ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Event Viewer displaying security audit logs on a cybersecurity monitoring dashboard
Event ID 808InformationSecurityWindows

ID d'événement Windows 808 – Sécurité : Journal d'audit effacé

L'ID d'événement 808 indique que le journal d'audit de sécurité Windows a été effacé, généralement par un administrateur ou un processus automatisé. Cet événement est crucial pour la surveillance de la sécurité et le suivi de la conformité.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
17 mars 202612 min de lecture 0
Event ID 808Security 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 808 représente un événement d'audit de sécurité critique que Windows génère chaque fois que le journal des événements de sécurité subit une opération de nettoyage. Cet événement sert de registre immuable des activités de maintenance des journaux et des incidents de sécurité potentiels où des attaquants tentent d'éliminer les preuves de leurs activités.

L'événement capture des métadonnées complètes sur l'opération de nettoyage, y compris l'identifiant de sécurité (SID) du compte utilisateur qui a initié l'action, les détails de la session de connexion et la méthode spécifique utilisée pour effacer les journaux. Windows enregistre ces informations avant que le nettoyage réel des journaux ne se produise, garantissant que les preuves de l'opération persistent même après la suppression des journaux cibles.

D'un point de vue sécurité, l'ID d'événement 808 joue un rôle crucial dans le maintien de l'intégrité de l'audit. Les équipes de sécurité utilisent cet événement pour détecter les altérations non autorisées des journaux, suivre les activités administratives et maintenir la conformité avec les exigences réglementaires qui imposent la conservation des journaux d'audit. L'événement aide également à distinguer entre les opérations de maintenance programmées effectuées par du personnel autorisé et les activités suspectes qui pourraient indiquer une violation de sécurité.

Les systèmes Windows modernes en 2026 ont amélioré cet événement avec des informations contextuelles supplémentaires, y compris des détails sur le processus et des informations sur la source réseau lorsque l'opération de nettoyage provient d'outils de gestion à distance. Cette capacité de journalisation améliorée fournit aux analystes de sécurité des données médico-légales plus complètes pour l'enquête sur les incidents et le rapport de conformité.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Effacement manuel des journaux de sécurité via l'Observateur d'événements par les administrateurs
  • Scripts de rotation de journaux automatisés utilisant les cmdlets PowerShell Clear-EventLog
  • Outils de gestion de journaux tiers effectuant une maintenance programmée
  • System Center Operations Manager (SCOM) ou solutions de surveillance similaires effaçant les journaux
  • Acteurs malveillants tentant de supprimer des preuves d'activités non autorisées
  • Paramètres de stratégie de groupe déclenchant un effacement automatique des journaux lorsque les limites de taille sont atteintes
  • Processus de sauvegarde et d'archivage qui effacent les journaux après la réussite de la sauvegarde
  • Logiciels de sécurité effectuant la maintenance des journaux dans le cadre de l'optimisation du système
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner les détails spécifiques de l'occurrence de l'ID d'événement 808 pour comprendre qui a effacé les journaux et quand.

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez pour l'ID d'événement 808 en cliquant avec le bouton droit sur le journal Sécurité et en sélectionnant Filtrer le journal actuel
  4. Entrez 808 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur l'entrée de l'ID d'événement 808 pour voir les informations détaillées
  6. Examinez l'onglet Général pour l'horodatage et les détails de base
  7. Vérifiez l'onglet Détails pour le SID de l'utilisateur, la session de connexion et les informations de processus
  8. Documentez l'Utilisateur, l'Ordinateur, et l'Heure de l'événement à des fins d'enquête
Astuce pro : La description de l'événement affichera le nom du compte utilisateur et le domaine qui ont effectué l'opération de nettoyage, ce qui est crucial pour déterminer si l'action était autorisée.
02

Interroger l'historique des événements avec PowerShell

Utilisez PowerShell pour récupérer des informations complètes sur toutes les occurrences de l'ID d'événement 808 et analyser les modèles.

  1. Ouvrez PowerShell en tant qu'administrateur
  2. Exécutez la commande suivante pour récupérer toutes les occurrences de l'ID d'événement 808:
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=808} | Select-Object TimeCreated, Id, LevelDisplayName, Message | Format-Table -AutoSize
  3. Pour une analyse plus détaillée, exportez les événements vers un fichier CSV:
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=808} | Select-Object TimeCreated, Id, UserId, ProcessId, Message | Export-Csv -Path "C:\Temp\Event808_Analysis.csv" -NoTypeInformation
  4. Pour vérifier les événements des 30 derniers jours:
    $StartDate = (Get-Date).AddDays(-30)
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=808; StartTime=$StartDate} | Format-Table TimeCreated, Message -AutoSize
  5. Extraire les informations utilisateur des événements:
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=808} | ForEach-Object { [xml]$xml = $_.ToXml(); $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object '#text' }
Avertissement : Si aucune entrée d'ID d'événement 808 n'est trouvée, le journal de sécurité lui-même peut avoir été effacé récemment, ce qui pourrait indiquer un incident de sécurité nécessitant une enquête immédiate.
03

Examiner les détails du compte utilisateur et de la session

Analysez les informations du compte utilisateur et de la session de connexion pour déterminer si le nettoyage des journaux a été effectué par du personnel autorisé.

