**4624**: Succès de connexion - Indique un succès de connexion à un compte. **4625**: Échec de connexion - Signale une tentative de connexion échouée, utile pour détecter des tentatives de force brute. **4648**: Utilisation explicite des identifiants - Utile pour suivre les connexions où des identifiants sont explicitement utilisés. **4672**: Attribution de privilèges spéciaux lors de la connexion - Indique qu'un utilisateur s'est connecté avec des privilèges administratifs. **4688**: Création d'un nouveau processus - Utile pour surveiller l'exécution de processus potentiellement malveillants. **4720**: Création d'un compte utilisateur - Indique la création d'un nouveau compte utilisateur. **4728**: Ajout d'un membre à un groupe de sécurité global - Important pour surveiller les modifications des groupes de sécurité. **4732**: Ajout d'un membre à un groupe de sécurité local - Similaire à l'ID 4728 mais pour les groupes locaux. **4740**: Compte d'utilisateur verrouillé - Indique qu'un compte a été verrouillé, souvent après plusieurs tentatives de connexion échouées. **4767**: Compte d'utilisateur déverrouillé - Peut indiquer une activité administrative ou suspecte. **4771**: Échec de la validation Kerberos - Utile pour détecter des problèmes d'authentification ou des tentatives d'attaque. **4776**: Validation d'identifiants - Surveillance des tentatives de connexion via le protocole NTLM. **4781**: Renommage d'un compte utilisateur - Peut indiquer une tentative de dissimulation ou de modification des droits d'accès. **4798**: Un utilisateur a effectué une requête liée à un groupe - Utile pour surveiller les requêtes liées aux appartenances de groupe. **4799**: Un groupe de sécurité global a été interrogé - Complémentaire à l'ID 4798 pour les groupes de sécurité.