ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Event Viewer displaying security logs on a professional monitoring workstation in a security operations center
Event ID 1102InformationMicrosoft-Windows-EventlogWindows

ID d'événement Windows 1102 – Microsoft-Windows-Eventlog : Journal de sécurité effacé

L'ID d'événement 1102 indique que le journal de sécurité Windows a été effacé manuellement par un administrateur ou un processus système, déclenchant une documentation immédiate de la piste d'audit.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 20269 min de lecture 0
Event ID 1102Microsoft-Windows-Eventlog 5 méthodes 9 min
Référence événement

Signification de cet événement

L'ID d'événement 1102 représente un événement d'audit de sécurité fondamental que Windows génère chaque fois que le journal des événements de sécurité subit un effacement manuel ou automatisé. Cet événement sert de registre immuable des activités de maintenance des journaux et des incidents de sécurité potentiels. L'événement contient des informations médico-légales critiques, y compris l'ID de sécurité (SID) du compte qui a effectué l'action, l'ID de connexion associé à la session et des données de timestamp précises.

La structure de l'événement comprend plusieurs champs clés : l'identifiant de sécurité du sujet, le nom du compte, le domaine du compte et l'ID de connexion. Ces champs permettent aux analystes de sécurité de retracer l'action d'effacement du journal jusqu'à des sessions utilisateur spécifiques et de déterminer si l'action était autorisée. Windows génère cet événement en utilisant le sous-système de l'Autorité de sécurité locale (LSA), garantissant qu'il est écrit dans le journal de sécurité avant le début de toute opération d'effacement.

Dans les environnements d'entreprise, l'ID d'événement 1102 déclenche souvent des réponses de sécurité automatisées via des systèmes SIEM et des outils de surveillance de la sécurité. La présence de l'événement indique un changement significatif dans la piste d'audit, nécessitant une attention immédiate des équipes de sécurité. Les organisations configurent généralement des alertes pour cet événement car l'effacement non autorisé des journaux représente une technique courante utilisée par les attaquants pour éliminer les preuves de leurs activités.

Windows Server 2025 et Windows 11 24H2 ont introduit des champs de contexte supplémentaires dans l'ID d'événement 1102, y compris des informations sur le processus et des détails en ligne de commande lorsque l'effacement se produit via PowerShell ou d'autres outils administratifs. Cette journalisation améliorée fournit aux équipes de sécurité des données médico-légales plus complètes pour les activités de réponse aux incidents.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Effacement manuel du journal de sécurité via l'Observateur d'événements par les administrateurs
  • Commandes PowerShell utilisant les utilitaires Clear-EventLog ou wevtutil
  • Rotation automatique des journaux lorsque le journal de sécurité atteint les limites de taille maximale
  • Effacement des journaux piloté par les stratégies de groupe basé sur les politiques de rétention organisationnelles
  • Outils de sécurité tiers effectuant une maintenance automatisée des journaux
  • Opérations de restauration du système affectant les fichiers de journaux d'événements
  • Acteurs malveillants tentant d'éliminer les traces d'audit après un accès non autorisé
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Ouvrez Observateur d'événements et naviguez pour examiner les détails de l'ID d'événement 1102 :

  1. Appuyez sur Windows + R, tapez eventvwr.msc, et appuyez sur Entrée
  2. Naviguez vers Journaux WindowsSécurité
  3. Filtrez le journal pour l'ID d'événement 1102 : Clic droit sur SécuritéFiltrer le journal actuel
  4. Entrez 1102 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur l'entrée de l'ID d'événement 1102 pour voir les informations détaillées
  6. Examinez l'onglet Général pour le compte utilisateur, l'horodatage et les détails de la session
  7. Vérifiez l'onglet Détails pour les données XML brutes incluant SID et informations de connexion
Astuce pro : Les champs Sujet montrent exactement quel compte a effacé les journaux, tandis que l'ID de connexion aide à corréler avec d'autres événements de sécurité de la même session.
02

Interroger l'ID d'événement 1102 avec PowerShell

Utilisez PowerShell pour récupérer et analyser les occurrences de l'ID d'événement 1102 :

