu'une demande de TGT échoue (par exemple, en raison d'un mauvais mot de passe ou d'un mot de passe expiré). Il n'est enregistré que sur les contrôleurs de domaine et uniquement en cas d’échec. |
|
| 4720 | Un compte utilisateur a été créé. Cet événement est généré à chaque fois qu'un nouveau compte utilisateur est créé. Il est enregistré sur les contrôleurs de domaine, les serveurs membres et les stations de travail. |
|
| 4722 | Un compte d'utilisateur a été activé. Cet événement est généré chaque fois qu'un compte d'utilisateur ou d'ordinateur est activé. Pour les objets utilisateurs, il est enregistré sur les contrôleurs de domaine, les serveurs membres et les stations de travail. Pour les ordinateurs, il n'est enregistré que sur les contrôleurs de domaine. |
|
| 4723 | Une tentative a été faite pour modifier le mot de passe d'un compte. Cet événement est généré chaque fois qu'un utilisateur tente de modifier son propre mot de passe. Pour les objets utilisateurs, il est enregistré sur les contrôleurs de domaine, les serveurs membres et les stations de travail. |
|
| 4724 | Une tentative de réinitialisation du mot de passe d'un compte a été effectuée. Cet événement est généré chaque fois qu'un utilisateur tente de modifier le mot de passe d'un autre compte. Pour les objets utilisateurs, il est enregistré sur les contrôleurs de domaine, les serveurs membres et les stations de travail. |
|
| 4725 | Un compte d'utilisateur a été désactivé. Cet événement est généré chaque fois qu'un compte d'utilisateur ou d'ordinateur est désactivé. Pour les objets utilisateurs, il est enregistré sur les contrôleurs de domaine, les serveurs membres et les stations de travail. Pour les ordinateurs, il n'est enregistré que sur les contrôleurs de domaine. |
|
| 4726 | Un compte d'utilisateur a été supprimé. Cet événement est généré chaque fois qu'un objet utilisateur est supprimé. Il est enregistré sur les contrôleurs de domaine, les serveurs membres et les stations de travail |
|
| 4727 | Un groupe global sécurisé a été créé. Cet événement est généré chaque fois qu'un utilisateur crée un groupe de sécurité de portée globale. Il n'est enregistré que sur les contrôleurs de domaine. |
|
| 4728 | Un membre a été ajouté à un groupe global sécurisé. Cet événement est généré chaque fois qu'un utilisateur, un ordinateur ou un groupe est ajouté à un groupe de sécurité de portée globale. Il n'est enregistré que sur les contrôleurs de domaine. |
|
| 4744 | Un groupe local dont la sécurité est désactivée a été créé. Cet événement est généré chaque fois qu'un utilisateur crée un groupe de distribution avec une portée locale de domaine. Il n'est enregistré que sur les contrôleurs de domaine. |
|
| 4745 | Un groupe local dont la sécurité est désactivée a été modifié. Cet événement est généré chaque fois qu'un utilisateur modifie un groupe de distribution avec une portée de domaine locale. Il n'est enregistré que sur les contrôleurs de domaine. |
|
| 4746 | Un membre a été ajouté à un groupe local dont la sécurité a été désactivée. Cet événement est généré chaque fois qu'un utilisateur, un ordinateur ou un groupe est ajouté à un groupe de distribution avec une portée de domaine locale. Il n'est enregistré que sur les contrôleurs de domaine. |
|
| 4747 | Un membre a été retiré d'un groupe local dont la sécurité est désactivée. Cet événement est généré chaque fois qu'un utilisateur, un ordinateur ou un groupe est supprimé d'un groupe de distribution ayant une portée locale de domaine. Il n'est enregistré que sur les contrôleurs de domaine. |
|
| 4748 | Un groupe local dont la sécurité est désactivée a été supprimé. Cet événement est généré à chaque fois qu'un groupe de distribution ayant une portée locale est supprimé. Il n'est enregistré que sur les contrôleurs de domaine. |
|
| 4749 | Un groupe global dont la sécurité est désactivée a été créé. Cet événement est généré chaque fois qu'un utilisateur crée un groupe de distribution de portée mondiale. Il n'est enregistré que sur les contrôleurs de domaine. |
|
| 4750 | Un groupe global dont la sécurité est désactivée a été modifié. Cet événement est généré chaque fois qu'un utilisateur modifie un groupe de distribution de portée globale. Il n'est enregistré que sur les contrôleurs de domaine. |
|
| 4751 | Un membre a été ajouté à un groupe global dont la sécurité est désactivée. Cet événement est généré chaque fois qu'un utilisateur, un ordinateur ou un groupe est ajouté à un groupe de distribution de portée mondiale. Il n'est enregistré que sur les contrôleurs de domaine. |
|
| 4752 | Un membre a été retiré d'un groupe global dont la sécurité est désactivée. Cet événement est généré chaque fois qu'un utilisateur, un ordinateur ou un groupe est supprimé d'un groupe de distribution de portée mondiale. Il n'est enregistré que sur les contrôleurs de domaine. |
|
| 4753 | Un groupe global dont la sécurité est désactivée a été supprimé. Cet événement est généré à chaque fois qu'un groupe de distribution de portée globale est supprimé. Il n'est enregistré que sur les contrôleurs de domaine. |
|
| 4803 | L'économiseur d'écran a été désactivé. Cet événement est généré chaque fois qu'un utilisateur désactive son économiseur d'écran. Il est enregistré sur les contrôleurs de domaine, les serveurs membres et les stations de travail. |
|
