Tout sur Security Log !

Si vous êtes déjà familiarisés avec le Security log Windows, la première chose que vous remarquerez en ouvrant Event Viewer dans Windows 2008 est qu’aucun des anciens event ID n’apparaît. Absolument ! Juste au moment où vous pensiez percevoir la différence entre event ID 528 et event ID 529, Microsoft décide de changer les ID. En réalité, Microsoft a conservé bon nombre des événements de Windows Server 2003, mais a ajouté 4 096 à l’event ID. Par exemple, event ID 528 dans Windows 2003 est event ID 4624 dans Windows 2008. En fait, je suis heureux que Microsoft ait changé tous les event ID, parce qu’elle a aussi complètement rénové les champs dans la description de chaque événement. Dans Windows 2003, Microsoft a gardé les event ID de Windows 2000 Server, mais a changé les événements qu’ils suivent, a combiné de multiples event ID en un, et a changé l’ordre des champs dans les descriptions. De quoi semer la pagaille dans le logiciel d’analyse de journaux automatisé. La nouvelle numérotation vous permet d’ajouter des systèmes Windows 2008 à votre environnement et de commencer à collecter des logs sans mettre au rebut vos définitions de filtres, d’alertes et de reporting existantes. Il vous faudra ajouter de nouvelles définitions pour les nouveaux event ID.