  1. À partir des détails de l'ID d'événement 808, notez le Nom d'utilisateur du sujet et le Domaine du sujet
  2. Vérifiez que le compte utilisateur existe et dispose des autorisations appropriées :
    Get-ADUser -Identity "username" -Properties MemberOf, LastLogonDate, PasswordLastSet | Select-Object Name, SamAccountName, MemberOf, LastLogonDate, PasswordLastSet
  3. Vérifiez si l'utilisateur est membre de groupes privilégiés :
    Get-ADUser -Identity "username" -Properties MemberOf | Select-Object -ExpandProperty MemberOf | Get-ADGroup | Where-Object {$_.Name -match "Admin|Operator|Backup"}
  4. Examinez les événements de connexion simultanés autour du moment du nettoyage des journaux :
    $EventTime = (Get-Date "2026-03-17 10:30:00") # Remplacez par l'heure réelle de l'événement
$TimeWindow = 30 # minutes
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624,4625; StartTime=$EventTime.AddMinutes(-$TimeWindow); EndTime=$EventTime.AddMinutes($TimeWindow)} | Where-Object {$_.Message -match "username"}
  5. Vérifiez s'il existe une stratégie de groupe ou une tâche planifiée qui pourrait avoir déclenché le nettoyage :
    Get-ScheduledTask | Where-Object {$_.Actions.Execute -match "Clear-EventLog|wevtutil"} | Select-Object TaskName, State, LastRunTime
Astuce pro : Recoupez l'ID de session de connexion de l'ID d'événement 808 avec d'autres événements de sécurité pour établir une chronologie complète des activités de l'utilisateur pendant l'opération de nettoyage des journaux.
04

Configurer la journalisation et la surveillance améliorées des audits

Implémentez des mécanismes de surveillance et d'alerte supplémentaires pour détecter les futures activités de nettoyage des journaux et renforcer l'intégrité de la piste d'audit.

  1. Activez la politique d'audit avancée pour l'accès aux objets afin de suivre l'utilisation de l'Observateur d'événements :
    auditpol /set /subcategory:"File System" /success:enable /failure:enable
auditpol /set /subcategory:"Registry" /success:enable /failure:enable
  2. Configurez le transfert d'événements Windows pour envoyer l'ID d'événement 808 à un collecteur central :
    # Sur le serveur collecteur
wecutil qc /q
# Sur les ordinateurs sources
winrm qc -q
  3. Créez une tâche planifiée pour alerter sur les occurrences de l'ID d'événement 808 :
    $Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-Command \"Send-MailMessage -To 'security@company.com' -From 'alerts@company.com' -Subject 'Security Log Cleared' -Body 'Event ID 808 detected' -SmtpServer 'mail.company.com'\""
$Trigger = New-ScheduledTaskTrigger -AtStartup
$Settings = New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries
Register-ScheduledTask -TaskName "SecurityLogClearAlert" -Action $Action -Trigger $Trigger -Settings $Settings
  4. Configurez les politiques de rétention des journaux d'événements pour empêcher le nettoyage automatique :
    # Définir le journal de sécurité à 1 Go avec réécriture si nécessaire
wevtutil sl Security /ms:1073741824 /rt:true
  5. Implémentez la journalisation des scripts PowerShell pour capturer toute commande Clear-EventLog :
    # Activer la journalisation des modules PowerShell via la stratégie de groupe ou le registre
New-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ModuleLogging" -Name "EnableModuleLogging" -Value 1 -PropertyType DWORD -Force
New-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ModuleLogging\ModuleNames" -Name "*" -Value "*" -PropertyType String -Force
Avertissement : Assurez-vous que la journalisation améliorée ne remplit pas rapidement l'espace disque. Surveillez la taille des journaux et implémentez des politiques de rotation des journaux appropriées lors de l'activation de la journalisation d'audit détaillée.
05

Analyse Forensique et Réponse aux Incidents

Effectuez une analyse médico-légale complète lorsque l'ID d'événement 808 indique des incidents de sécurité potentiels ou une altération non autorisée des journaux.