| 4656 | Un handle vers un objet a été demandée. Cet événement est généré chaque fois qu'un accès spécifique est demandé pour un objet. L'objet peut être un objet du système de fichiers, du noyau ou du registre, ou un objet du système de fichiers sur un support amovible ou un périphérique. Il est enregistré sur les contrôleurs de domaine, les serveurs membres et les stations de travail. |
|
| 4660 | Un objet a été supprimé. Cet événement est généré chaque fois qu'un objet Active Directory est supprimé. Il est enregistré sur les contrôleurs de domaine, les serveurs membres et les stations de travail. |
|
| 4663 | Une tentative d'accès à un objet a été effectuée. Cet événement est généré à chaque accès à un objet Active Directory, et il enregistre le type d'accès utilisé. Il est enregistré sur les contrôleurs de domaine, les serveurs membres et les stations de travail. |
|
| 4670 | Les autorisations sur un objet ont été modifiées. Cet événement est généré chaque fois qu'un utilisateur modifie la liste de contrôle d'accès d'un objet Active Directory. Il est enregistré sur les contrôleurs de domaine, les serveurs membres et les stations de travail. |
|
| 4907 | Les paramètres d'audit d'un objet ont été modifiés. Cet événement est généré chaque fois que le SACL d'un objet, tel qu'un fichier ou une clé de registre, est modifié. Il est enregistré sur les contrôleurs de domaine, les serveurs membres et les stations de travail. |
|
| 560 | Un handle vers un objet a été demandée. Cet événement est généré chaque fois qu'un accès spécifique est demandé pour un objet, tel qu'un système de fichiers, un noyau, un objet de registre ou un objet de système de fichiers sur un périphérique de stockage amovible. Il est enregistré sur les contrôleurs de domaine, les serveurs membres et les stations de travail. |
|
| 563 | Un objet a été ouvert pour être supprimé. Cet événement est généré à chaque accès d'un objet dans l'intention de le supprimer. Il est enregistré sur les contrôleurs de domaine, les serveurs membres et les stations de travail. |
|
| 564 | Un objet a été supprimé. Cet événement est généré chaque fois qu'un objet Active Directory est supprimé avec succès. Il est enregistré sur les contrôleurs de domaine, les serveurs membres et les stations de travail. |
|
| 567 | Une tentative d'accès à un objet a été effectuée. Cet événement est généré chaque fois qu'un utilisateur ou un programme tente d'ouvrir un objet Active Directory. Il est enregistré sur les contrôleurs de domaine, les serveurs membres et les stations de travail. |
|
| 4648 | Une connexion a été tentée à l'aide d'informations d'identification explicites. Cet événement est généré chaque fois qu'un processus tente de se connecter à un compte en spécifiant explicitement les informations d'identification de ce compte. Il est enregistré sur les contrôleurs de domaine, les serveurs membres et les stations de travail. |
|
| 6272 | Le Network Policy Server (NPS) a accordé l'accès à un utilisateur. Cet événement est généré chaque fois que NPS accorde un accès à un utilisateur. Il n'est enregistré que sur NPS. |
|
| 6273 | NPS a refusé l'accès à un utilisateur. Cet événement est généré chaque fois que NPS refuse l'accès à un utilisateur. Il n'est enregistré que sur NPS. |
|
| 6274 | NPS a rejeté la demande d'un utilisateur. Cet événement est généré chaque fois que NPS rejette la demande d'un utilisateur parce que la structure de la demande n'est pas conforme au protocole RADIUS. Il n'est enregistré que sur NPS. |
|
| 6275 | NPS a supprimé la demande de comptabilité pour un utilisateur. Cet événement est généré chaque fois que NPS rejette une demande de comptabilité provenant d'un client RADIUS parce que la structure de la demande n'est pas conforme au protocole RADIUS. Il n'est enregistré que sur NPS. |
|
| 6276 | NPS a mis un utilisateur en quarantaine. Cet événement est généré chaque fois que NPS met un utilisateur en quarantaine en raison de plusieurs échecs d'authentification. Il n'est enregistré que sur NPS. |
|
| 6277 | NPS a accordé l'accès à un utilisateur, mais l'a mis à l'épreuve parce que l'hôte ne répondait pas à la stratégie de santé définie. Cet événement est généré chaque fois que le système NPS met un utilisateur sous surveillance après lui avoir accordé l'accès parce que l'hôte n'a pas pu se conformer à la stratégie de santé définie. Il n'est enregistré que sur NPS. |
|
| 6278 | NPS a accordé l'accès à un utilisateur parce que l'hôte répondait à la stratégie de santé définie. Cet événement est généré chaque fois que NPS accorde l'accès à un utilisateur car l'hôte a satisfait à la stratégie de santé définie. Il n'est enregistré que sur NPS. |
|
| 6279 | NPS a verrouillé le compte de l'utilisateur en raison de l'échec répété des tentatives d'authentification. Cet événement est généré chaque fois que NPS verrouille un compte utilisateur en raison d'échecs répétés des tentatives d'authentification. Il n'est enregistré que sur NPS. |
|
| 6280 | NPS a débloqué le compte de l'utilisateur. Cet événement est généré chaque fois que NPS déverrouille un compte d'utilisateur après le verrouillage du compte. Il n'est enregistré que sur NPS. |
|
| 303 | Un client s'est déconnecté de la ressource. Cet événement est généré chaque fois qu'un utilisateur sur un ordinateur client est déconnecté de la ressource réseau. Il n'est enregistré que sur la passerelle des services Terminal Server (TSG). |
|
