ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Event Viewer displaying security audit logs with Event ID 4634 logoff events on a SOC monitoring dashboard
Event ID 4634InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4634 – Microsoft-Windows-Security-Auditing : Un compte a été déconnecté

L'ID d'événement 4634 enregistre lorsqu'un compte utilisateur se déconnecte d'un système Windows. Cet événement d'audit de sécurité suit les activités de déconnexion à des fins de conformité et de surveillance de la sécurité.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 4634Microsoft-Windows-Security-Auditing 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 4634 représente un composant fondamental de l'infrastructure d'audit de sécurité de Windows. Lorsqu'une session utilisateur se termine, le sous-système d'audit de sécurité de Windows génère cet événement pour maintenir des pistes d'audit complètes des activités des utilisateurs. L'événement capture le moment où les jetons d'authentification sont invalidés et les sessions utilisateur sont formellement fermées.

La structure de l'événement comprend plusieurs champs clés : l'ID de sécurité du sujet identifie le compte qui se déconnecte, le type de connexion indique comment l'utilisateur s'est initialement authentifié (interactif, réseau, service, etc.), et l'ID de connexion fournit un identifiant de session unique qui correspond à l'événement de connexion 4624 correspondant. Cette capacité de corrélation rend les événements 4634 inestimables pour l'analyse de la durée des sessions et les enquêtes de sécurité.

Dans les environnements d'entreprise, les événements 4634 génèrent un volume de journaux significatif, en particulier sur les serveurs terminaux et les contrôleurs de domaine. L'événement se déclenche pour les déconnexions réussies et forcées, y compris celles déclenchées par les paramètres de stratégie de groupe, les actions administratives ou les arrêts du système. Les versions modernes de Windows en 2026 ont amélioré l'événement avec des champs de contexte supplémentaires pour les scénarios intégrés au cloud et les environnements d'identité hybrides.

Les équipes de sécurité utilisent les événements 4634 pour détecter des modèles de déconnexion anormaux, tels que des sessions inhabituellement courtes qui pourraient indiquer des attaques automatisées ou des comptes compromis. L'événement prend également en charge les exigences de conformité pour le suivi de la durée d'accès des utilisateurs et le maintien de journaux d'audit détaillés à des fins réglementaires.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • L'utilisateur se déconnecte explicitement via le menu Démarrer ou Ctrl+Alt+Suppr
  • Déconnexion ou terminaison de session Bureau à distance
  • Arrêt ou redémarrage du système initié par l'utilisateur ou l'administrateur
  • Délai d'expiration de session en raison des politiques d'inactivité
  • Déconnexion forcée par l'administrateur à l'aide d'outils comme logoff.exe ou PowerShell
  • Limites de session ou restrictions d'heures de connexion imposées par la stratégie de groupe
  • Déconnexion du compte de service après l'exécution de tâches planifiées
  • Expiration de la session d'authentification réseau
  • Application de la limite de session des services Terminal Server
  • Crash du système ou arrêt inattendu
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails spécifiques de l'événement 4634 pour comprendre le contexte de la déconnexion :

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez pour l'ID d'événement 4634 en cliquant avec le bouton droit sur le journal Sécurité et en sélectionnant Filtrer le journal actuel
  4. Entrez 4634 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur un événement 4634 pour voir les détails, y compris :
    • ID de sécurité du sujet : Le compte qui s'est déconnecté
    • Type de connexion : Comment l'utilisateur s'est initialement authentifié
    • ID de connexion : Identifiant de session unique pour la corrélation
  6. Notez l'horodatage et comparez-le avec les événements de connexion 4624 correspondants pour déterminer la durée de la session
Astuce pro : Utilisez l'ID de connexion pour corréler les événements de déconnexion 4634 avec leurs événements de connexion 4624 correspondants pour une analyse complète de la session.
02

Interroger les événements avec PowerShell

Utilisez PowerShell pour interroger et analyser efficacement les événements 4634 sur plusieurs systèmes :

