Liste EventID

4624: Succès de connexion - Indique un succès de connexion à un compte.

4625: Échec de connexion - Signale une tentative de connexion échouée, utile pour détecter des tentatives de force brute.

4648: Utilisation explicite des identifiants - Utile pour suivre les connexions où des identifiants sont explicitement utilisés.

4672: Attribution de privilèges spéciaux lors de la connexion - Indique qu'un utilisateur s'est connecté avec des privilèges administratifs.

4688: Création d'un nouveau processus - Utile pour surveiller l'exécution de processus potentiellement malveillants.

4720: Création d'un compte utilisateur - Indique la création d'un nouveau compte utilisateur.

4728: Ajout d'un membre à un groupe de sécurité global - Important pour surveiller les modifications des groupes de sécurité.

4732: Ajout d'un membre à un groupe de sécurité local - Similaire à l'ID 4728 mais pour les groupes locaux.

4740: Compte d'utilisateur verrouillé - Indique qu'un compte a été verrouillé, souvent après plusieurs tentatives de connexion échouées.

4767: Compte d'utilisateur déverrouillé - Peut indiquer une activité administrative ou suspecte.

4771: Échec de la validation Kerberos - Utile pour détecter des problèmes d'authentification ou des tentatives d'attaque.

4776: Validation d'identifiants - Surveillance des tentatives de connexion via le protocole NTLM.

4781: Renommage d'un compte utilisateur - Peut indiquer une tentative de dissimulation ou de modification des droits d'accès.

4798: Un utilisateur a effectué une requête liée à un groupe - Utile pour surveiller les requêtes liées aux appartenances de groupe.

4799: Un groupe de sécurité global a été interrogé - Complémentaire à l'ID 4798 pour les groupes de sécurité.