| 304 | L'utilisateur a satisfait aux exigences de la stratégie d'autorisation de connexion et de la stratégie d'autorisation de la ressource, mais n'a pas pu se connecter à la ressource. Cet événement est généré chaque fois que l'utilisateur ne parvient pas à se connecter à une ressource du réseau, même s'il a respecté les stratégies de connexion et d'autorisation des ressources. Il n'est enregistré que sur la passerelle des services Terminal Server (TSG). |
|
| 412 | Jeton AD FS délivré. Cet événement est généré chaque fois qu'AD FS émet un jeton de confiance pour authentifier un utilisateur sur la base d'un ensemble de revendications. Il n'est enregistré que sur un serveur de fédération [un serveur Windows sur lequel sont installés les services de fédération Active Directory (AD FS)]. |
|
| 500 | Identité délivrée. Cet événement est généré chaque fois qu'une identité unique est émise pour identifier les objets de configuration et les adresses des réseaux partenaires. Il n'est enregistré que sur un serveur de fédération. |
|
| 501 | Identité de l'appelant. Cet événement est généré chaque fois qu'un échec de délivrance de jeton se produit pour cette identité d'appelant. Il n'est enregistré que sur un serveur de fédération. |
|
| 299 | Jeton émis. Cet événement est généré chaque fois qu'un jeton est émis par AD FS pour avoir les revendications nécessaires pour autoriser l'accès de l'utilisateur à l'application. Il n'est enregistré que sur un serveur de fédération. |
|
| 403 | Identité de l'appelant. Cet événement est généré chaque fois que le serveur DNS ne peut pas créer de socket TCP (Transmission Control Protocol). Il n'est enregistré que sur un serveur de fédération. |
|
| 1200 | Succès du jeton d'application. Cet événement est généré chaque fois qu'un jeton d'application est émis avec succès par AD FS pour une demande d'authentification. Il n'est enregistré que sur un serveur de fédération. |
|
| 1201 | Échec du jeton d'application. Cet événement est généré chaque fois que l'émission d'un jeton d'application par AD FS échoue pour une demande d'authentification. Il n'est enregistré que sur un serveur de fédération. |
|
| 2093 | Le rôle FSMO ne répond pas. Cet événement est généré chaque fois que le serveur distant, c'est-à-dire le Flexible Single Master Operations (FSMO), ne répond pas. Il n'est enregistré que sur les contrôleurs de domaine. |
|
| 1837 | Une tentative de transfert du rôle de maître des opérations a échoué. Cet événement est généré chaque fois qu'une tentative de transfert du rôle FSMO par l'utilisateur échoue. Il n'est enregistré que sur les contrôleurs de domaine. |
|
| 2089 | Cette partition du répertoire n'a pas été sauvegardée depuis au moins le nombre de jours suivant. Cet événement est généré chaque fois qu'une sauvegarde n'a pas été créée depuis le seuil de latence de sauvegarde activé. Il n'est enregistré que sur les contrôleurs de domaine. |
|
| 2889 | Liaison avec le protocole LDAP (Lightweight Directory Access Protocol). Cet événement est généré chaque fois qu'un client initie une liaison LDAP sans demander la vérification que le serveur d'annuaire n'est pas configuré pour rejeter. Il n'est enregistré que sur les contrôleurs de domaine. |
|
| 4769 | Un ticket de service Kerberos a été demandé. Cet événement est généré chaque fois qu'un utilisateur demande l'accès à une ressource du réseau, telle qu'un ordinateur, et que le Centre de distribution de clés (KDC) reçoit une demande Kerberos Ticket Granting Service (TGS) pour l'authentification. Il n'est enregistré que sur les contrôleurs de domaine. |
|
| 4672 | Privilèges spéciaux attribués à la nouvelle connexion. Cet événement est généré chaque fois que des privilèges sensibles sont attribués à une nouvelle session de connexion. Il est enregistré sur les contrôleurs de domaine, les serveurs membres et les stations de travail. |
|
| 4908 | Le tableau de connexion des groupes spéciaux a été modifié. Cet événement est généré chaque fois qu'un identifiant de sécurité (SID) est ajouté à un groupe spécial à des fins d'audit. Il est enregistré sur les contrôleurs de domaine, les serveurs membres et les stations de travail. |
|
| 4798 | L'appartenance d'un utilisateur à un groupe local a été recensée. Cet événement est généré chaque fois qu'un processus énumère la liste des groupes de sécurité auxquels un utilisateur appartient. Il est enregistré sur les serveurs membres et les stations de travail. |
|
| 4729 | Un membre a été retiré d'un groupe mondial sécurisé. Cet événement est généré lorsqu'un utilisateur, un groupe ou un ordinateur est supprimé d'un groupe global activé pour la sécurité. Il n'est enregistré que sur les contrôleurs de domaine. |
|
| 4730 | Un groupe global activé pour la sécurité a été supprimé. Cet événement est généré lorsqu'un groupe global activé pour la sécurité est supprimé. Il n'est enregistré que sur les contrôleurs de domaine. |
|
| 4731 | Un groupe local sécurisé a été créé. Cet événement est généré lors de la création d'un groupe local sécurisé. Il est enregistré sur les contrôleurs de domaine pour les groupes locaux du domaine, ou sur les ordinateurs membres pour les groupes SAM locaux. |
|
| 4732 | Un membre a été ajouté à un groupe local sécurisé. Cet événement est généré lorsque des utilisateurs, des groupes ou des ordinateurs sont ajoutés à un groupe local sécurisé. Il est enregistré sur les contrôleurs de domaine pour les groupes locaux du domaine, ou sur les ordinateurs membres pour les groupes SAM locaux. |
|
| 4733 | Un membre a été retiré d'un groupe local sécurisé. Cet événement est généré lorsque des utilisateurs, des groupes ou des ordinateurs sont supprimés d'un groupe local sécurisé. Il est enregistré sur les contrôleurs de domaine pour les groupes locaux du domaine, ou sur les ordinateurs membres pour les groupes SAM locaux. |
