Déterminer qui s’est connecté à une machine Windows et à quel moment est souvent un véritable casse-tête, surtout a posteriori. Parfois, on préfère éviter de consulter les journaux du domaine (ce qui peut être fastidieux) et extraire les informations directement des journaux d’événements locaux semble plus simple. Si vous êtes pressé de retrouver l’activité de connexion récente, ou si vous êtes simplement curieux de savoir qui a utilisé ce tout nouveau PC Windows, ce guide pourrait vous épargner bien des soucis. Il n’est pas infaillible, mais il fonctionne la plupart du temps et vous offre une bonne base pour comprendre l’activité des utilisateurs locaux.
Comment suivre les connexions des utilisateurs sous Windows : solutions simples
Activer la stratégie d’audit des connexions utilisateur dans Windows
Tout d’abord, vous devez activer le suivi pour que Windows enregistre les connexions. C’est pourquoi vos journaux d’événements ne contiennent aucune information utile. Sur un ordinateur autonome ou dans un environnement de domaine, il suffit de modifier quelques paramètres de stratégie. Généralement, cela se fait via l’ Éditeur de stratégie de groupe locale ou, si vous gérez plusieurs ordinateurs, via la Console de gestion des stratégies de groupe. Voici un bref aperçu :
- Ouvrez le composant logiciel enfichable gpedit.msc s’il s’agit d’un seul PC. Pour un domaine entier, accédez à gpmc.msc.
- Accédez à Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Configuration avancée de la stratégie d’audit > Stratégies d’audit > Ouverture/Fermeture de session.
- Recherchez les options « Audit de connexion » et « Audit de déconnexion » et activez-les toutes les deux. Si seules les connexions réussies vous intéressent, cochez la case « Succès », après tout, pourquoi pas ?
- Sur une configuration que j’ai pu observer, Windows peut parfois se montrer capricieux quant à l’application immédiate des stratégies. Un redémarrage ou l’exécution d’une commande similaire
gpupdate /forcesur la machine cible peut alors permettre de prendre en compte les paramètres.
Remarque : Sur certaines machines, notamment celles dotées de politiques de sécurité plus strictes, il faut patienter un peu avant que les journaux ne se remplissent après une modification de ces politiques. Veuillez en tenir compte.
Accédez aux journaux de sécurité dans l’Observateur d’événements
Une fois la journalisation activée, vous voudrez sans doute consulter l’Observateur d’événements ( eventvwr.msc) pour obtenir des données concrètes. C’est là que se trouvent les informations les plus intéressantes. Lorsqu’un utilisateur se connecte, un événement 4624 s’affiche, indiquant notamment le nom d’utilisateur, le domaine et le type d’ouverture de session.
- Ouvrir l’Observateur d’événements.
- Accédez à Journaux Windows > Sécurité.
- Faites un clic droit et sélectionnez Filtrer le journal actuel.
- Saisissez l’identifiant
4624dans le champ « ID de l’événement », puis cliquez sur OK.
Recherchez maintenant les entrées de type 2 : il s’agit de vos connexions locales et interactives. La description indique généralement « Une connexion a été établie avec succès », et vous obtenez le nom d’utilisateur et le domaine, comme ceci :
New Logon: Security ID: WOSHUB\a.muller Account Name: a.muller Account Domain: WOSHUBSi vous souhaitez obtenir rapidement des statistiques sur les tentatives infructueuses ou d’autres détails de connexion, voici quelques identifiants d’événements courants :
| ID de l’événement | Description |
| 4624 | Connexion réussie |
| 4625 | Échec de la tentative de connexion |
| 4648 | Utilisation explicite des identifiants (comme la transmission d’identifiants) |
| 4634 | Événement de déconnexion |
| 4647 | Déconnexion initiée par l’utilisateur |
Attention : les journaux incluent également les activités non locales, comme les partages réseau ou les tâches planifiées. Filtrer par type d’ouverture de session 2 permet d’affiner la recherche, notamment si vous souhaitez afficher uniquement les ouvertures de session locales.
Filtrage des connexions avec PowerShell
C’est là que ça devient vraiment pratique. Au lieu de parcourir manuellement les journaux, la cmdlet Get-WinEvent de PowerShell simplifie la création d’un script pour la requête. Voici un exemple simple pour lister les connexions interactives récentes ( LogonType 2 ) :
$query = @' <QueryList> <Query Id='0' Path='Security'> <Select Path='Security'> *[System[EventID='4624'] and EventData[Data[@Name='LogonType']='2'] ] </Select> </Query> </QueryList> '@Ce script recherche dans le journal des événements de sécurité les connexions locales réussies. Vous pouvez l’affiner en ajoutant un filtre temporel, comme ceci :
| Where-Object {$_. TimeCreated -gt (Get-Date).AddDays(-3)}Ou extraire des informations d’ordinateurs distants — pratique si vous devez dépanner plusieurs machines :
'machine1', 'machine2' | ForEach-Object { Get-WinEvent -ComputerName $_ -FilterXml $query | Select-Object @{n='User';e={$_. Properties[5].Value}}, @{n='Domain';e={$_. Properties[6].Value}}, @{n='Time';e={$_. TimeCreated}} }Et si RPC n’est pas disponible ou si les sessions distantes sont bloquées, vous pouvez utiliser Invoke-Command comme ceci :
Invoke-Command -ComputerName 'machine1', 'machine2' {Get-WinEvent -FilterXml $using:query | Select-Object @{n='User';e={$_. Properties[5].Value}}, @{n='Domain';e={$_. Properties[6].Value}}, @{n='Time';e={$_. TimeCreated}} }En résumé, c’est une bonne solution pour savoir qui a utilisé cet ordinateur sans avoir à éplucher manuellement des tonnes de journaux d’activité. Plutôt pratique, surtout pour le dépannage ou simplement pour connaître l’activité récente.
Résumé
- Activer les politiques d’audit pour l’ouverture/fermeture de session.
- Consultez les journaux de sécurité dans l’Observateur d’événements pour l’ID d’événement 4624.
- Filtrez par type d’ouverture de session 2 pour trouver les connexions locales.
- Utilisez les commandes PowerShell pour des requêtes plus précises ou à distance.
Conclure
Le suivi des connexions utilisateur sous Windows n’est pas sorcier une fois les bonnes stratégies mises en place. La combinaison de stratégies d’audit, du filtrage de l’Observateur d’événements et de scripts PowerShell rend la tâche assez simple. Tout n’est pas parfait : les journaux Windows peuvent être volumineux et il faut parfois ajuster les filtres. Mais une fois configuré, on obtient un aperçu correct de l’activité récente des utilisateurs. Espérons que cela permette de retrouver ces connexions mystérieuses ou simplement de surveiller qui utilise le système.