# Obtenez toutes les entrées de l'ID d'événement 1102 à partir du journal de sécurité
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=1102} -MaxEvents 50

# Obtenez des informations détaillées avec une sortie formatée
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=1102} | 
    Select-Object TimeCreated, Id, LevelDisplayName, Message | 
    Format-Table -AutoSize

# Extraire les informations utilisateur de l'ID d'événement 1102
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=1102} | 
    ForEach-Object {
        $xml = [xml]$_.ToXml()
        [PSCustomObject]@{
            TimeCreated = $_.TimeCreated
            UserSID = $xml.Event.EventData.Data[0].'#text'
            AccountName = $xml.Event.EventData.Data[1].'#text'
            AccountDomain = $xml.Event.EventData.Data[2].'#text'
            LogonID = $xml.Event.EventData.Data[3].'#text'
        }
    }

Cette approche PowerShell offre un accès programmatique aux données de l'ID d'événement 1102 pour une surveillance et un reporting automatisés.

03

Corréler avec les événements de connexion pour un contexte complet

Enquêtez sur le contexte complet de la session en corrélant l'ID d'événement 1102 avec les événements de connexion associés :

# Tout d'abord, obtenez l'ID de connexion à partir de l'ID d'événement 1102
$logClearEvent = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=1102} -MaxEvents 1
$xml = [xml]$logClearEvent.ToXml()
$logonID = $xml.Event.EventData.Data[3].'#text'

# Trouvez les événements de connexion correspondants (4624) avec le même ID de connexion
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624} | 
    Where-Object {
        $eventXml = [xml]$_.ToXml()
        $eventXml.Event.EventData.Data | 
            Where-Object {$_.Name -eq 'TargetLogonId' -and $_.'#text' -eq $logonID}
    } | Select-Object TimeCreated, Message

# Vérifiez toute activité suspecte dans la même période
$timeRange = $logClearEvent.TimeCreated.AddHours(-2)
Get-WinEvent -FilterHashtable @{
    LogName='Security'
    StartTime=$timeRange
    EndTime=$logClearEvent.TimeCreated
    Id=4625,4648,4672
} | Format-Table TimeCreated, Id, Message -AutoSize
Avertissement : Enquêtez toujours sur l'ID d'événement 1102 dans le contexte des événements de sécurité environnants pour déterminer si l'effacement du journal était autorisé ou potentiellement malveillant.
04

Configurer l'audit avancé et les alertes

Configurez une surveillance complète pour l'ID d'événement 1102 afin de détecter les occurrences futures :

  1. Activez l'audit de sécurité avancé via la stratégie de groupe :
    • Ouvrez gpedit.msc (Éditeur de stratégie de groupe locale)
    • Accédez à Configuration de l'ordinateurParamètres WindowsParamètres de sécuritéConfiguration de la stratégie d'audit avancée
    • Développez Stratégies d'audit systèmeChangement de stratégie
    • Double-cliquez sur Changement de stratégie d'audit et activez Succès et Échec
  2. Créez une tâche planifiée pour surveiller l'ID d'événement 1102 :
    # Créer un XML pour le déclencheur de tâche planifiée
$taskXML = @'


  
    
      <QueryList><Query Id="0" Path="Security"><Select Path="Security">*[System[EventID=1102]]</Select></Query></QueryList>
    
  
  
    
      powershell.exe
      -Command "Send-MailMessage -To 'admin@company.com' -From 'security@company.com' -Subject 'ALERT: Security Log Cleared' -Body 'Event ID 1102 detected on $(hostname)' -SmtpServer 'mail.company.com'"
    
  

'@

# Enregistrer la tâche planifiée
Register-ScheduledTask -TaskName "SecurityLogClearAlert" -Xml $taskXML
05

Analyse Forensique et Récupération de Sauvegarde de Journal

Effectuez une analyse médico-légale avancée lorsque l'ID d'événement 1102 indique des incidents de sécurité potentiels :

