ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Event Viewer showing system event logs on a monitoring dashboard
Event ID 5617InformationWinlogonWindows

ID d'événement Windows 5617 – Winlogon : Session de connexion utilisateur détruite

L'ID d'événement 5617 indique qu'une session de connexion utilisateur a été détruite par le service Windows Logon, se produisant généralement lors des processus normaux de déconnexion ou de terminaison de session utilisateur.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 5617Winlogon 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 5617 représente la dernière étape du nettoyage de session utilisateur dans l'architecture de connexion de Windows. Lorsqu'une session utilisateur se termine par n'importe quel mécanisme—déconnexion volontaire, terminaison administrative, arrêt du système ou crash d'application—Winlogon génère cet événement pour documenter le processus de destruction de la session. L'événement sert de piste d'audit pour la gestion des sessions et aide les administrateurs à comprendre quand et pourquoi les sessions utilisateur se terminent.

L'événement inclut généralement l'ID de session, l'identifiant de sécurité utilisateur (SID), le type de connexion et la raison de la terminaison. Les ID de session se corrèlent avec d'autres événements Windows pour fournir des chronologies complètes des sessions. Par exemple, une session qui commence avec l'ID d'événement 4624 (connexion réussie) générera finalement l'ID d'événement 5617 lorsqu'elle sera détruite. Cette corrélation s'avère inestimable pour l'analyse judiciaire et la surveillance du comportement des utilisateurs.

Dans les environnements Windows modernes, l'ID d'événement 5617 a gagné en importance en raison de l'augmentation des scénarios de travail à distance et des déploiements hybrides cloud. Les mises à jour Windows 2026 ont introduit un suivi de session amélioré pour Azure Virtual Desktop, Windows 365 et les sessions RDP traditionnelles. L'événement inclut désormais un contexte supplémentaire sur les types de session, les méthodes de connexion et les jetons d'authentification cloud lorsque cela est applicable.

Les administrateurs système utilisent cet événement pour identifier les problèmes de gestion des sessions, suivre les schémas de productivité des utilisateurs et enquêter sur les incidents de sécurité impliquant un accès non autorisé aux sessions. La nature informative de l'événement signifie qu'il n'indique pas de problèmes en soi, mais des schémas inhabituels ou des terminaisons de session inattendues justifient une enquête.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Déconnexion d'utilisateur normal via le menu Démarrer ou Ctrl+Alt+Suppr
  • Procédures d'arrêt ou de redémarrage du système
  • Déconnexion ou terminaison de session Remote Desktop Protocol (RDP)
  • Terminaison de session administrative à l'aide du Gestionnaire des tâches ou d'outils en ligne de commande
  • Plantages d'applications provoquant un nettoyage de session
  • Délai d'expiration de session imposé par la stratégie de groupe
  • Installations de Windows Update nécessitant la terminaison de session
  • Opérations de changement rapide d'utilisateur
  • Limites de session des services Terminal atteintes
  • Événements de gestion de l'alimentation déclenchant un nettoyage de session
  • Fin de session Azure Virtual Desktop ou Windows 365
  • Violations de la politique de sécurité forçant la terminaison de session
Méthodes de résolution

Étapes de dépannage

01

Analyser les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails spécifiques de l'ID d'événement 5617 pour comprendre le contexte de la terminaison de la session.

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSystème
  3. Filtrez pour l'ID d'événement 5617 en cliquant avec le bouton droit sur le journal Système et en sélectionnant Filtrer le journal actuel
  4. Entrez 5617 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur les entrées récentes de l'ID d'événement 5617 pour examiner les détails, y compris :
    • ID de session pour la corrélation avec d'autres événements
    • SID utilisateur et informations de compte
    • Type de connexion (Interactive, Réseau, Service, etc.)
    • Raison de la terminaison et horodatage
  6. Notez la fréquence et les modèles de synchronisation de ces événements
  7. Recoupez les ID de session avec les entrées de l'ID d'événement 4624 (connexion) pour construire des chronologies complètes de session
Astuce pro : Utilisez l'onglet Détails dans l'Observateur d'événements pour accéder aux données XML contenant des métadonnées de session supplémentaires non visibles dans l'onglet Général.
02

Analyse et corrélation de session PowerShell

Utilisez PowerShell pour analyser les modèles d'ID d'événement 5617 et les corréler avec les événements de connexion associés pour un suivi de session complet.

