Activer le journal d’audit des événements système
Cette rubrique contient les informations suivantes :
Comment activer la politique d’audit de sécurité
Comment activer la journalisation détaillée des événements de diagnostic de l’intégrité du code
Comment activer la politique d’audit de sécurité
Pour activer la politique d’audit de sécurité afin de capturer les échecs de chargement dans les journaux d’audit, suivez ces étapes :
Ouvrez une fenêtre d'invite de commandes avec privilèges élevés. Pour ouvrir une fenêtre d’invite de commande élevée, créez un raccourci sur le bureau vers Cmd.exe, sélectionnez et maintenez (ou faites un clic droit sur) le raccourci Cmd.exe, puis sélectionnez Exécuter en tant qu’administrateur.
Dans la fenêtre d’invite de commande élevée, exécutez la commande suivante :
Auditpol /set /Category:System /failure:enable
Redémarrez l’ordinateur pour que les modifications prennent effet.
La capture d’écran suivante montre comment utiliser Auditpol pour activer l’audit de sécurité.
Comment activer la journalisation détaillée des événements de diagnostic de l’intégrité du code
Pour activer la journalisation détaillée, suivez ces étapes :
Ouvrez une fenêtre d'invite de commandes avec privilèges élevés.
Exécutez Eventvwr.exe sur la ligne de commande.
Dans le dossier Observateur d’événements dans le volet gauche de l’Observateur d’événements, développez la séquence suivante de sous-dossiers :
Journaux des applications et des services
Microsoft
Windows
Développez le sous-dossier Intégrité du code sous le dossier Windows pour afficher son menu contextuel.
Sélectionnez Affichage.
Sélectionnez Afficher les journaux analytiques et de débogage. L’Observateur d’événements affichera alors un sous-arborescence contenant un dossier Opérationnel et un dossier Détaillé.
Sélectionnez et maintenez (ou faites un clic droit sur) Détaillé, puis sélectionnez Propriétés dans le menu contextuel.
Sélectionnez l’onglet Général dans la boîte de dialogue Propriétés, puis sélectionnez l’option Activer la journalisation au milieu de la page des propriétés. Cela activera la journalisation détaillée.
Redémarrez l’ordinateur pour que les modifications prennent effet.