Lister tous les évènements de sécurité possibles et leurs descriptions en PowerShell
La liste de tous les évènements de sécurité possibles sur votre système est disponible ici :
Il s'agit d'un ficher Excel bien pratique puisqu'il liste tous les évènements, leurs IDs, leurs descriptions ainsi que la catégorie d'audit a activer pour les générer.
Cela dit, il est possible de faire appel a PowerShell pour générer cette liste dynamiquement sur votre système (en fait pas tout a fait la meme liste puisque la commande suivante ne vous donne pas la catégorie d'audit à activer, toujours bien pratique).
(Get-WinEvent -ListProvider "Microsoft-Windows-Security-Auditing").Events | `
Select-Object @{Name='Id';Expression={$_.Id -band 0xffffff}}, Description, @{Name='Parameters';Expression={([xml]$_.Template).template.data}} | `
Out-GridView -Title "Audit Event IDs" -PassThru | `
Format-List
Voici la sortie :
Le format GridView est bien pratique puisqu'on peut appliquer un filtre :
Et puisque on positionne le paramètre -passthrough, si vous selection un ou plusieurs elements dans le GridView et cliquez sur OK, le details va s'afficher dans la console :
Merci à Chris Wu pour l'astuce de lister les évènements d'un fournisseur spécifique.
Notez que vous pouvez faire cela pour n'importe quelle autre fournisseur (User32, ADFS Audit,...).