  1. Vérifiez les journaux d'événements sauvegardés avant que l'effacement ne se produise :
    # Recherchez les fichiers de journaux d'événements archivés
Get-ChildItem -Path "C:\Windows\System32\winevt\Logs\" -Filter "Archive-Security-*.evtx" | 
    Sort-Object LastWriteTime -Descending

# Si des journaux de sauvegarde existent, analysez-les
$backupLog = "C:\Windows\System32\winevt\Logs\Archive-Security-2026-03-17-12-00-00-000.evtx"
if (Test-Path $backupLog) {
    Get-WinEvent -Path $backupLog -FilterHashtable @{Id=4624,4625,4648,4672} | 
        Where-Object {$_.TimeCreated -gt (Get-Date).AddDays(-1)} | 
        Format-Table TimeCreated, Id, Message -AutoSize
}
  2. Examinez les paramètres du registre du journal de sécurité Windows :
    # Vérifiez la configuration du journal de sécurité
Get-ItemProperty -Path "HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Security" | 
    Select-Object MaxSize, Retention, AutoBackupLogFiles

# Vérifiez les autorisations du fichier journal
Get-Acl "C:\Windows\System32\winevt\Logs\Security.evtx" | Format-List
  3. Examinez l'intégrité des fichiers système et les modifications récentes :
    # Vérifiez les modifications récentes du système
Get-WinEvent -FilterHashtable @{LogName='System'; Id=7034,7035,7036} | 
    Where-Object {$_.TimeCreated -gt (Get-Date).AddHours(-4)} | 
    Format-Table TimeCreated, Id, Message -AutoSize

# Vérifiez les fichiers système critiques
sfc /verifyonly
Astuce pro : Conservez toujours l'entrée de l'ID d'événement 1102 en l'exportant immédiatement, car elle peut être la seule preuve restante de l'activité d'effacement du journal.

Aperçu

L'ID d'événement 1102 se déclenche chaque fois que le journal des événements de sécurité de Windows est effacé, soit manuellement via l'Observateur d'événements, soit par programmation via des commandes PowerShell. Cet événement sert de marqueur d'audit critique qui documente le moment où les journaux de sécurité sont purgés du système. L'événement capture le compte utilisateur responsable de l'action, l'horodatage et la méthode utilisée pour effacer les journaux.

Cet événement apparaît dans le journal de sécurité lui-même et représente l'un des marqueurs médico-légaux les plus importants dans la journalisation Windows. Les équipes de sécurité surveillent cet événement de près car l'effacement des journaux de sécurité peut indiquer des activités de maintenance légitimes ou des tentatives potentiellement malveillantes de dissimuler des traces après un accès non autorisé. L'événement est généré automatiquement avant que l'opération d'effacement du journal ne soit terminée, garantissant que l'action est documentée même lorsque tous les autres événements de sécurité sont supprimés.

Les systèmes Windows modernes en 2026 incluent des métadonnées améliorées dans l'ID d'événement 1102, fournissant des détails plus granulaires sur le processus d'effacement, y compris l'application ou le service qui a initié l'action et les paramètres de stratégie de groupe associés qui ont pu déclencher la rotation automatique des journaux.