  1. Créez une chronologie médico-légale des événements entourant l'effacement des journaux :
    # Exporter tous les événements de sécurité 24 heures avant l'incident
$IncidentTime = (Get-Date "2026-03-17 10:30:00") # Remplacez par l'heure réelle
$StartTime = $IncidentTime.AddHours(-24)
$EndTime = $IncidentTime.AddHours(1)
Get-WinEvent -FilterHashtable @{LogName='Security'; StartTime=$StartTime; EndTime=$EndTime} | Export-Csv -Path "C:\Forensics\SecurityEvents_Timeline.csv" -NoTypeInformation
  2. Vérifiez les preuves de mouvements latéraux ou d'escalade de privilèges :
    # Rechercher des modèles de connexion inhabituels
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624,4625,4648,4672} | Where-Object {$_.TimeCreated -ge $StartTime -and $_.TimeCreated -le $EndTime} | Group-Object Id | Select-Object Name, Count
  3. Analysez les événements d'exécution de processus qui pourraient indiquer des outils malveillants :
    # Vérifiez les événements de création de processus suspects
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4688} | Where-Object {$_.Message -match "wevtutil|Clear-EventLog|eventvwr" -and $_.TimeCreated -ge $StartTime}
  4. Examinez l'accès au système de fichiers aux fichiers de journaux d'événements :
    # Vérifiez l'accès aux fichiers .evtx dans System32\winevt\Logs
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4656,4658} | Where-Object {$_.Message -match "\.evtx" -and $_.TimeCreated -ge $StartTime}
  5. Générez un rapport d'incident complet :
    # Créer un résumé de l'incident
$Report = @{
    IncidentTime = $IncidentTime
    ClearingUser = "Extraire de l'événement 808"
    ConcurrentEvents = (Get-WinEvent -FilterHashtable @{LogName='Security'; StartTime=$StartTime; EndTime=$EndTime}).Count
    SuspiciousProcesses = "Lister tous les processus inhabituels"
    RecommendedActions = "Étapes immédiates de confinement et d'enquête"
}
$Report | ConvertTo-Json | Out-File "C:\Forensics\Event808_IncidentReport.json"
Conseil pro : Préservez l'état actuel du système en créant un vidage de mémoire et une image disque avant d'apporter des modifications lors de l'enquête médico-légale. Utilisez des outils comme FTK Imager ou les outils intégrés de Windows pour la préservation des preuves.

Aperçu

L'ID d'événement 808 se déclenche lorsque le journal d'audit de sécurité Windows est effacé, soit manuellement via l'Observateur d'événements, soit par des commandes PowerShell. Cet événement apparaît dans le journal de sécurité immédiatement après la fin de l'opération d'effacement. L'événement capture des informations judiciaires critiques, y compris le compte utilisateur qui a effectué l'action, l'horodatage et le poste de travail d'où l'opération a été initiée.

Les professionnels de la sécurité surveillent cet événement de près car l'effacement des journaux d'audit peut indiquer des activités de maintenance légitimes ou des tentatives potentiellement malveillantes de dissimuler des traces. L'événement fournit une piste d'audit qui ne peut pas être facilement supprimée, ce qui le rend précieux pour les rapports de conformité et les enquêtes sur les incidents.

Windows génère cet événement indépendamment du fait que l'effacement du journal ait été une maintenance administrative intentionnelle ou fasse partie d'un incident de sécurité. L'événement inclut des détails sur le processus d'effacement, y compris le contexte utilisateur et la méthode utilisée pour effacer les journaux, ce qui aide les administrateurs à distinguer les opérations de routine des activités suspectes.

