La catégorie System Event est un fourre-tout des divers événements concernant la sécurité. Windows utilise les événements de cette catégorie pour faire savoir quand le système démarre (event ID 512) et s’arrête (event ID 513), et aussi quand différents types de modules de sécurité (processus de logon et packages d’authentification,
Evénements du système
par exemple) sont chargés pendant l’opération de démarrage. Deux événements sont particulièrement utiles : event ID 517, qui indique que le journal de Sécurité a été effacé, et qui l’a effacé, et event ID 520, nouveau dans Windows 2003.
Nouveau dans Windows 2003 : Le seul nouveau System Event que j’ai rencontré dans mon test de Windows 2003, est event ID 520, qui signale que la date ou l’heure du système a changé et inclut dans la description la nouvelle et l’ancienne date ou heure.
Le journal de Sécurité est un outil extrêmement puissant pour suivre les utilisateurs et les membres de l’équipe informatique, et pour détecter les intrusions. Mais il présente quelques difficultés. Mieux vous comprendrez ses particularités, et plus vous accomplirez de choses avec le journal de Sécurité et plus de valeur vous tirerez de ses outils de reporting et d’alerte. Dans de futurs articles, c’est avec beaucoup de plaisir que je partagerai avec vous d’autres connaissances acquises pendant de longues années d’étude du journal de Sécurité.
Téléchargez cette ressource
Checklist de protection contre les ransomwares
Comment évaluer votre niveau de protection contre les ransomwares à la périphérie du réseau, et améliorer vos défenses notamment pour la détection des ransomwares sur les terminaux, la configuration des appareils, les stratégies de sauvegarde, les opérations de délestage... Découvrez la check list complète des facteurs clés pour améliorer immédiatement la sécurité des terminaux.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
