Lister tous les évènements de sécurité possibles et leurs descriptions en PowerShell


La liste de tous les évènements de sécurité possibles sur votre système est disponible ici :

Il s'agit d'un ficher Excel bien pratique puisqu'il liste tous les évènements, leurs IDs, leurs descriptions ainsi que la catégorie d'audit a activer pour les générer.

Cela dit, il est possible de faire appel a PowerShell pour générer cette liste dynamiquement sur votre système (en fait pas tout a fait la meme liste puisque la commande suivante ne vous donne pas la catégorie d'audit à activer, toujours bien pratique).

(Get-WinEvent -ListProvider "Microsoft-Windows-Security-Auditing").Events | `
    Select-Object @{Name='Id';Expression={$_.Id -band 0xffffff}}, Description, @{Name='Parameters';Expression={($_.Template).template.data}} | `
        Out-GridView -Title "Audit Event IDs" -PassThru | `
            Format-List

Voici la sortie :

AUDIT_PS_1

Le format GridView est bien pratique puisqu'on peut appliquer un filtre :

AUDIT_PS_2

Et puisque on positionne le paramètre -passthrough, si vous selection un ou plusieurs elements dans le GridView et cliquez sur OK, le details va s'afficher dans la console :

AUDIT_PS_3

Merci à Chris Wu pour l'astuce de lister les évènements d'un fournisseur spécifique.

Notez que vous pouvez faire cela pour n'importe quelle autre fournisseur (User32, ADFS Audit,...).

Comments (0)

Skip to main content