  1. Ouvrez PowerShell en tant qu'administrateur
  2. Interrogez les entrées récentes de l'ID d'événement 5617 :
    Get-WinEvent -FilterHashtable @{LogName='System'; Id=5617} -MaxEvents 50 | Select-Object TimeCreated, Id, LevelDisplayName, Message | Format-Table -AutoSize
  3. Analysez la corrélation de session en extrayant les ID de session :
    $sessions = Get-WinEvent -FilterHashtable @{LogName='System'; Id=5617} -MaxEvents 20
$sessions | ForEach-Object {
    $xml = [xml]$_.ToXml()
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        SessionId = $xml.Event.EventData.Data[0].'#text'
        UserSid = $xml.Event.EventData.Data[1].'#text'
        LogonType = $xml.Event.EventData.Data[2].'#text'
    }
} | Format-Table -AutoSize
  4. Recoupez avec les événements de connexion pour le cycle de vie complet de la session :
    $logonEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624} -MaxEvents 50
$logoffEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4634} -MaxEvents 50
$sessionDestroyEvents = Get-WinEvent -FilterHashtable @{LogName='System'; Id=5617} -MaxEvents 50
  5. Exportez les données de session pour analyse :
    $sessions | Export-Csv -Path "C:\temp\session_analysis.csv" -NoTypeInformation
Avertissement : Les grands environnements peuvent générer des milliers d'événements de session quotidiennement. Utilisez des filtres de date pour limiter la portée de la requête et éviter un impact sur les performances.
03

Surveiller les modèles de terminaison de session

Implémentez une surveillance pour identifier les modèles de terminaison de session inhabituels qui pourraient indiquer des problèmes ou des préoccupations de sécurité.

  1. Créez un script PowerShell pour surveiller les modèles de session :
    # Surveiller la fréquence de terminaison des sessions
$startTime = (Get-Date).AddHours(-24)
$sessionEvents = Get-WinEvent -FilterHashtable @{
    LogName='System'
    Id=5617
    StartTime=$startTime
}

# Regrouper par heure pour identifier les modèles
$sessionEvents | Group-Object {$_.TimeCreated.Hour} | Sort-Object Name | Select-Object Name, Count
  2. Vérifiez les raisons anormales de terminaison de session :
    # Analyser les contextes de terminaison
$sessionEvents | ForEach-Object {
    $xml = [xml]$_.ToXml()
    [PSCustomObject]@{
        Time = $_.TimeCreated
        Reason = $xml.Event.EventData.Data[3].'#text'
        SessionType = $xml.Event.EventData.Data[2].'#text'
    }
} | Group-Object Reason | Sort-Object Count -Descending
  3. Mettez en place une surveillance automatisée à l'aide du Planificateur de tâches :
    • Ouvrez Planificateur de tâches et créez une nouvelle tâche
    • Définissez le déclencheur pour une exécution quotidienne
    • Configurez l'action pour exécuter le script PowerShell surveillant l'ID d'événement 5617
    • Activez les notifications par email pour les modèles inhabituels
  4. Examinez la configuration des services Terminal si les sessions RDP se terminent de manière inattendue :
    • Accédez à HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server
    • Vérifiez la valeur de fDenyTSConnections
    • Examinez les politiques de délai d'expiration de session dans la stratégie de groupe
04

Enquêter sur les terminaisons forcées de session

Lorsque l'ID d'événement 5617 apparaît fréquemment ou de manière inattendue, enquêtez sur les causes potentielles des terminaisons forcées de session.

