Ce moniteur vérifie si une quelconque règle ou analyse peut accéder à un ou plusieurs journaux d'événements Windows.
Knowledge Base article:
Résumé
Cette analyse indique que le service de contrôle d’intégrité a pu accéder à un journal d'événements et l'ouvrir pour traiter ses événements. Si le service de contrôle d’intégrité n'est pas en mesure d'accéder à un journal des événements, l'analyse des événements de ce journal peut s'en trouver pénalisée.
Causes
Ceci peut être lié aux problèmes suivants :
Le compte d'action ne dispose pas des autorisations nécessaires pour le journal des événements indiqué dans le contexte de l'alerte ou de l'analyse.
Le nom du journal d'événements spécifié dans la configuration de l'analyse ou de la règle n'existe pas sur l'ordinateur sur lequel sont exécutés l'analyse ou la règle.
Le nom du journal d'événements peut ne pas avoir été entré correctement dans la configuration de l'analyse ou de la règle.
Solutions
Pour résoudre ce problème, effectuez les vérifications suivantes dans l'ordre indiqué :
1. Prenez note du nom de la règle ou de l'analyse dans le contexte de l'alerte ou de l'analyse. Il s'agit du texte apparaissant après « Nom du flux de travail » dans le contexte.
2. Recherchez ce nom dans la console et affichez les propriétés de cette règle ou cette analyse.
3. Dans les propriétés du moniteur ou de la règle, recherchez les onglets commençant par « Journal des événements » (exemple : « Journal des événements (Événement non intègre) »).
4. Vérifiez que le nom du journal des événements correspond bien à un journal d'événements qui existe sur l'ordinateur sur lequel a été déclenché l'état d'alerte/d'analyse.
5. Corrigez ceci s'il s'agit d'une erreur dans la configuration de la règle ou de l'analyse.
Si les recommandations ci-dessus ne permettent pas de résoudre le problème, assurez-vous que le compte d'action du service de contrôle d’intégrité dispose des autorisations appropriées sur l'ordinateur cible pour la lecture de ce journal d'événements.
Home
FRA