|
| 4734 | Un groupe local activé pour la sécurité a été supprimé. Cet événement est généré lorsqu'un groupe local activé pour la sécurité est supprimé. Il est enregistré sur les contrôleurs de domaine pour les groupes locaux du domaine, ou sur les ordinateurs membres pour les groupes SAM locaux. |
|
| 4735 | Un groupe local activé pour la sécurité a été modifié. Cet événement est généré lorsqu'un groupe local activé pour la sécurité est modifié. Il est enregistré sur les contrôleurs de domaine pour les groupes locaux du domaine, ou sur les ordinateurs membres pour les groupes SAM locaux. |
|
| 4737 | Un groupe global activé pour la sécurité a été modifié. Cet événement est généré lorsqu'un groupe global activé pour la sécurité est modifié. Il n'est enregistré que sur les contrôleurs de domaine. |
|
| 4738 | Un compte utilisateur a été modifié. Cet événement est généré lorsque les attributs d'un objet utilisateur sont modifiés. Il est enregistré sur les contrôleurs de domaine pour les comptes de domaine et sur les ordinateurs membres pour les comptes locaux. |
|
| 4739 | La stratégie des domaines a été modifiée. Cet événement est généré lorsqu'une stratégie de domaine Active Directory est modifiée. Il est enregistré sur les contrôleurs de domaine et les ordinateurs membres. |
|
| 4759 | Un groupe universel à sécurité désactivée a été créé. Cet événement est généré lors de la création d'un groupe de distribution universel. Il n'est enregistré que sur les contrôleurs de domaine. |
|
| 4760 | Un compte de groupe universel dont la sécurité est désactivée a été modifié. Cet événement est généré lorsqu'un groupe de distribution universel est modifié. Il n'est enregistré que sur les contrôleurs de domaine. |
|
| 4761 | Un membre a été ajouté à un groupe universel dont la sécurité est désactivée. Cet événement est généré lorsque des objets Active Directory, tels que des utilisateurs, des groupes ou des ordinateurs, sont ajoutés à un groupe de distribution universel. Il n'est enregistré que sur les contrôleurs de domaine. |
|
| 4762 | Un membre a été retiré d'un groupe universel dont la sécurité a été désactivée. Cet événement est généré lorsque des objets Active Directory, tels que des utilisateurs, des groupes ou des ordinateurs, sont supprimés d'un groupe de distribution universel. Il n'est enregistré que sur les contrôleurs de domaine. |
|
| 4763 | Un groupe universel désactivé avec la sécurité désactivée a été supprimé. Cet événement est généré lorsqu'un groupe de distribution universel est supprimé. Il n'est enregistré que sur les contrôleurs de domaine. |
|
| 4764 | Un type de groupe a été modifié. Cet événement est généré lorsqu'un type de groupe ou un champ d'application est modifié. Il n'est enregistré que sur les contrôleurs de domaine. |
|
| 4781 | Le nom d'un compte a été modifié. Cet événement est généré lorsque le nom d'un compte d'utilisateur ou d'ordinateur (attribut sAMAccountName) est modifié. Il n'est enregistré que sur les contrôleurs de domaine pour les comptes d'ordinateur, et sur les contrôleurs de domaine et les ordinateurs membres pour les comptes d’utilisateur. |
|
| 5137 | Un objet de service d'annuaire a été créé. Cet événement est généré lors de la création d'un objet Active Directory, à condition que les SACL appropriés soient configurés pour l'objet parent. Il n'est enregistré que sur les contrôleurs de domaine. |
|
| 5139 | Un objet du service d'annuaire a été déplacé. Cet événement est généré lorsqu'un objet Active Directory est déplacé d'une UO à une autre. Il n'est enregistré que sur les contrôleurs de domaine. |
|
| 5141 | Un objet de service d'annuaire a été supprimé. Cet événement est généré lorsqu'un objet Active Directory est supprimé. Il est enregistré sur les contrôleurs de domaine et les ordinateurs membres. |
|
| 4659 | Un handle vers un objet a été demandé avec l'intention de le supprimer. Cet événement est généré lorsqu'un correctif installé nécessite le remplacement d'un fichier ouvert par Windows. Il est enregistré sur les contrôleurs de domaine et les ordinateurs membres. |
|
| 6416 | Un nouveau périphérique externe a été reconnu par le système. Cet événement est généré lorsqu'un nouveau périphérique externe, tel qu'une clé USB, est connecté au système. Il est enregistré sur les serveurs et les stations de travail. |
|
| 4608 | Windows démarre. Cet événement est généré lorsqu'une machine Windows est démarrée. Il est enregistré sur les contrôleurs de domaine et les ordinateurs membres. |
|
| 4609 | Windows s'éteint. Cet événement est généré lorsqu'une machine Windows s'arrête. Il est enregistré sur les contrôleurs de domaine et les ordinateurs membres. |
|
| 1102 | Le journal d'audit a été effacé. Cet événement est généré chaque fois que le journal de sécurité est effacé. Il est enregistré sur les contrôleurs de domaine et les ordinateurs membres. |
|
| 4614 | Un package de notification a été chargé par le gestionnaire du compte de sécurité. Cet événement est généré lorsqu'un utilisateur tente de modifier son mot de passe. Il est enregistré sur les contrôleurs de domaine et les ordinateurs membres. |
|
| 4616 | L'heure du système a été modifiée. Cet événement est généré lorsque l'heure du système est modifiée. Il est enregistré sur les contrôleurs de domaine et les ordinateurs membres. |
|