  1. Ouvrez PowerShell en tant qu'administrateur
  2. Interrogez les événements de déconnexion récents :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4634} -MaxEvents 50 | Select-Object TimeCreated, Id, @{Name='User';Expression={$_.Properties[1].Value}}, @{Name='LogonType';Expression={$_.Properties[4].Value}}
  3. Filtrez les événements pour des utilisateurs spécifiques :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4634} | Where-Object {$_.Properties[1].Value -like '*username*'} | Format-Table TimeCreated, @{Name='User';Expression={$_.Properties[1].Value}} -AutoSize
  4. Analysez les schémas de déconnexion au fil du temps :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4634; StartTime=(Get-Date).AddDays(-7)} | Group-Object @{Expression={$_.TimeCreated.Date}} | Select-Object Name, Count | Sort-Object Name
  5. Exportez les résultats pour une analyse plus approfondie :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4634} -MaxEvents 1000 | Export-Csv -Path "C:\Logs\Logoff_Events.csv" -NoTypeInformation
Astuce pro : Combinez les requêtes 4634 avec les événements 4624 en utilisant le champ Logon ID pour calculer les durées de session exactes.
03

Configurer les politiques d'audit avancées

Assurez-vous de configurer correctement la politique d'audit pour capturer des événements de déconnexion complets :

  1. Ouvrez Group Policy Management Console ou Local Group Policy Editor (gpedit.msc)
  2. Accédez à Computer ConfigurationWindows SettingsSecurity SettingsAdvanced Audit Policy Configuration
  3. Développez Audit PoliciesLogon/Logoff
  4. Configurez la politique Audit Logoff :
    • Cliquez avec le bouton droit et sélectionnez Properties
    • Cochez Configure the following audit events
    • Activez Success pour capturer les déconnexions normales
    • Activez Failure si vous enquêtez sur des déconnexions forcées
  5. Vérifiez les paramètres d'audit actuels via la ligne de commande :
    auditpol /get /subcategory:"Logoff"
  6. Appliquez les paramètres et forcez la mise à jour de la stratégie de groupe :
    gpupdate /force
  7. Testez la configuration en vous déconnectant et en vérifiant les nouveaux événements 4634
Warning: Activer des politiques d'audit complètes augmente considérablement le volume des journaux. Assurez-vous d'avoir des politiques de stockage et de rétention des journaux adéquates.
04

Corréler avec les données de performance du système

Enquêter sur les modèles de déconnexion inhabituels en corrélant les événements 4634 avec les métriques de performance système :

  1. Ouvrir Performance Monitor (perfmon.msc) pour vérifier l'utilisation des ressources système pendant les heures de déconnexion
  2. Créer un ensemble de collecteurs de données personnalisé :
    • Cliquez avec le bouton droit sur User DefinedNewData Collector Set
    • Ajouter des compteurs pour l'utilisation de la mémoire, du processeur et du réseau
    • Définir l'intervalle de collecte à 1 seconde pour une analyse détaillée
  3. Interroger les événements 4634 avec le contexte système :
    $LogoffEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4634; StartTime=(Get-Date).AddHours(-1)}
foreach ($Event in $LogoffEvents) {
    $SystemLog = Get-WinEvent -FilterHashtable @{LogName='System'; StartTime=$Event.TimeCreated.AddMinutes(-2); EndTime=$Event.TimeCreated.AddMinutes(2)}
    Write-Output "Déconnexion à $($Event.TimeCreated): $($SystemLog.Count) événements système à proximité"
}
  4. Vérifier les événements système liés autour des heures de déconnexion :
    Get-WinEvent -FilterHashtable @{LogName='System'; Id=1074,6005,6006,6008} | Where-Object {$_.TimeCreated -gt (Get-Date).AddDays(-1)} | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap
  5. Analyser les événements des services Terminal pour les déconnexions RDP :
    Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-TerminalServices-LocalSessionManager/Operational'; Id=21,23,24,25} -MaxEvents 100
05

Mettre en œuvre la surveillance et l'alerte automatisées

Configurez la surveillance automatisée pour les modèles de déconnexion suspects en utilisant Windows Event Forwarding et PowerShell :

