Passer au contenu principal

Moniteur du journal d'événements

Alert when specific Windows Event IDs appear a defined number of times within a set time window.

Introduction

Surveillez le journal d'événements Windows pour détecter des ID d'événements spécifiques et recevoir des alertes lorsqu'ils apparaissent trop fréquemment. Le moniteur du journal d'événements se déclenche lorsqu'un événement correspondant se produit un nombre de fois défini dans la fenêtre temporelle choisie — utile pour détecter les tentatives de connexion par force brute, les plantages d'applications, les erreurs disque et autres comportements qui ne sont préoccupants qu'en volume.

ℹ️ REMARQUE : Le moniteur du journal d'événements prend actuellement en charge Windows uniquement. La prise en charge de macOS et Linux sera disponible dans une prochaine mise à jour.

Moniteur du journal d'événements

Level surveille le journal d'événements Windows sur les appareils couverts pour tous les ID d'événements que vous spécifiez. Lorsque les événements correspondants atteignent le nombre d' Occurrences dans la Durée fenêtre, une alerte se déclenche.

La combinaison des occurrences et de la durée est ce qui rend cette fonctionnalité utile. L'ID d'événement 4625 (échec de connexion) apparaissant une seule fois n'est pas notable. Apparaître 10 fois en une minute est une tentative de force brute qui mérite une action immédiate.

Configuration du moniteur du journal d'événements

Ouvrez la politique de moniteur cible, puis ajoutez ou modifiez un moniteur du journal d'événements. Le panneau Modifier le moniteur s'ouvre sur la droite.

Nom et type

  1. Saisissez un nom dans le Nom champ. Incluez l'ID d'événement et ce qu'il représente — «Tentatives de connexion échouées (4625)» est immédiatement lisible dans une liste d'alertes.

  2. Définissez Type sur Journal d'événements.

Gravité

Définissez Gravité en fonction de ce que les ID d'événements représentent dans le contexte :

  • Information

  • Avertissement

  • Critique

  • Urgence

ID d'événements

Saisissez un ou plusieurs ID d'événements Windows à surveiller. Tapez un ID et appuyez sur Tab ou ajoutez une virgule pour l'ajouter en tant que balise, puis continuez à en saisir d'autres.

Event IDs

💡 CONSEIL : Vous pouvez surveiller plusieurs ID d'événements connexes dans un seul moniteur. Par exemple, regroupez tous les ID d'événements d'authentification échouée (4625, 4771, 4776) dans un seul moniteur plutôt que de créer des moniteurs distincts pour chacun.

Nom du journal

Saisissez le nom du journal d'événements Windows à surveiller. Le champ ne tient pas compte de la casse. Valeurs courantes :

  • Security — événements de sécurité et de connexion

  • System — événements au niveau du système d'exploitation, matériel, pilotes

  • Application — événements générés par les applications

Log Name

Source

Source est optionnel. Saisissez un nom de source pour restreindre le moniteur aux événements provenant d'une application ou d'un composant spécifique au sein du journal. Laissez vide pour correspondre aux ID d'événements quelle que soit la source dans ce journal.

Source

Niveaux

Sélectionnez un ou plusieurs niveaux du journal d'événements à faire correspondre. Seuls les événements aux niveaux sélectionnés seront comptabilisés dans votre seuil d'occurrences :

  • Information

  • Avertissement

  • Erreur

  • Critique

  • Détaillé

Cliquez sur la liste déroulante pour ajouter des niveaux. Cliquez sur × à côté d'une puce de niveau pour la supprimer. Cliquez sur × à droite du champ pour effacer toutes les sélections.

Levels

ℹ️ REMARQUE : Les niveaux du journal d'événements Windows et la gravité des alertes Level sont des concepts distincts. Le champ Niveaux filtre les entrées du journal d'événements comptabilisées ; Gravité définit la priorité de l'alerte créée par Level.

Occurrences

Occurrences définit le nombre d'événements correspondants qui doivent être détectés dans la fenêtre de durée avant qu'une alerte se déclenche. Utilisez les flèches haut/bas pour définir la valeur.