  1. Vérifiez les terminaisons de session administratives dans les journaux d'événements :
    # Rechercher les événements de déconnexion administrative
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4647} -MaxEvents 20 | Select-Object TimeCreated, Message
  2. Examinez les événements d'arrêt/redémarrage du système qui forcent le nettoyage de session :
    # Vérifier les événements d'arrêt du système
Get-WinEvent -FilterHashtable @{LogName='System'; Id=1074,1076} -MaxEvents 10 | Select-Object TimeCreated, Id, Message
  3. Examinez les paramètres de stratégie de groupe affectant la gestion des sessions :
    • Ouvrez la Console de gestion des stratégies de groupe
    • Accédez à Configuration de l'ordinateurModèles d'administrationComposants WindowsServices Bureau à distance
    • Vérifiez les politiques de limite de temps de session
    • Examinez les paramètres Configuration utilisateurModèles d'administrationSystèmeOuverture/fermeture de session
  4. Enquêtez sur les plantages d'applications causant le nettoyage de session :
    # Vérifier les événements d'erreur d'application autour des heures de terminaison de session
Get-WinEvent -FilterHashtable @{LogName='Application'; Level=2} -MaxEvents 50 | Where-Object {$_.TimeCreated -gt (Get-Date).AddHours(-2)} | Select-Object TimeCreated, Id, ProviderName, LevelDisplayName
  5. Vérifiez la configuration des services Terminal Server :
    # Vérifier les limites de session RDP
Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" | Select-Object MaxInstanceCount, MaxConnectionTime
Astuce pro : Corrélez les horodatages de l'ID d'événement 5617 avec les plantages d'applications, les mises à jour système et les déconnexions réseau pour identifier les causes profondes des terminaisons de session inattendues.
05

Analyse avancée des sessions et des pistes d'audit

Effectuez une analyse médico-légale complète des sessions en utilisant l'ID d'événement 5617 en conjonction avec d'autres événements d'audit Windows pour les enquêtes de sécurité.

  1. Activez la journalisation d'audit complète pour le suivi des sessions:
    # Activer l'audit détaillé des connexions
auditpol /set /subcategory:"Logon" /success:enable /failure:enable
auditpol /set /subcategory:"Logoff" /success:enable
auditpol /set /subcategory:"Special Logon" /success:enable
  2. Créez une analyse chronologique complète des sessions:
    # Construire une chronologie complète des sessions
$timeRange = (Get-Date).AddDays(-7)
$allSessionEvents = @()

# Collecter les événements de connexion (4624)
$logons = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624; StartTime=$timeRange}
$allSessionEvents += $logons | Select-Object TimeCreated, Id, @{Name='EventType';Expression={'Logon'}}, Message

# Collecter les événements de déconnexion (4634)
$logoffs = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4634; StartTime=$timeRange}
$allSessionEvents += $logoffs | Select-Object TimeCreated, Id, @{Name='EventType';Expression={'Logoff'}}, Message

# Collecter les événements de destruction de session (5617)
$destructions = Get-WinEvent -FilterHashtable @{LogName='System'; Id=5617; StartTime=$timeRange}
$allSessionEvents += $destructions | Select-Object TimeCreated, Id, @{Name='EventType';Expression={'SessionDestroy'}}, Message

# Trier chronologiquement
$allSessionEvents | Sort-Object TimeCreated | Export-Csv -Path "C:\temp\complete_session_timeline.csv" -NoTypeInformation
  3. Analysez les modèles de durée des sessions:
    # Calculer les durées des sessions
$sessionPairs = @{}
foreach ($event in $allSessionEvents | Sort-Object TimeCreated) {
    if ($event.EventType -eq 'Logon') {
        # Extraire l'ID de session et stocker l'heure de connexion
        $sessionId = ([xml]$event.Message).Event.EventData.Data[3].'#text'
        $sessionPairs[$sessionId] = @{LogonTime = $event.TimeCreated}
    }
    elseif ($event.EventType -eq 'SessionDestroy') {
        # Calculer la durée
        $sessionId = ([xml]$event.Message).Event.EventData.Data[0].'#text'
        if ($sessionPairs[$sessionId]) {
            $duration = $event.TimeCreated - $sessionPairs[$sessionId].LogonTime
            Write-Output "Durée de la session $sessionId : $($duration.TotalMinutes) minutes"
        }
    }
}
  4. Vérifiez les terminaisons de session liées à la sécurité:
    # Rechercher des événements de sécurité autour de la destruction de session
$securityEvents = Get-WinEvent -FilterHashtable @{
    LogName='Security'
    Id=4625,4648,4672,4720,4726
    StartTime=(Get-Date).AddDays(-1)
} | Select-Object TimeCreated, Id, LevelDisplayName, Message
  5. Générez un rapport de sécurité des sessions:
    # Créer un rapport de sécurité des sessions complet
$report = @{
    TotalSessions = ($destructions | Measure-Object).Count
    AverageSessionDuration = ($sessionDurations | Measure-Object -Average).Average
    UnexpectedTerminations = ($destructions | Where-Object {$_.Message -like '*unexpected*'} | Measure-Object).Count
    SecurityAlerts = ($securityEvents | Measure-Object).Count
}
$report | ConvertTo-Json | Out-File "C:\temp\session_security_report.json"
Avertissement : L'analyse médico-légale des sessions peut générer de grandes quantités de données. Assurez-vous d'avoir suffisamment d'espace disque et tenez compte des politiques de rétention des données lors de la mise en œuvre d'une surveillance complète des sessions.