| 4704 | Un droit d'utilisateur a été attribué. Cet événement est généré lorsqu'un utilisateur se voit attribuer des privilèges. Il n'est enregistré que sur les contrôleurs de domaine. |
|
| 4705 | Un droit d'utilisateur a été supprimé. Cet événement est généré lorsque les privilèges d'un utilisateur sont supprimés. Il n'est enregistré que sur les contrôleurs de domaine. |
|
| 4719 | La stratégie d'audit du système a été modifiée. Cet événement est généré lorsqu'une stratégie d'audit est désactivée, quel que soit le paramètre de la sous-catégorie « Changement de stratégie d'audit ». Il est enregistré sur les contrôleurs de domaine et les ordinateurs membres. |
|
| 4662 | Une opération a été effectuée sur un objet. Cet événement est généré lorsqu'un utilisateur accède à un objet Active Directory. Il n'est enregistré que sur les contrôleurs de domaine. |
|
| 5140 | Un accès à un objet de partage de réseau a été observé. Cet événement est généré lors de l'accès à un objet de partage de réseau. Il est enregistré sur les contrôleurs de domaine et les ordinateurs membres. |
|
| 5142 | Un objet de partage de réseau a été ajouté. Cet événement est généré chaque fois qu'un objet de partage de réseau est ajouté. Il est enregistré sur les contrôleurs de domaine et les ordinateurs membres. |
|
| 5143 | Un objet de partage de réseau a été modifié. Cet événement est généré chaque fois qu'un objet de partage de réseau est modifié. Il est enregistré sur les contrôleurs de domaine et les ordinateurs membres. |
|
| 5144 | Un objet de partage de réseau a été supprimé. Cet événement est généré chaque fois qu'un objet de partage de réseau est supprimé. Il est enregistré sur les contrôleurs de domaine et les ordinateurs membres. |
|
| 9999 | Un objet a été renommé. Cet événement est généré lorsqu'un objet Active Directory est renommé. Il est enregistré sur les contrôleurs de domaine et les ordinateurs membres. |
|
| 521 | Impossible d'enregistrer des événements dans le journal de sécurité. Cet événement est généré lorsque Windows n'est pas en mesure d'écrire des événements dans le journal des événements de sécurité. Il est enregistré sur les contrôleurs de domaine et les ordinateurs membres. |
|
| 4697 | Un service a été installé dans le système. Cet événement est généré lorsqu'un nouveau service est installé sur un système. Il est enregistré sur les contrôleurs de domaine et les ordinateurs membres. |
|
| 1100 | Le service d'enregistrement des événements s'est arrêté. Cet événement est généré lors d'un arrêt normal du système et lorsque le service Journal des événements Windows s'arrête. Il est enregistré sur les contrôleurs de domaine et les ordinateurs membres. |
|
| 1202 | Succès de la validation des nouvelles informations d’identification. Cet événement est généré lorsque de nouvelles informations d'identification sont validées avec succès par AD FS. Il est enregistré sur les contrôleurs de domaine et les ordinateurs membres. |
|
| 1203 | Erreur de validation des nouvelles informations d’identification. Cet événement est généré lorsque la validation de nouvelles informations d’identification dans AD FS. Il est enregistré sur les contrôleurs de domaine et les ordinateurs membres. |
|
| 1210 | Verrouillage de l'extranet. Cet événement est généré lorsqu'un utilisateur est verrouillé ou lorsqu'un utilisateur verrouillé tente de se connecter à AD FS. Il est enregistré sur les contrôleurs de domaine et les ordinateurs membres. |
|
| 516 | Verrouillage de l'extranet. Cet événement est généré lorsqu'un compte d'utilisateur est verrouillé en raison d'un trop grand nombre de soumissions de mauvais mots de passe à AD FS. Il est enregistré sur les contrôleurs de domaine et les ordinateurs membres. |
|
| 410 | Verrouillage de l'extranet. Cet événement est généré juste après le lancement d'une demande d'authentification AD FS et contient des en-têtes contextuels. Il est enregistré sur les contrôleurs de domaine et les ordinateurs membres. |
|
| 411 | Verrouillage de l'extranet. Cet événement AD FS est généré lorsque la validation du jeton échoue. Il est enregistré sur les contrôleurs de domaine et les ordinateurs membres. |
|
| 4618 | Un modèle d'événement de sécurité surveillé s'est produit. Cet événement est généré lorsque Windows est configuré pour générer des alertes conformément aux exigences de l'analyse d'audit de sécurité des Critères communs et qu'un modèle d'événement vérifiable se produit. Il est enregistré sur les contrôleurs de domaine et les ordinateurs membres. |
|
| 4649 | Une attaque par rejeu a été détectée. Cet événement est généré lorsque les mêmes paquets sont envoyés par un périphérique réseau mal configuré entre le serveur et le client. Il est enregistré sur les contrôleurs de domaine et les ordinateurs membres. |
|
| 4765 | L'historique du SID a été ajouté à un compte. Cet événement est généré lorsque l'historique du SID est ajouté à un compte dans Active Directory. Il est enregistré sur les contrôleurs de domaine et les ordinateurs membres. |
|
| 4766 | Une tentative d'ajout de l'historique SID à un compte a échoué. Cet événement est généré lorsqu'il y a une tentative d'ajouter l'historique du SID à un compte. Il est enregistré sur les contrôleurs de domaine et les ordinateurs membres. |
|
| 4799 | L'appartenance à un groupe local avec la sécurité activée a été dénombrée. Cet événement est généré lorsqu'un processus énumère les groupes de sécurité locaux d'un utilisateur sur un ordinateur ou un appareil. Il est enregistré sur les contrôleurs de domaine et les ordinateurs membres. |