Occurrences

Durée

Durée définit la fenêtre temporelle pour le comptage des occurrences. La liste déroulante d'unités vous permet de choisir Minutes ou Heures; le curseur et les flèches haut/bas définissent la valeur dans cette unité.

Duration

💡 CONSEIL : Adaptez la fenêtre de durée au modèle de menace. Les échecs de connexion sont mieux surveillés sur une courte fenêtre (par ex., 10 échecs en 30 minutes) pour détecter les attaques actives. Les plantages d'applications peuvent utiliser une fenêtre plus large (par ex., 5 plantages en 1 heure) pour éviter les alertes sur des incidents isolés.

Résolution automatique

Résoudre automatiquement l'alerte si elle n'est plus applicable est désactivée par défaut pour les moniteurs du journal d'événements. Les alertes basées sur des événements représentent quelque chose qui s'est déjà produit — elles n'ont pas d'état «actuellement en dépassement» à effacer automatiquement, donc laisser la résolution automatique désactivée signifie que les alertes persistent jusqu'à ce qu'un technicien les examine et les résolve.

Auto Resolve

Remédiation

Associez une ou plusieurs automatisations à exécuter lorsque ce moniteur se déclenche — isolez un appareil, réinitialisez un compte utilisateur, créez un ticket ou alertez votre équipe.

  1. Cliquez dans le champ Remédiation et sélectionnez une automatisation.

  2. Pour en ajouter d'autres, cliquez sur + Ajouter une autre remédiation.

  3. Pour en supprimer une, cliquez sur × à côté.

ℹ️ REMARQUE : Les remédiations s'exécutent lors de la création de l'alerte, et non lors de sa résolution.

Notifications

  • Envoyer des notifications à la création de l'alerte — les destinataires de la politique reçoivent un e-mail lorsque l'alerte se déclenche

  • Envoyer des notifications à la résolution de l'alerte — les destinataires de la politique reçoivent un e-mail lorsque l'alerte est résolue

Les destinataires sont gérés au niveau de la politique de moniteur, dans la Destinataires section.

Notifications

Enregistrement du moniteur

Cliquez sur Mettre à jour le moniteur pour enregistrer les modifications, ou Ajouter un moniteur lors de l'ajout d'un nouveau.

FAQ

  • Qui peut créer et modifier des moniteurs ? Les techniciens ayant accès à la politique de moniteur concernée. Les paramètres d'autorisation sont gérés dans Espace de travail → Autorisations.

  • Où trouver les ID d'événements pour les événements que je souhaite surveiller ? L'Observateur d'événements Windows est le moyen le plus rapide — trouvez un événement que vous souhaitez surveiller, ouvrez ses propriétés et l'ID d'événement y est indiqué. La documentation de Microsoft et les références de sécurité telles que Windows Security Log Encyclopedia sont également utiles pour les ID d'événements de sécurité courants.

  • Puis-je surveiller le même ID d'événement avec des seuils d'occurrences différents ? Oui — créez des moniteurs distincts pour chaque seuil. Par exemple, un moniteur pour 3 échecs de connexion en 1 heure (Avertissement) et un autre pour 10 en 1 minute (Critique).

  • Le moniteur du journal d'événements fonctionne-t-il sur macOS ou Linux ? Non — le journal d'événements Windows est une fonctionnalité exclusivement Windows. Pour la surveillance basée sur les journaux sous macOS ou Linux, utilisez un moniteur de script qui lit directement les journaux système.

  • Que se passe-t-il pour les alertes du journal d'événements ouvertes si je supprime le moniteur ? Les alertes existantes restent en place. La suppression d'un moniteur ne ferme pas les alertes qu'il a déjà créées — résolvez-les manuellement.

Articles connexes
Révision des Moniteurs
Moniteur d'utilisation du disque
Moniteur d'utilisation de la mémoire
Moniteur de processus
Moniteur de service
Avez-vous trouvé la réponse à votre question ?