Aperçu

L'ID d'événement 5617 se déclenche lorsque le service de connexion Windows (Winlogon) détruit une session de connexion utilisateur. Cet événement informatif se produit lors des processus normaux de terminaison de session, y compris les déconnexions utilisateur, les arrêts du système, les déconnexions de bureau à distance et les terminaisons de session forcées. L'événement apparaît dans le journal Système et offre des capacités de suivi de session pour les administrateurs surveillant l'activité des utilisateurs.

Cet événement fait partie du cadre de gestion des sessions de Windows et fonctionne aux côtés d'autres événements de connexion/déconnexion comme 4624 (connexion réussie) et 4634 (déconnexion). Contrairement aux événements d'audit de sécurité, l'ID d'événement 5617 se concentre sur le processus technique de destruction de session plutôt que sur les implications de sécurité. L'événement contient des identifiants de session, des informations de contexte utilisateur et des raisons de terminaison qui aident les administrateurs à suivre les cycles de vie des sessions.

Dans les mises à jour Windows 11 2026 et Server 2025, Microsoft a amélioré le suivi des sessions avec des champs de métadonnées supplémentaires pour les environnements cloud hybrides et une meilleure corrélation avec les connexions Azure AD. L'événement reste crucial pour le dépannage des problèmes liés aux sessions, la surveillance des modèles d'activité des utilisateurs et l'investigation des terminaisons de session inattendues dans les environnements d'entreprise.

Questions Fréquentes

Que signifie l'ID d'événement 5617 et quand devrais-je m'en inquiéter ?+
L'ID d'événement 5617 indique que le service de connexion Windows a détruit une session utilisateur, ce qui est normal lors des déconnexions, des arrêts et des terminaisons de session. Vous devriez vous inquiéter si vous constatez une fréquence excessive, des sessions se terminant de manière inattendue sans action de l'utilisateur, ou des schémas suggérant des terminaisons forcées. L'événement lui-même est informatif et indique un nettoyage normal de session, mais des schémas inhabituels peuvent indiquer des problèmes système, des problèmes de sécurité ou des erreurs de configuration affectant les sessions utilisateur.
Comment puis-je corréler l'ID d'événement 5617 avec d'autres événements de connexion Windows ?+
L'ID d'événement 5617 est corrélé avec l'ID d'événement 4624 (connexion réussie) et 4634 (déconnexion) via les ID de session. Utilisez PowerShell pour extraire les ID de session des données XML de l'événement et les faire correspondre à travers différents journaux d'événements. Un cycle de vie de session complet commence avec 4624 dans le journal de sécurité, peut inclure divers événements de session, et se termine avec 5617 dans le journal système. Cette corrélation aide à suivre la durée des sessions, à identifier les sessions incomplètes et à enquêter sur les incidents de sécurité impliquant des comptes d'utilisateurs.
Pourquoi vois-je fréquemment des entrées d'ID d'événement 5617 dans mon environnement Windows Server ?+
Les entrées fréquentes de l'ID d'événement 5617 dans les environnements Windows Server sont généralement normales, surtout sur les serveurs terminaux, les hôtes de session de bureau à distance ou les serveurs avec plusieurs sessions utilisateur simultanées. Chaque déconnexion d'utilisateur, déconnexion RDP ou terminaison de session administrative génère cet événement. Cependant, si la fréquence augmente soudainement, enquêtez sur les causes potentielles telles que les modifications de la stratégie de groupe, les plantages d'applications, les problèmes de connectivité réseau ou les scripts automatisés terminant les sessions. Surveillez les modèles pour distinguer entre les opérations normales et les problèmes potentiels.
L'ID d'événement 5617 peut-il aider dans les enquêtes de sécurité et la surveillance de l'activité des utilisateurs ?+
Oui, l'ID d'événement 5617 est précieux pour les enquêtes de sécurité car il fournit des horodatages de terminaison de session et du contexte. Combiné avec les événements de connexion, il aide à établir des chronologies de présence utilisateur, à identifier des schémas d'accès non autorisés et à enquêter sur des incidents de sécurité. L'événement montre quand les sessions se terminent de manière inattendue, ce qui pourrait indiquer des terminaisons forcées dues à des politiques de sécurité ou à une activité malveillante. Pour une surveillance complète, corrélez 5617 avec des événements d'authentification, des tentatives de connexion échouées et des événements d'escalade de privilèges pour construire des profils d'activité utilisateur complets.
Comment puis-je dépanner les terminaisons de session inattendues causant l'ID d'événement 5617 ?+
Pour dépanner les terminaisons de session inattendues, examinez d'abord les détails de l'ID d'événement 5617 pour les raisons de terminaison et le contexte de la session. Vérifiez les erreurs d'application correspondantes, les événements d'arrêt du système (1074, 1076) et les événements de sécurité autour de la même période. Passez en revue les paramètres de stratégie de groupe pour les délais d'expiration de session, examinez les problèmes de connectivité réseau pour les sessions RDP, et examinez l'utilisation des ressources système pendant les périodes de terminaison. Utilisez PowerShell pour analyser les modèles et les fréquences, et envisagez d'activer la journalisation d'audit supplémentaire pour capturer des événements de gestion de session plus détaillés pour l'analyse des causes profondes.
Documentation