  1. Configurez Windows Event Forwarding sur le serveur collecteur :
    wecutil qc /q
winrm quickconfig -q
  2. Créez un abonnement d'événements personnalisé pour les événements 4634 :
    <Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
  <SubscriptionId>Logoff-Monitoring</SubscriptionId>
  <Query>
    <Select Path="Security">*[System[EventID=4634]]</Select>
  </Query>
</Subscription>
  3. Déployez le script de surveillance PowerShell :
    Register-WmiEvent -Query "SELECT * FROM __InstanceCreationEvent WITHIN 10 WHERE TargetInstance ISA 'Win32_NTLogEvent' AND TargetInstance.EventCode = 4634" -Action {
    $Event = $Event.SourceEventArgs.NewEvent.TargetInstance
    if ($Event.User -match 'Administrator|Domain Admin') {
        Send-MailMessage -To 'security@company.com' -Subject 'Admin Logoff Alert' -Body "Admin logoff detected: $($Event.User) at $($Event.TimeGenerated)"
    }
}
  4. Configurez les paramètres du registre pour une journalisation améliorée :
    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name "AuditBaseObjects" -Value 1
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name "FullPrivilegeAuditing" -Value 1
  5. Créez une tâche planifiée pour l'analyse quotidienne des déconnexions :
    $Action = New-ScheduledTaskAction -Execute 'PowerShell.exe' -Argument '-File C:\Scripts\LogoffAnalysis.ps1'
$Trigger = New-ScheduledTaskTrigger -Daily -At '06:00AM'
Register-ScheduledTask -TaskName 'Daily Logoff Analysis' -Action $Action -Trigger $Trigger
Astuce pro : Utilisez l'intégration SIEM pour corréler les événements 4634 avec d'autres événements de sécurité pour une détection complète des menaces.

Aperçu

L'ID d'événement 4634 se déclenche chaque fois qu'un compte utilisateur se déconnecte d'un système Windows, que ce soit par déconnexion explicite, expiration de session ou arrêt du système. Cet événement d'audit de sécurité apparaît dans le journal de sécurité et sert de contrepartie à l'ID d'événement 4624 (connexion réussie). L'événement capture des détails critiques, y compris le compte utilisateur, le type de connexion et la durée de la session.

Cet événement est essentiel pour la surveillance de la sécurité, l'audit de conformité et le suivi de l'activité des utilisateurs. Les administrateurs système s'appuient sur les événements 4634 pour comprendre les schémas de session utilisateur, enquêter sur les incidents de sécurité et maintenir des pistes d'audit. L'événement se déclenche pour tous les types de connexion, y compris les sessions interactives, réseau, service et bureau à distance.

Windows génère cet événement automatiquement lorsque la politique d'audit pour "Audit des événements de connexion" est activée. L'événement fournit une valeur médico-légale en corrélant avec les événements de connexion pour établir des chronologies complètes des sessions utilisateur. Comprendre les schémas 4634 aide à identifier les comportements de déconnexion inhabituels, les déconnexions forcées et les problèmes de sécurité potentiels.

