Surveillez le Journal des Événements Windows pour des ID d'événement spécifiques et alertez lorsqu'ils apparaissent trop fréquemment. Le moniteur du Journal des Événements se déclenche lorsqu'un événement correspondant se produit un nombre de fois défini dans votre fenêtre de temps choisie — utile pour détecter les tentatives de connexion par force brute, les plantages d'application, les erreurs de disque et autres modèles qui ne sont importants que en volume.
ℹ️ NOTE: Le moniteur du Journal des Événements prend actuellement en charge Windows uniquement. La prise en charge de macOS et Linux arrivera dans une mise à jour future.
Moniteur du Journal des Événements
Level surveille le Journal des Événements Windows sur les appareils couverts pour les ID d'événement que vous spécifiez. Lorsque les événements correspondants s'accumulent à votre compte Occurrences dans la fenêtre Durée, une alerte se déclenche.
La combinaison d'occurrences et de durée est ce qui rend cela utile. L'ID d'événement 4625 (connexion échouée) apparaissant une fois n'est pas notable. Apparaître 10 fois en une minute est une tentative de force brute qui vaut la peine d'agir immédiatement.
Configuration du Moniteur du Journal des Événements
Ouvrez la politique de moniteur cible, puis ajoutez ou modifiez un moniteur du Journal des Événements. Le panneau Modifier le moniteur s'ouvre sur la droite.
Nom et Type
Entrez un nom dans le champ Nom. Incluez l'ID d'événement et ce qu'il représente — « Tentatives de Connexion Échouées (4625) » est immédiatement lisible dans une liste d'alertes.
Définissez Type sur Journal des événements.
Gravité
Définissez Gravité en fonction de ce que les ID d'événement représentent en contexte:
Information
Avertissement
Critique
Urgence
ID d'Événement
Entrez un ou plusieurs ID d'événement Windows à surveiller. Tapez un ID et appuyez sur Tab ou ajoutez une virgule pour l'ajouter comme balise, puis continuez à entrer d'autres.
💡 CONSEIL: Vous pouvez surveiller plusieurs ID d'événement connexes dans un seul moniteur. Par exemple, regroupez tous les ID d'événement d'authentification échouée (4625, 4771, 4776) dans un moniteur plutôt que de créer des moniteurs séparés pour chacun.
Nom du Journal
Entrez le nom du Journal des Événements Windows à surveiller. Le champ est insensible à la casse. Valeurs communes:
Sécurité— événements de sécurité et de connexionSystème— événements au niveau du système d'exploitation, matériel, pilotesApplication— événements générés par l'application
Source
Source est optionnel. Entrez un nom de source pour restreindre le moniteur aux événements d'une application ou d'un composant spécifique dans le journal. Laissez vide pour correspondre aux ID d'événement dans toute source de ce journal.
Niveaux
Sélectionnez un ou plusieurs niveaux de journal des événements à mettre en correspondance. Seuls les événements aux niveaux sélectionnés compteront dans votre seuil d'occurrences:
Information
Avertissement
Erreur
Critique
Verbeux
Cliquez sur le menu déroulant pour ajouter des niveaux. Cliquez sur × à côté d'une puce de niveau pour la supprimer. Cliquez sur le × à droite du champ pour effacer toutes les sélections.
ℹ️ NOTE: Les niveaux du Journal des Événements Windows et la gravité des alertes Level sont des concepts séparés. Le champ Niveaux filtre les entrées du journal des événements comptabilisées; Gravité définit la priorité de l'alerte que Level crée.
Occurrences
Occurrences définit combien d'événements correspondants doivent être détectés dans la fenêtre de durée avant qu'une alerte ne se déclenche. Utilisez les flèches vers le haut/bas pour définir la valeur.
Durée
Durée définit la fenêtre de temps pour compter les occurrences. Le menu déroulant d'unité vous permet de choisir Minutes ou Heures; le curseur et les flèches vers le haut/bas définissent la valeur dans cette unité.
💡 CONSEIL: Adaptez la fenêtre de durée au modèle de menace. Les connexions échouées sont mieux surveillées sur une fenêtre courte (par exemple, 10 échecs en 30 minutes) pour détecter les attaques actives. Les plantages d'application pourraient utiliser une fenêtre plus large (par exemple, 5 plantages en 1 heure) pour éviter les alertes sur les incidents isolés.
Résolution Automatique
Résoudre automatiquement l'alerte si elle n'est plus applicable est désactivée par défaut pour les moniteurs du Journal des Événements. Les alertes basées sur les événements représentent quelque chose qui s'est déjà produit — elles n'ont pas un état « actuellement enfreint » à effacer automatiquement, donc laisser la résolution automatique désactivée signifie que les alertes persistent jusqu'à ce qu'un technicien les examine et les résout.
Correction
Attachez une ou plusieurs automatisations à exécuter lorsque ce moniteur se déclenche — isolez un appareil, réinitialisez un compte utilisateur, créez un ticket ou alertez votre équipe.
Cliquez dans le champ Correction et sélectionnez une automatisation.
Pour en ajouter d'autres, cliquez sur + Ajouter une autre correction.
Pour en supprimer une, cliquez sur le × à côté.
ℹ️ NOTE: Les corrections s'exécutent lorsque l'alerte est créée, pas lorsqu'elle se résout.
Notifications
Envoyer des notifications à la création de l'alerte — les destinataires de la politique reçoivent un e-mail lorsque l'alerte se déclenche
Envoyer des notifications à la résolution de l'alerte — les destinataires de la politique reçoivent un e-mail lorsque l'alerte se résout
Les destinataires sont gérés au niveau de la politique de moniteur, dans la section Destinataires.
Enregistrement du Moniteur
Cliquez sur Mettre à jour le moniteur pour enregistrer les modifications, ou Ajouter un moniteur lors de l'ajout d'un nouveau.
FAQ
Qui peut créer et modifier des moniteurs? Les techniciens ayant accès à la politique de moniteur pertinente. Les paramètres d'autorisation sont gérés dans Espace de travail → Autorisations.
Où trouvé-je les ID d'événement pour les événements que je veux surveiller? L'Observateur d'Événements Windows est le moyen le plus rapide — trouvez un événement que vous voulez surveiller, ouvrez ses propriétés, et l'ID d'Événement est listé là. La documentation de Microsoft et les références de sécurité comme l'Encyclopédie du Journal de Sécurité Windows sont également utiles pour les ID d'événement de sécurité courants.
Peux-je surveiller le même ID d'événement avec des seuils d'occurrence différents? Oui — créez des moniteurs séparés pour chaque seuil. Par exemple, un moniteur pour 3 connexions échouées en 1 heure (Avertissement) et un autre pour 10 en 1 minute (Critique).
Le moniteur du Journal des Événements fonctionne-t-il sur macOS ou Linux? Non — le Journal des Événements Windows est une fonctionnalité Windows uniquement. Pour la surveillance basée sur les journaux sur macOS ou Linux, utilisez un Moniteur de Script qui lit directement les journaux système.
Que se passe-t-il pour les alertes ouvertes du Journal des Événements si je supprime le moniteur? Les alertes existantes restent en place. Supprimer un moniteur ne ferme pas les alertes qu'il a déjà créées — résolvez-les manuellement.