Questions Fréquentes

Que signifie l'ID d'événement 808 et pourquoi est-il important pour la sécurité ?+
L'ID d'événement 808 indique que le journal d'audit de sécurité Windows a été effacé. Cet événement est d'une importance cruciale pour la surveillance de la sécurité car il fournit un enregistrement immuable du moment où les journaux d'audit ont été effacés, par qui et depuis quel système. Les équipes de sécurité utilisent cet événement pour détecter une éventuelle falsification de preuves, suivre les activités administratives et maintenir la conformité avec les exigences d'audit. L'événement ne peut pas être facilement supprimé par les attaquants, ce qui le rend précieux pour les enquêtes judiciaires même lorsque d'autres preuves ont été détruites.
Comment puis-je savoir si l'ID d'événement 808 a été causé par une administration légitime ou une activité malveillante ?+
Pour distinguer entre un effacement de journaux légitime et malveillant, examinez plusieurs facteurs : le compte utilisateur ayant effectué l'action (devrait être un administrateur autorisé), le moment (pendant les heures de bureau vs. heures inhabituelles), les activités concomitantes (tâches administratives normales vs. processus suspects), et si l'action s'aligne avec les fenêtres de maintenance programmées. Vérifiez si l'effacement a été effectué à l'aide d'outils administratifs standard ou de méthodes suspectes. Vérifiez également que le compte utilisateur dispose des privilèges appropriés et examinez ses récents schémas de connexion pour détecter des anomalies.
L'ID d'événement 808 peut-il être empêché ou désactivé pour empêcher les attaquants d'effacer les journaux ?+
L'ID d'événement 808 ne peut pas et ne doit pas être désactivé car il sert de contrôle de sécurité critique. Au lieu d'empêcher l'événement, concentrez-vous sur la prévention de l'effacement non autorisé des journaux grâce à des contrôles d'accès appropriés, à la gestion des comptes utilisateurs et à la surveillance. Mettez en œuvre les principes du moindre privilège, restreignez les autorisations de gestion des journaux d'événements au personnel autorisé uniquement, activez le transfert d'événements Windows pour envoyer les journaux à un collecteur central sécurisé, et configurez des alertes en temps réel sur les occurrences de l'ID d'événement 808. Envisagez d'utiliser un stockage en écriture unique ou des solutions SIEM pour la rétention à long terme des journaux.
Quelle information contient l'ID d'événement 808 et comment puis-je l'extraire par programmation ?+
L'ID d'événement 808 contient le compte utilisateur (Nom d'utilisateur et Domaine du sujet), l'ID de session de connexion, les informations sur le processus, l'horodatage et les détails du poste de travail. Pour extraire ces informations de manière programmatique, utilisez PowerShell avec Get-WinEvent et l'analyse XML : Get-WinEvent -FilterHashtable @{LogName='Security'; Id=808} | ForEach-Object { [xml]$xml = $_.ToXml(); $xml.Event.EventData.Data }. Cela fournit un accès structuré à tous les champs de données d'événement, y compris SubjectUserName, SubjectDomainName, SubjectLogonId et ProcessName, qui peuvent être utilisés pour l'analyse et le reporting automatisés.
Comment devrais-je réagir lorsque je découvre des entrées inattendues d'ID d'événement 808 dans mon environnement ?+
Lors de la découverte d'entrées inattendues d'Event ID 808, initiez immédiatement les procédures de réponse aux incidents : préservez l'état actuel du système, identifiez le compte utilisateur et vérifiez s'il est autorisé, vérifiez les activités suspectes concomitantes, examinez les événements de connexion récents pour l'utilisateur impliqué, examinez les journaux d'exécution des processus autour de l'heure de l'incident, et déterminez si des données ou systèmes sensibles ont été accédés. Mettez en place une surveillance supplémentaire temporaire, envisagez d'isoler les systèmes affectés si une activité malveillante est suspectée, et documentez toutes les constatations pour une éventuelle analyse judiciaire. Contactez votre équipe de sécurité ou votre fournisseur de réponse aux incidents si l'activité semble malveillante.
Documentation

Références (2)

1
Microsoft Security Auditing Events ReferenceComprehensive guide to Windows security auditing events and their meaningshttps://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Windows Event Log Management Best PracticesOfficial Microsoft documentation on event log management and security considerationshttps://docs.microsoft.com/en-us/windows/win32/eventlog/event-logging-best-practices
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#event-id-808#security-auditing#log-management

Événements Windows associés

Windows Security Event Viewer displaying authentication events on a SOC monitoring dashboard
Event 4648
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 4648 – Microsoft-Windows-Security-Auditing : Tentative de connexion avec des identifiants explicites

L'ID d'événement 4648 se déclenche lorsqu'un utilisateur ou un processus tente une authentification en utilisant des informations d'identification explicites différentes de leur session de connexion actuelle, généralement observée avec RunAs, l'authentification réseau ou les opérations de compte de service.

18 mars12 min
Windows Security Event Viewer displaying Event ID 4647 user logoff events on a security monitoring dashboard
Event 4647
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 4647 – Microsoft-Windows-Security-Auditing : Déconnexion initiée par l'utilisateur

L'ID d'événement 4647 enregistre lorsqu'un utilisateur initie une déconnexion d'une session Windows. Cet événement d'audit de sécurité suit les déconnexions initiées par l'utilisateur à des fins de conformité et de surveillance de la sécurité.

18 mars9 min
Windows Event Viewer displaying security audit logs with Event ID 4634 logoff events on a SOC monitoring dashboard
Event 4634
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 4634 – Microsoft-Windows-Security-Auditing : Un compte a été déconnecté

L'ID d'événement 4634 enregistre lorsqu'un compte utilisateur se déconnecte d'un système Windows. Cet événement d'audit de sécurité suit les activités de déconnexion à des fins de conformité et de surveillance de la sécurité.

18 mars12 min
Windows Event Viewer displaying security event logs with account lockout monitoring on a cybersecurity dashboard
Event 4740
Security
Windows EventInformation

ID d'événement Windows 4740 – Sécurité : Compte utilisateur verrouillé

L'ID d'événement 4740 se déclenche lorsqu'un compte utilisateur est verrouillé en raison de tentatives d'authentification échouées. Critique pour la surveillance de la sécurité et le dépannage des problèmes d'accès utilisateur.

17 mars9 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...