|
| 5378 | La délégation des informations d’identification demandée n'a pas été autorisée par la stratégie. Cet événement est généré lorsque la délégation CredSSP pour une session WinRM à double saut n'est pas définie correctement. Il est enregistré sur les contrôleurs de domaine et les ordinateurs membres. |
|
| 5633 | Une demande d'authentification à un réseau câblé a été faite. Cet événement est généré lorsqu'une carte réseau se connecte à un nouveau réseau câblé et qu'une tentative d'authentification 802.1x est effectuée pour ce réseau. Il est enregistré sur les contrôleurs de domaine et les ordinateurs membres. |
|
| 5632 | Une demande d'authentification à un réseau sans fil a été faite. Cet événement est généré lorsqu'une carte réseau se connecte à un nouveau réseau câblé et qu'une tentative d'authentification 802.1x est effectuée pour ce réseau. Il est enregistré sur les contrôleurs de domaine et les ordinateurs membres. |
|
| 4610 | Un package d'authentification a été chargé par l'autorité locale de sécurité. Cet événement est généré au démarrage pour chaque package d'authentification sur le système. Il est enregistré sur les contrôleurs de domaine et les ordinateurs membres. |
|
| 4611 | Une procédure de connexion sécurisée a été enregistrée auprès de l'autorité locale de sécurité. Cet événement est généré lorsqu'un processus de connexion est enregistré auprès de l'autorité de sécurité locale pour soumettre des demandes de connexion approuvées. Il est enregistré sur les contrôleurs de domaine et les ordinateurs membres. |
|
| 4622 | Un package de sécurité a été chargé par l'autorité de sécurité locale. Cet événement est généré lorsqu'un package de sécurité est chargé par l'autorité de sécurité locale. Il est enregistré sur les contrôleurs de domaine et les ordinateurs membres. |
|
| 7045 | Un nouveau service a été installé dans le système. Un nouveau service a été installé dans le système. |
|
| 4740 | Un compte d'utilisateur a été verrouillé. Cet événement est généré lorsqu'un compte d'utilisateur est verrouillé. Il est enregistré sur les contrôleurs de domaine, les serveurs membres et les stations de travail. |
|
| 4741 | Un compte d'ordinateur a été créé. Cet événement est généré lorsqu'un nouvel objet informatique est créé. Il n'est enregistré que sur les contrôleurs de domaine. |
|
| 4742 | A computer account was changed Cet événement est généré lorsqu'un objet informatique est modifié. Il n'est enregistré que sur les contrôleurs de domaine. |
|
| 4743 | Un compte d'ordinateur a été supprimé. Cet événement est généré lorsqu'un objet informatique est supprimé. Il n'est enregistré que sur les contrôleurs de domaine. |
|
| 4754 | Un groupe universel avec sécurité activée a été créé. Cet événement est généré lors de la création d'un groupe de sécurité universel. Il n'est enregistré que sur les contrôleurs de domaine. |
|
| 4755 | Un groupe universel avec sécurité activée a été modifié. Cet événement est généré lorsqu'un groupe de sécurité universel est modifié. Il n'est enregistré que sur les contrôleurs de domaine. |
|
| 4756 | Un membre a été ajouté à un groupe universel sécurisé. Cet événement est généré lorsqu'un membre est ajouté à un groupe de sécurité universel. Il n'est enregistré que sur les contrôleurs de domaine. |
|
| 4757 | Un membre a été retiré d'un groupe universel sécurisé. Cet événement est généré lorsqu'un membre est retiré d'un groupe de sécurité universel. Il n'est enregistré que sur les contrôleurs de domaine. |
|
| 4758 | Un groupe universel activé par la sécurité a été supprimé. Cet événement est généré lorsqu'un groupe de sécurité universel est supprimé. Il n'est enregistré que sur les contrôleurs de domaine. |
|
| 4767 | Un compte d'utilisateur a été déverrouillé. Cet événement est généré lorsqu'un compte d'utilisateur est déverrouillé (lorsque la case Déverrouiller le compte dans l'onglet du compte de l'utilisateur est cochée). Il est enregistré sur les contrôleurs de domaine, les serveurs membres et les stations de travail. |
|
| 5136 | Un objet du service d'annuaire a été modifié. Cet événement est généré lorsqu'un objet Active Directory est modifié. Il n'est enregistré que sur les contrôleurs de domaine. |
|
| 5138 | La suppression d’un objet de service d'annuaire a été annulée. Cet événement est généré lorsque la suppression d’un objet Active Directory a été annulée. Il n'est enregistré que sur les contrôleurs de domaine. |
|
| 4624 | Un compte s'est connecté avec succès. Cet événement est généré lorsque la connexion à un ordinateur local est réussie. Il est enregistré sur les contrôleurs de domaine, les serveurs membres et les stations de travail. |
|
| 4625 | Un compte n'a pas réussi à se connecter. Cet événement est généré lorsqu'une tentative de connexion à un ordinateur local échoue. Il est enregistré sur les contrôleurs de domaine, les serveurs membres et les stations de travail. |
|
| 4800 | Une station de travail a été verrouillée. Cet événement est généré lorsqu’une station de travail est verrouillé (lorsqu'un utilisateur verrouille manuellement sa station de travail ou lorsque la station de travail se verrouille automatiquement après une période d'inactivité). Il n'est enregistré que sur les stations de travail. |
|
| 4801 | Une station de travail a été déverrouillée. Cet événement est généré lorsqu’une station de travail est déverrouillée. Il n'est enregistré que sur les stations de travail. |
|