Références (2)

1
Microsoft Learn - Windows Event Logs ReferenceComprehensive documentation on Windows Event Logging architecture and event typeshttps://learn.microsoft.com/en-us/windows/win32/eventlog/event-logging-reference
2
Microsoft Docs - Audit Logon EventsOfficial guidance on configuring and interpreting Windows logon and session audit eventshttps://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/audit-logon
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#windows-events#session-management#event-id-5617

Événements Windows associés

Windows Event Viewer showing system event logs on a monitoring dashboard
Event 1066
WinLogon
Windows EventInformation

ID d'événement Windows 1066 – WinLogon : Initialisation du sous-système du gestionnaire de session

L'ID d'événement 1066 indique que le sous-système du gestionnaire de session Windows s'est initialisé avec succès lors du démarrage du système, marquant une étape critique dans le processus de démarrage.

18 mars9 min
Windows administrator troubleshooting Group Policy events in Event Viewer on multiple monitors
Event 1016
WinLogon
Windows EventWarning

ID d'événement Windows 1016 – WinLogon : Échec de l'application de la stratégie de groupe

L'ID d'événement 1016 indique des échecs de traitement de la stratégie de groupe lors de la connexion de l'utilisateur ou du démarrage de l'ordinateur, généralement causés par des problèmes de connectivité réseau, des problèmes de contrôleur de domaine ou des fichiers de stratégie corrompus.

18 mars12 min
Windows Event Viewer showing system event logs on a monitoring dashboard
Event 4004
WinLogon
Windows EventInformation

ID d'événement Windows 4004 – WinLogon : Initialisation du processus de connexion interactive

L'ID d'événement 4004 indique que le processus de connexion interactive de Windows a été initialisé. Cet événement informatif se déclenche lors du démarrage du système lorsque WinLogon prépare l'environnement de bureau interactif pour l'authentification de l'utilisateur.

18 mars9 min
ID d'événement Windows 1704 – Winlogon : Échec du service de profil utilisateur
Event 1704
Winlogon
Windows EventError

ID d'événement Windows 1704 – Winlogon : Échec du service de profil utilisateur

L'ID d'événement 1704 indique que le service de profil utilisateur n'a pas pu charger un profil utilisateur, empêchant une connexion utilisateur réussie et pouvant potentiellement causer une corruption du profil ou des problèmes d'accès.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...