Questions Fréquentes

Que signifie l'ID d'événement 1102 et pourquoi est-il important ?+
L'ID d'événement 1102 indique que le journal des événements de sécurité Windows a été effacé, soit manuellement, soit par des processus automatisés. Cet événement est d'une importance cruciale car il représente un changement significatif dans la piste d'audit. Les équipes de sécurité surveillent cet événement de près car l'effacement des journaux de sécurité peut indiquer des activités de maintenance légitimes ou des tentatives potentiellement malveillantes de dissimuler des traces après un accès non autorisé au système. L'événement capture des informations médico-légales essentielles, y compris le compte utilisateur responsable, l'horodatage et les détails de la session.
Comment puis-je déterminer qui a effacé le journal de sécurité lorsque l'ID d'événement 1102 apparaît ?+
L'ID d'événement 1102 contient des informations détaillées sur qui a effacé le journal. Dans l'Observateur d'événements, examinez les détails de l'événement pour trouver la section Sujet, qui montre l'ID de sécurité (SID), le nom du compte, le domaine du compte et l'ID de connexion de l'utilisateur qui a effectué l'action. Vous pouvez également utiliser PowerShell pour extraire ces informations de manière programmatique en analysant les données XML de l'événement. Le champ ID de connexion vous permet de faire le lien avec d'autres événements de sécurité de la même session utilisateur pour construire une chronologie complète des activités.
L'ID d'événement 1102 est-il toujours un signe d'activité malveillante ?+
Non, l'ID d'événement 1102 n'est pas toujours malveillant. Les raisons légitimes pour effacer les journaux de sécurité incluent la maintenance de routine par les administrateurs système, la rotation automatique des journaux lorsque les journaux atteignent les limites de taille, les politiques de rétention pilotées par la stratégie de groupe et les tâches de maintenance programmées. Cependant, l'événement doit toujours être examiné dans son contexte. Recherchez des schémas tels que l'effacement des journaux immédiatement après des activités suspectes, l'effacement par des comptes non autorisés ou l'effacement en dehors des fenêtres de maintenance normales. La clé est de comprendre les pratiques normales de gestion des journaux de votre organisation.
Puis-je empêcher le journal de sécurité d'être effacé pour éviter l'ID d'événement 1102 ?+
Bien que vous ne puissiez pas empêcher complètement les administrateurs autorisés de vider le journal de sécurité, vous pouvez mettre en œuvre plusieurs mesures de protection. Configurez la stratégie de groupe pour restreindre les autorisations de vidage de journal à des comptes administratifs spécifiques uniquement. Mettez en place une surveillance en temps réel et des alertes pour les occurrences de l'ID d'événement 1102. Activez le transfert de journaux vers un système SIEM central pour conserver des copies des événements de sécurité. Configurez l'archivage automatique des journaux avant que le vidage ne se produise. De plus, implémentez soigneusement le droit utilisateur 'Gérer l'audit et le journal de sécurité', en le limitant uniquement aux comptes administratifs essentiels.
Comment devrais-je réagir lorsque je découvre un ID d'événement 1102 inattendu dans mon environnement ?+
Lorsque vous découvrez un ID d'événement 1102 inattendu, commencez immédiatement les procédures de réponse aux incidents. Tout d'abord, préservez l'entrée de l'ID d'événement 1102 en l'exportant pour éviter toute perte. Identifiez le compte utilisateur et la session qui ont effacé les journaux en utilisant les détails de l'événement. Corrélez le moment avec d'autres événements de sécurité pour comprendre quelles activités ont eu lieu avant l'effacement du journal. Vérifiez s'il existe des journaux sauvegardés ou archivés qui pourraient contenir des preuves d'activités suspectes. Examinez les événements de connexion récents, les escalades de privilèges et les changements système. Si l'effacement semble non autorisé, traitez-le comme un incident de sécurité potentiel et engagez votre équipe de réponse aux incidents tout en préservant toute preuve médico-légale restante.
Documentation

Références (2)

1
Microsoft Security Auditing Events ReferenceComprehensive guide to Windows security auditing events including Event ID 1102 and related security log managementhttps://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Windows Event Log Management Best PracticesOfficial documentation for Windows event log utilities and management commands including wevtutil for log clearing operationshttps://learn.microsoft.com/en-us/windows-server/administration/windows-commands/wevtutil
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#event-id-1102#security-logs#audit-trail

Événements Windows associés

Windows Event Viewer showing system event logs with error events on a monitoring dashboard
Event 4108
Microsoft-Windows-Eventlog
Windows EventError

ID d'événement Windows 4108 – Microsoft-Windows-Eventlog : Le service du journal des événements a rencontré une erreur

L'ID d'événement 4108 indique que le service de journal des événements Windows a rencontré une erreur lors du traitement des journaux d'événements, souvent liée à la corruption des fichiers journaux, à des problèmes d'espace disque ou à des problèmes de configuration du service.

18 mars9 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...