AUDITPOL et WEVTUTIL deux outils à connaitre pour la gestion de l'audit dans Windows Server 2008

  • Article

Parmi les évolutions liées à l'audit introduites dans Windows Server 2008, deux peuvent avoir un impact important sur les procédures et les outils en place.
La première évolution concerne la création de nouvelles catégories et sous catégories d'audit, afin de permettre une mise en oeuvre plus granulaire de l'audit, l'objectif étant de limiter le volume d'événements générés car comme vous l'avez probablement déjà constaté trop d'information tue l'information.

Les catégories disponibles sont au nombre de 9 et les sous catégories sont en nombre variable au tour de 50 en fonction des rôles activés, l'activation du rôle Network Policy Server par exemple ajoutant une sous catégorie.

AUDITPOL a pour objet de nous permettre de gérer intégralement la politique d'audit, ainsi la commande: AUDITPOL /GET /CATEGORY:* permet-elle de connaitre la liste des catégories et sous catégories ainsi que leur paramétrage, comme illustré par la capture d'écran ci-dessous. Autre point d'importance, AUDITPOL est le seul mécanisme disponible pour activer/désactiver certaines sous catégories via la commande AUDITPOL /SET /SUBCATEGORY:"Nom_de_la_sous_catégorie"

D'autres modifications visant à limiter le volume d'informations avaient déjà été introduites avec Windows Server 2003 et le SP1, comme la possibilité d'activer l'audit par utilisateur et non plus de manière globale pour l'ensemble des utilisateurs.

La seconde évolution concerne la gestion des journaux des événements qui bénéficient bien entendu de l'ensemble des apports de Vista tels que la possibilité de créer des journaux spécifiques ou des vues, ces évolutions ont elles aussi pour objectif de permettre une plus grande lisibilité des informations contenues dans les journaux dont celles liées à l'audit.

La segmentation accrue des catégories d'audit a aussi eu pour effet de modifier le plan de numérotation !!! Et oui, on a rien sans rien comme disait ma grand-mère. Est-ce que cela signifie que les solutions et/ou scripts d'analyse des journaux d'Audit devront être mis à jour ? La réponse est sans surprise: Oui.
La question qui vient logiquement à l'esprit suite à ce constat est Où est cachée la liste exhaustive des événements et numéro associé ? La réponse est peut être moins connue mais cette liste est déjà disponible, il suffit pour celà d'utiliser le bon outil... et le bon outil est WEVTUTIL

La commande WEVTUTIL EP va en premier lieu nous permettre de connaitre la liste des fournisseurs et en la couplant FINDSTR (WEVTUTIL EP | FINDSTR /I SECURITY) pour filtrer sur le mot clé security nous obtenons une liste de 6 providers dont Microsoft-Windows-Security-Auditing.

Toujours à l'aide de WEVTUTIL avec la commande WEVTUTIL GP Microsoft-Windows-Security-Auditing /GE:true /GM:true nous obtenons enfin non pas le Graal mais la liste complète des événements ainsi que leur description.

Voilà c'est fini pour aujourd'hui, j'espère au travers de ces quelques lignes vous avoir donné un rapide aperçu des évolutions relatives à l'audit dans Windows Server 2008, la suite au prochain épisode