Notes sur le journal d'événements
Notes courtes sur le format binaire du journal d'événements Windows, les ID d'événements forensiquement utiles et les workflows de triage.
4663 est l'enregistrement d'audit objet par accès. Configurez les SACL sur les bons fichiers et clés pour un log de qui a touché quoi.
4672 se déclenche dès qu'une connexion reçoit des privilèges sensibles comme SeDebugPrivilege. C'est le signal « cette session est admin-équivalent ».
4688 est l'enregistrement de création de processus de l'OS — à condition d'activer l'audit de ligne de commande. Contenu, différences avec Sysmon 1 et patterns de triage.
4720 se déclenche à chaque création de compte utilisateur — local ou AD. Lu avec 4722/4724/4732, il révèle persistance et comptes de mouvement latéral en minutes.
4768 est l'enregistrement DC de chaque TGT émis. Lu via le code de résultat et le flag de pré-authentification, il révèle AS-REP roasting, brute force et abus de délégation non contrainte.
4769 est l'enregistrement DC de chaque demande de ticket service. Lu via le type de chiffrement, il révèle le kerberoasting ; lu avec 4768, il révèle le pass-the-ticket.
7036 se déclenche à chaque démarrage ou arrêt de service. Couplé à 7045, il confirme si la persistance a réellement tourné — et seul, il révèle abus de service, évasion défensive et anomalies de boot.
Cinq façons d'ouvrir un fichier Windows .evtx — dans votre navigateur, dans l'Observateur d'événements, avec wevtutil, EvtxECmd ou python-evtx. Choisissez selon l'OS hôte et la friction acceptable.
Un fichier .evtx est un journal d'événements Windows binaire. Où ils résident, ce qu'ils contiennent, en quoi ils diffèrent du .evt, et comment les ouvrir — sans rien installer.