| 4647 | Fermeture de session initiée par l’utilisateur. Cet événement est généré lorsque la déconnexion est initiée. Il est enregistré sur les contrôleurs de domaine, les serveurs membres et les stations de travail. |
|
| 4778 | Une session a été reconnectée à une station Windows. Cet événement est généré lorsqu'un utilisateur se reconnecte à une session de services Terminal Server existante, ou lorsqu'un utilisateur bascule vers un bureau existant à l'aide de la fonction Changement rapide d'utilisateur. Il est enregistré sur les contrôleurs de domaine, les serveurs membres et les stations de travail. |
|
| 4779 | Une session a été déconnectée d'une station Windows. Cet événement est généré lorsqu'un utilisateur se déconnecte d'une session de services Terminal Server existante, ou lorsqu'un utilisateur quitte un bureau existant à l'aide de la fonction Changement rapide d'utilisateur. Il est enregistré sur les contrôleurs de domaine, les serveurs membres et les stations de travail. |
|
| 4802 | L'économiseur d'écran a été activé. Cet événement est généré lorsqu’une station de travail active l'économiseur d'écran en réponse à une période d'inactivité. Il n'est enregistré que sur les stations de travail. |
|
| 4714 | La stratégie de récupération des données cryptées a été modifiée. Cet événement est généré lorsque la stratégie de l'agent de récupération des données du système de fichiers crypté d'un ordinateur est modifiée (via la stratégie de sécurité locale ou la stratégie de groupe dans Active Directory). Il est enregistré sur les contrôleurs de domaine, les serveurs membres et les stations de travail. |
|
| 4717 | L'accès à la sécurité du système a été accordé à un compte. Cet événement est généré lorsqu'un droit de connexion (tel que « Accéder à cet ordinateur depuis le réseau ») est accordé à un compte. Il est enregistré sur les contrôleurs de domaine, les serveurs membres et les stations de travail. |
|
| 4718 | L'accès à la sécurité du système a été retiré à un compte. Cet événement est généré lorsqu'un droit de connexion (tel que « Accéder à cet ordinateur depuis le réseau ») est supprimé d'un compte. Il est enregistré sur les contrôleurs de domaine, les serveurs membres et les stations de travail. |
|
| 4688 | Un nouveau processus a été créé. Cet événement est généré lorsqu'un nouveau processus démarre. Il est enregistré sur les contrôleurs de domaine, les serveurs membres et les stations de travail. |
|
| 4689 | Un processus s'est arrêté. Cet événement est généré lorsqu'un processus se termine. Il est enregistré sur les contrôleurs de domaine, les serveurs membres et les stations de travail. |
|
| 4698 | Une tâche planifiée a été créée. Cet événement est généré lorsqu'une nouvelle tâche planifiée est créée. Il est enregistré sur les contrôleurs de domaine, les serveurs membres et les stations de travail. |
|
| 4699 | Une tâche planifiée a été supprimée. Cet événement est généré lorsqu'une tâche planifiée est supprimée. Il est enregistré sur les contrôleurs de domaine, les serveurs membres et les stations de travail. |
|
| 4700 | Une tâche planifiée a été activée. Cet événement est généré lorsqu'une tâche planifiée est activée. Il est enregistré sur les contrôleurs de domaine, les serveurs membres et les stations de travail. |
|
| 4701 | Une tâche planifiée a été désactivée. Cet événement est généré lorsqu'une tâche planifiée est désactivée. Il est enregistré sur les contrôleurs de domaine, les serveurs membres et les stations de travail. |
|
| 4702 | Une tâche planifiée a été mise à jour. Cet événement est généré lorsqu'une tâche planifié est mise à jour ou modifiée. Il est enregistré sur les contrôleurs de domaine, les serveurs membres et les stations de travail. |
|
| 1101 | Les événements d'audit ont été abandonnés par le transport. Cet événement est généré lors du redémarrage de Windows après un arrêt intempestif. Il est enregistré sur les contrôleurs de domaine, les serveurs membres et les stations de travail |
|
| 1104 | Le journal de sécurité est maintenant plein. Cet événement est généré lorsque le journal de sécurité Windows est plein. Il est enregistré sur les contrôleurs de domaine, les serveurs membres et les stations de travail. |
|
| 1105 | Sauvegarde automatique du journal des événements. Cet événement est généré lorsque le journal de sécurité Windows est plein et qu'un nouveau fichier journal des événements est créé (par exemple, lorsque la taille maximale du fichier journal des événements de sécurité est atteinte et que la méthode de conservation du journal des événements a été définie sur « Archiver le journal lorsqu'il est plein, ne pas écraser les événements »). Il est enregistré sur les contrôleurs de domaine, les serveurs membres et les stations de travail. |
|
| 1108 | Le service d'enregistrement des événements a rencontré une erreur. Cet événement est généré lorsque le service d'enregistrement des événements rencontre une erreur lors du traitement d'un événement entrant. Il est enregistré sur les contrôleurs de domaine, les serveurs membres et les stations de travail. |
|
| 201 | Le planificateur de tâches a terminé une tâche avec succès. Cet événement est généré lorsque le planificateur de tâches termine une tâche. Il est enregistré sur les contrôleurs de domaine, les serveurs membres et les stations de travail. |
|
| 202 | Le planificateur de tâches n'a pas réussi à terminer une tâche. Cet événement est généré lorsque le planificateur de tâches ne parvient pas à terminer une tâche. Il est enregistré sur les contrôleurs de domaine, les serveurs membres et les stations de travail. |
