Journal des événements Windows

L'agent de système d'exploitation utilise le fichier .conf pour surveiller les événements consignés dans l'historique des événements Windows.

L'agent de système d'exploitation continue à utiliser l'option WINEVENTLOGS du fichier de configuration (.conf) pour surveiller les événements consignés dans le journal des événements Windows. L'agent surveille une liste de journaux d'événements séparés par des virgules, comme indiqué dans l'exemple suivant :

WINEVENTLOGS=System,Security,Application

L'agent de système d'exploitation continue également d'utiliser le paramètre WINEVENTLOGS=All. Le paramètre All fait référence aux journaux d'événements standard suivants fournis avec les versions Windows antérieures à 2008 : Sécurité, Application, Système, Active Directory, DNS (Domain Name System) et FRS (File Replication Service). Cependant, tous les journaux des événements système ne sont pas vérifiés.

La balise du fichier de configuration UseNewEventLogAPI permet au journal des événements (journal des événements Windows 2008 ou version ultérieure) d'accéder à tous les nouveaux journaux ajoutés par Microsoft, ainsi qu'à l'ensemble des journaux d'événements Windows créés par d'autres applications ou par l'utilisateur. Les nouveaux journaux sont définis par le mot clé WINEVENTLOGS.

Dans l'exemple suivant, la balise UseNewEventLogAPI a pour valeur y.

UseNewEventLogAPI=y
WINEVENTLOGS=Microsoft-Windows-Hyper-V-Worker-Admin

Dans cet exemple, le journal Microsoft-Windows-Hyper-V/Admin est surveillé sur un système Windows possédant le rôle Hyper-V.

Dans le journal des événements Windows, chaque événement comporte les zones suivantes dans cet ordre :

  • Date au format mois, jour, heure et année
  • Catégorie d'événement sous forme d'entier
  • Niveau d'événement
  • Identificateur de sécurité Windows. Dans l'identificateur de sécurité Windows, tous les espaces sont remplacés par un trait de soulignement si le fichier de configuration (.conf) inclut le paramètre SpaceReplacement=TRUE.
    Remarque : SpaceReplacement=TRUE est la valeur par défaut si vous associez UseNewEventLogAPI à y dans le fichier (.conf) (en indiquant que vous utilisez le journal d'événements).
  • Source Windows. Dans le source Windows, tous les espaces sont remplacés par un trait de soulignement si le fichier de configuration (.conf) comporte le paramètre SpaceReplacement=TRUE.
  • Mots clés du journal d'événements Windows. Dans les mots clés du journal d'événements Windows, tous les espaces sont remplacés par un trait de soulignement si le fichier de configuration (.conf) inclut le paramètre SpaceReplacement=TRUE.
    Remarque : La zone de mots clés qui est décrite ici est nouvelle dans la version Windows 2008 du journal des événements. Etant donné qu'elle n'existait pas dans les précédentes versions du journal des événements, vous ne pouvez pas réutiliser directement vos anciennes instructions de format du journal des événements. Vous devez d'abord les modifier pour prendre en compte cette nouvelle zone.
  • Identificateur d'événement Windows
  • Texte du message

Par exemple, lorsqu'un administrateur se connecte à un système Windows 2008, un événement est généré dans le journal de sécurité, indiquant les privilèges associés à la session du nouvel utilisateur :

Mar 22 13:58:35 2011 1 Information N/A Microsoft-Windows-
Security-Auditing Audit_Success 4672 Special privileges assigned to new logon. 
S-1-5-21-586564200-1406810015-1408784414-500    Account Name: 
Administrator   Account Domain:     MOLDOVA     Logon ID: 
0xc39cb8e    Privileges:        SeSecurityPrivilege  
SeBackupPrivilege          SeRestorePrivilege  
SeTakeOwnershipPrivilege            SeDebugPrivilege 
SeSystemEnvironmentPrivilege            SeLoadDriverPrivilege      
SeImpersonatePrivilege
Pour capturer tous les événements qui ont été créés par la source d'événement Microsoft-Windows-Security-Auditing, vous devez écrire une instruction de format comme indiqué ci-dessous : 
REGEX BaseAuditEvent
^([A-Z][a-z]{2} [0-9]{1,2} [0-9]{1,2}:[0-9]{2}:[0-9]{2} [0-9]
{4}) [0-9] (\S+) (\S+) Microsoft-Windows-Security-Auditing (\S+)
([0-9]+) (.*)
timestamp $1
severity $2
login $3
eventsource "Microsoft-Windows-Security-Auditing"
eventkeywords $4
eventid $5
msg $6
END
L'exemple suivant indique les valeurs qui sont affectées aux attributs pour l'exemple d'événement précédent : 
timestamp=Mar 22 13:58:35 2011
severity=Information
login=N/A
eventsource=Microsoft-Windows-Security-Auditing
eventid=4672
msg="Special privileges assigned to new logon.
S-1-5-21-586564200-1406810015-1408784414-500    Account Name: 
Administrator   Account Domain:     MOLDOVA     Logon ID: 
0xc39cb8e    Privileges:        SeSecurityPrivilege  
SeBackupPrivilege          SeRestorePrivilege  
SeTakeOwnershipPrivilege            SeDebugPrivilege 
SeSystemEnvironmentPrivilege            SeLoadDriverPrivilege      
SeImpersonatePrivilege

Comme il est difficile d'anticiper l'apparence de ces événements, vous pouvez écrire vos expressions régulières en capturant les événements réels dans un fichier. Il ne vous restera plus ensuite qu'à examiner le fichier, sélectionner les événements devant être capturés par l'agent et écrire les expressions régulières correspondant à ces événements. Pour capturer tous les événements à partir du journal des événements Windows, procédez comme suit :

  1. Créez un fichier de format contenant un seul modèle qui ne correspond à rien. Par exemple : 
    REGEX NoMatch
This doesn't match anything
END
  2. Dans le fichier de configuration (.conf), ajoutez le paramètre : 
    UnmatchLog=C:/temp/evlog.unmatch
  3. Exécutez l'agent et capturez quelques événements échantillonnés.