Lister tous les évènements de sécurité possibles et leurs descriptions en PowerShell


La liste de tous les évènements de sécurité possibles sur votre système est disponible ici :

Il s'agit d'un ficher Excel bien pratique puisqu'il liste tous les évènements, leurs IDs, leurs descriptions ainsi que la catégorie d'audit a activer pour les générer.

Cela dit, il est possible de faire appel a PowerShell pour générer cette liste dynamiquement sur votre système (en fait pas tout a fait la meme liste puisque la commande suivante ne vous donne pas la catégorie d'audit à activer, toujours bien pratique).

(Get-WinEvent -ListProvider "Microsoft-Windows-Security-Auditing").Events | `
    Select-Object @{Name='Id';Expression={$_.Id -band 0xffffff}}, Description, @{Name='Parameters';Expression={($_.Template).template.data}} | `
        Out-GridView -Title "Audit Event IDs" -PassThru | `
            Format-List

Voici la sortie :

AUDIT_PS_1

Le format GridView est bien pratique puisqu'on peut appliquer un filtre :

AUDIT_PS_2

Et puisque on positionne le paramètre -passthrough, si vous selection un ou plusieurs elements dans le GridView et cliquez sur OK, le details va s'afficher dans la console :

AUDIT_PS_3

Merci à Chris Wu pour l'astuce de lister les évènements d'un fournisseur spécifique.

Notez que vous pouvez faire cela pour n'importe quelle autre fournisseur (User32, ADFS Audit,...).

Skip to main content