|
| 203 | Le planificateur de tâches n'a pas réussi à lancer une tâche. Cet événement est généré lorsque le planificateur de tâches ne parvient pas à lancer une tâche. Il est enregistré sur les contrôleurs de domaine, les serveurs membres et les stations de travail. |
|
| 204 | Les stratégies de protection de l'accès au réseau (NAP) n'ont pas été respectées, de sorte que l'utilisateur n'a pas été autorisé à se connecter au serveur de passerelle TS Gateway. Cet événement est généré lorsque les stratégies NAP ne sont pas respectées et que l'utilisateur n'est pas autorisé à se connecter au serveur de passerelle TS. Il n'est enregistré que sur les serveurs de passerelle. |
|
| 301 | Les exigences de la stratégie d'autorisation des ressources n'ont pas été respectées, de sorte que l'utilisateur n'a pas été autorisé à accéder au serveur de passerelle TS. Cet événement est généré lorsque les exigences de la stratégie d'autorisation des ressources ne sont pas satisfaites, de sorte que l'utilisateur n'est pas autorisé à accéder au serveur de passerelle TS. Il n'est enregistré que sur les serveurs de passerelle. |
|
| 302 | Utilisateur connecté au serveur de passerelle TS. Cet événement est généré lorsque l'utilisateur se connecte au serveur de passerelle TS. Il n'est enregistré que sur les serveurs de passerelle. |
|
| 4794 | Une tentative a été faite pour définir le mot de passe de l'administrateur du mode de restauration des services d'annuaire. Cet événement est généré lorsque le mot de passe de l'administrateur du mode de restauration des services d'annuaire (DSRM) est modifié. Il n'est enregistré que sur les contrôleurs de domaine. |
|
| 4897 | Séparation des rôles activée. Cet événement est généré au démarrage d'un serveur AD CS et à chaque fois que la séparation des rôles est effectivement modifiée. Il n'est enregistré que sur les serveurs Active Directory Certificate Services (AD CS). |
|
| 4964 | Cet événement est généré au démarrage d'un serveur AD CS et à chaque fois que la séparation des rôles est effectivement modifiée. Il n'est enregistré que sur les serveurs Active Directory Certificate Services (AD CS). Cet événement est généré lorsqu'un compte membre d'un groupe spécial défini se connecte. Il est enregistré sur les contrôleurs de domaine, les serveurs membres et les stations de travail. |
|
| 5124 | Un paramètre de sécurité a été mis à jour sur le service du répondeur OCSP. Cet événement est généré lorsqu'un paramètre de sécurité est mis à jour sur le service du répondeur OCSP. Il n'est enregistré que sur les répondeurs OCSP/serveurs AD CS. |
|
| 2887 | Signature LDAP. Cet événement est généré lorsqu'un ordinateur client tente une liaison LDAP non signée. Il n'est enregistré que sur les contrôleurs de domaine. |
|
| 1644 | Recherches LDAP. Cet événement est généré lorsqu'une recherche LDAP effectuée par un client dans l'annuaire dépasse les seuils de recherche peu coûteuse et/ou inefficace (il n’est enregistré que si la clé de registre Ingénierie de maintenance est réglée sur 5 ou plus). Il n'est enregistré que sur les contrôleurs de domaine. |
|
| 1643 | Nombre de recherches LDAP. Cet événement enregistre le nombre de recherches LDAP effectuées dans un intervalle de temps et à chaque fois que le nettoyage de la mémoire est exécuté sur un contrôleur de domaine (il n’est enregistré que si vous avez défini la clé de registre Ingénierie de maintenance sur 4 ou plus). Il n'est enregistré que sur les contrôleurs de domaine. |
|
| 1317 | La connexion LDAP a expiré. Cet événement est généré lorsque le contrôleur de domaine local déconnecte la connexion LDAP de l'adresse réseau spécifiée en raison d'un dépassement de délai. Il n'est enregistré que sur les contrôleurs de domaine. |
|
| 1458 | Transfert du rôle FSMO. Cet événement est généré lorsqu'un rôle FSMO est transféré d'un contrôleur de domaine à un autre. Il n'est enregistré que sur les contrôleurs de domaine. |
|
| 2092 | Réplication FSMO. Cet événement est généré lorsqu'un serveur est propriétaire d'un rôle FSMO mais ne le considère pas comme valide (des erreurs de réplication empêchent la validation du rôle). Il n'est enregistré que sur les contrôleurs de domaine. |
|
| 4713 | La stratégie Kerberos a été modifiée. Cet événement est généré lorsque la stratégie Kerberos est modifiée. Il n'est enregistré que sur les contrôleurs de domaine. |
|
| 6005 | Le service Journal des événements a été démarré. Cet événement est généré lorsque le service du journal des événements est démarré. Il est enregistré sur les contrôleurs de domaine, les serveurs membres et les stations de travail. |
|
| 6006 | Le service Journal des événements a été arrêté. Cet événement est généré lorsque le service du journal des événements est arrêté. Il est enregistré sur les contrôleurs de domaine, les serveurs membres et les stations de travail. |
|
| 6008 | Interruption inattendue du système. Cet événement est généré lorsqu'un système s'arrête de manière inattendue. Il est enregistré sur les contrôleurs de domaine, les serveurs membres et les stations de travail. |
|
| 1074 | Le système a été arrêté par un processus ou un utilisateur. Cet événement est généré lorsqu'une application provoque le redémarrage du système ou lorsque l'utilisateur initie un redémarrage ou un arrêt. Il est enregistré sur les contrôleurs de domaine, les serveurs membres et les stations de travail. |