Voyons maintenant le nouveau format des événements dans Windows 2000. Microsoft a changé deux choses : le format physique de fichier des journaux d’événements Windows ainsi que les champs logiques qui constituent chaque événement envoyé au journal. Si vous êtes un fana de XML, le schéma XML pour les journaux d’événements est http:// schemas.microsft.com/win/2004/08/events/event ; mais le nouveau format ne touche pas tellement les administrateurs. Si vous êtes un développeur travaillant avec des journaux d’événements, Windows supporte encore les anciennes API Win32 Event, mais il est bon de vérifier les nouvelles possibilités à http://msdn2.microsoft.com/ enus/library/aa382610.aspx.
Le format logique d’événements (tel qu’affiché par Event Viewer dans la boîte de dialogue Properties d’un événement) est beaucoup plus important. La figure 2 montre l’event ID 4625. Chaque événement a encore un certain nombre de ce que j’appelle des champs standard ainsi qu’une description textuelle. Les champs standard fournissent une information qui s’applique à chaque événement indépendamment de l’event ID – une information telle que la date et l’heure de l’événement, la source, la catégorie, et sa réussite ou son échec. Le message et les éléments de données présents dans la description textuelle varient d’un event ID à un autre.
La description de chaque event ID est une combinaison de chaînes de texte statique et d’insertion dynamique. Dans le texte ci-dessous, on peut voir les premières lignes de la description de l’event ID 4625. Le texte en noir est statique ; les valeurs en rouge sont propres à l’instance particulière de l’événement.
An account was successfully
logged on.
Subject:
Security ID: SYSTEM
Account name: WIN-K2SF4W MIK17$
Account Domain: ACME
Logon ID: 0x3e7
Donc cela n’a pas tellement changé – à savoir, le concept de champs standard et une description qui est propre à l’event ID. En revanche, ont changé les champs standard individuels et les chaînes d’insertion journalisées par chaque event ID.
Comparez event ID 4625 à son prédécesseur, event ID 529 dans Windows 2003. La plupart des changements des champs standard sont faciles à détecter, comme Date and Time remplacé par Logged, mais une poignée demande une petite explication. Tout d’abord, observez que l’ancienne catégorie de niveau supérieur n’apparaît pas dans les événements Windows 2008, parce que, dans Windows 2008, les catégories d’audit de niveau supérieur ne concernent que la catégorie d’audit (c’est-à-dire quels event ID sont journalisés et lesquels ne le sont pas). Quand Windows 2008 journalise des événements, il les résout jusqu’à leur niveau de sous-catégorie, que Event Viewer appelle
Il n’y a plus aucun Type. Nous avons désormais Level et Keywords. Pour autant que je sache, tous les événements du Security log semblent avoir le niveau Information et l’un des mots-clés Audit Failure ou Audit Success.
Vous constaterez que les descriptions d’événements ont changé considérablement. Windows 2008 insère beaucoup plus de valeurs dynamiques dans les descriptions et Microsoft a fait des progrès en imposant une certaine cohérence dans les données de description au travers des différents event ID. Les descriptions d’event ID sont un bon exemple de la manière dont un schéma XML bien conçu aide à gérer des enregistrements de données de structure similaire mais dynamiques d’une instance à une autre.
Beaucoup de descriptions d’event ID partagent des éléments de données communs. Ainsi, presque chaque événement a besoin de journaliser l’information sujet – c’est-à-dire le « qui » de l’événement. Comme la figure 2 et le texte cidessus le montrent, l’information sujet inclut SID, nom de compte, domaine, et logon ID. De tous temps, Windows n’a montré aucune cohérence d’un événement à un autre quant à l’exact mode de journalisation de cette information sujet. Certaines données sujets étaient parfois omises ou libellées autrement.
Pour voir un exemple, comparez les données sujets dans les événements Account Logon de Windows 2003. Le nom de compte est libellé de plusieurs manières différentes et certaines données sujets sont absentes de certains event ID. Dans Windows 2008, vous trouverez un certain nombre de sections communes sur la plupart des event ID.
J’ai déjà mentionné la section Subject. Les événements qui suivent une opération sur un certain type d’objet – comme l’accès à un fichier – ont une section Object avec tous les champs appropriés pour identifier l’objet, comme son type et son nom entièrement qualifié. Tous les événements qui notent le processus système impliqué dans l’événement incluent une section Process Information qui documente le PID (process identifier) et nomme l’exécutable.
Enfin, vous trouverez davantage de texte explicatif en bas de certaines descriptions d’événements donnant une information générale sur l’événement ou expliquant un peu certaines des valeurs de la description. Mais la couverture est parcellaire et fréquemment incomplète. Donc, vive My Security Log Encyclopedia !