Questions Fréquentes

Que signifie l'ID d'événement 4634 et quand se produit-il ?+
L'ID d'événement 4634 indique qu'un compte utilisateur a été déconnecté d'un système Windows. Cet événement d'audit de sécurité se produit chaque fois qu'une session utilisateur se termine, que ce soit par déconnexion explicite, expiration de session, arrêt du système ou action administrative. L'événement est généré par la source Microsoft-Windows-Security-Auditing et apparaît dans le journal de sécurité. Il sert de contrepartie à l'ID d'événement 4624 (connexion réussie) et est essentiel pour suivre les cycles de vie des sessions utilisateur, la surveillance de la sécurité et l'audit de conformité.
Comment puis-je corréler l'ID d'événement 4634 avec l'événement de connexion correspondant ?+
Utilisez le champ Logon ID présent dans les événements Event ID 4634 (logoff) et Event ID 4624 (logon) pour les corréler. Le Logon ID est une valeur hexadécimale unique qui reste constante tout au long d'une session utilisateur. Vous pouvez interroger les deux événements en utilisant PowerShell : Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624,4634} | Where-Object {$_.Properties[7].Value -eq '0x12345'} (remplacez par le Logon ID réel). Cette corrélation vous permet de calculer la durée de la session et d'analyser les modèles d'activité des utilisateurs.
Pourquoi est-ce que je vois plusieurs entrées d'ID d'événement 4634 pour le même utilisateur ?+
Plusieurs événements 4634 pour le même utilisateur peuvent se produire pour plusieurs raisons : l'utilisateur a plusieurs sessions simultanées (RDP, console, authentification réseau), différents types de connexion sont suivis séparément (interactif vs. réseau), les comptes de service se déconnectent après avoir terminé des tâches, ou l'utilisateur accède à plusieurs ressources réseau nécessitant des sessions d'authentification distinctes. Chaque type de session et contexte d'authentification génère son propre événement de déconnexion. Vérifiez le champ Type de connexion dans les détails de l'événement pour distinguer les différents types de sessions.
Comment puis-je réduire le volume des journaux d'ID d'événement 4634 sans perdre la visibilité de sécurité ?+
Pour gérer le volume de journaux 4634 tout en maintenant une surveillance de sécurité : configurez les politiques d'audit pour se concentrer uniquement sur les comptes critiques en utilisant la Configuration avancée des politiques d'audit, implémentez le filtrage des journaux au niveau de la collecte pour exclure les comptes de service ou les types de connexion spécifiques, utilisez le Transfert d'événements Windows pour centraliser les journaux et appliquer un filtrage côté serveur, configurez les politiques de rétention des journaux pour archiver automatiquement les événements plus anciens, et envisagez d'utiliser des solutions SIEM qui peuvent agréger et analyser les événements efficacement. Vous pouvez également exclure des utilisateurs spécifiques ou des types de connexion en utilisant les paramètres d'audit de la stratégie de groupe ou les règles de filtrage PowerShell.
Que devrais-je examiner si l'ID d'événement 4634 montre des motifs ou des horaires inhabituels ?+
Enquêter sur les motifs inhabituels de 4634 en examinant : la durée de session (des sessions très courtes pourraient indiquer des attaques automatisées), le moment de la déconnexion (activité en dehors des heures de travail ou déconnexions rapides successives), la corrélation avec les événements système (crashs, arrêts forcés), les changements de comportement de l'utilisateur (types de connexion ou emplacements différents), et les événements 4624 correspondants pour comprendre le cycle de vie complet de la session. Vérifiez les événements connexes comme 4647 (déconnexion initiée par l'utilisateur), 4800/4801 (verrouillage/déverrouillage de la station de travail), et les événements système 1074 (arrêt initié). Utilisez PowerShell pour analyser les motifs au fil du temps et comparer avec le comportement de base de l'utilisateur pour identifier les incidents de sécurité potentiels.
Documentation

Références (2)

1
Microsoft Security Auditing Events ReferenceComprehensive guide to Windows security auditing events including Event ID 4634 and related logon/logoff eventshttps://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Advanced Security Audit Policy SettingsOfficial documentation for configuring advanced audit policies to control security event generationhttps://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#security-auditing#event-id-4634#user-logoff

Événements Windows associés

Windows Security Event Viewer displaying authentication events on a SOC monitoring dashboard
Event 4648
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 4648 – Microsoft-Windows-Security-Auditing : Tentative de connexion avec des identifiants explicites

L'ID d'événement 4648 se déclenche lorsqu'un utilisateur ou un processus tente une authentification en utilisant des informations d'identification explicites différentes de leur session de connexion actuelle, généralement observée avec RunAs, l'authentification réseau ou les opérations de compte de service.

18 mars12 min
Windows Security Event Viewer displaying Event ID 4647 user logoff events on a security monitoring dashboard
Event 4647
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 4647 – Microsoft-Windows-Security-Auditing : Déconnexion initiée par l'utilisateur

L'ID d'événement 4647 enregistre lorsqu'un utilisateur initie une déconnexion d'une session Windows. Cet événement d'audit de sécurité suit les déconnexions initiées par l'utilisateur à des fins de conformité et de surveillance de la sécurité.

18 mars9 min
Windows Event Viewer Security log displaying Event ID 4723 password change audit entries on a cybersecurity monitoring dashboard
Event 4723
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 4723 – Microsoft-Windows-Security-Auditing : Tentative de changement de mot de passe du compte utilisateur

L'ID d'événement 4723 enregistre lorsqu'un utilisateur tente de changer le mot de passe d'un autre utilisateur. Cet événement d'audit de sécurité suit les opérations de réinitialisation de mot de passe administratives et aide à surveiller les modifications non autorisées de mots de passe dans les domaines Windows.

17 mars12 min
Security analyst monitoring Windows Event ID 4625 failed logon events in a cybersecurity operations center
Event 4625
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 4625 – Microsoft-Windows-Security-Auditing : Échec de la connexion d'un compte

L'ID d'événement 4625 enregistre les tentatives de connexion échouées dans les journaux de sécurité Windows. Critique pour détecter les attaques par force brute, les problèmes d'identification et les tentatives d'accès non autorisées sur les comptes de domaine et locaux.

17 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...