Savoir qui se connecte à votre ordinateur Windows 11 peut s’avérer très utile, surtout si vous souhaitez surveiller la sécurité ou simplement voir qui utilise votre PC. L’Observateur d’événements n’est pas vraiment l’outil préféré de tous, mais une fois pris en main, il est assez simple à utiliser. Il enregistre chaque tentative de connexion, réussie ou échouée, afin que vous puissiez savoir quand quelqu’un a accédé à votre système, d’où et à quelle heure. C’est un peu étrange, mais c’est comme avoir un journal numérique de votre historique de connexion, si vous savez où chercher.
Suivez ces étapes et vous obtiendrez une bonne vue d’ensemble des personnes ayant récemment accédé à votre PC. Attention : Windows peut parfois afficher les journaux de manière un peu étrange si la journalisation est désactivée ou corrompue. Ne vous inquiétez pas si l’écran semble vide au premier abord, car certaines configurations nécessitent l’activation de l’audit ou la vérification des paramètres de stratégie de groupe. Cependant, pour la plupart des utilisateurs, ces étapes vous indiqueront ce dont vous avez besoin.
Comment vérifier l’historique de connexion de l’ordinateur sous Windows 11
Une fois terminé, vous pourrez consulter les activités de connexion, ce qui vous aidera à repérer tout élément suspect ou simplement à satisfaire votre curiosité quant aux utilisateurs de votre ordinateur. N’oubliez pas qu’il s’agit avant tout de consulter les journaux, et que cela n’est pas toujours facile pour les débutants, mais l’effort en vaut la peine.
Ouvrir le menu Démarrer
Tout d’abord, appuyez sur la Windowstouche ou cliquez sur le bouton Démarrer. Simple, non ? Cela vous ouvre l’accès à tous les outils Windows.
Rechercher l’Observateur d’événements
Tapez « Observateur d’événements » dans la barre de recherche. Une fois l’application affichée, cliquez dessus. Pour accélérer votre navigation, vous pouvez l’épingler à votre barre des tâches ou créer un raccourci sur le bureau : un accès rapide, c’est facile !
Accéder aux journaux Windows
Dans l’Observateur d’événements, développez le dossier « Journaux Windows » sur la gauche. Vous verrez plusieurs journaux, mais celui qui nous intéresse est le journal de sécurité. Considérez-le comme l’archive des événements de connexion.
Ouvrir le journal de sécurité et filtrer les événements de connexion
Cliquez sur Sécurité pour charger les entrées. Voici la partie délicate : si vous ne voyez pas grand-chose, vous devrez peut-être appliquer un filtre. Faites un clic droit sur Sécurité ou, dans le volet central, choisissez « Filtrer le journal actuel ». Saisissez ensuite l’ ID d’événement4624 dans le champ. Cet ID enregistre les connexions réussies.
Sur certaines configurations, j’ai constaté que le filtrage est très utile, car les journaux peuvent être encombrés. De plus, si vous souhaitez afficher les tentatives de connexion infructueuses, essayez de filtrer par 4625.
Vérifier les détails de connexion
Parcourez la liste filtrée pour trouver les entrées portant l’ID d’événement 4624. Cliquer sur chaque entrée permet d’obtenir des informations telles que l’identité de la personne connectée, l’adresse IP ou l’appareil utilisé, et l’heure de la connexion. Ce n’est pas parfait, mais généralement suffisant pour détecter une activité suspecte ou simplement confirmer une utilisation normale. Parfois, ces journaux sont incohérents, surtout si les politiques de journalisation ne sont pas activées. C’est assez frustrant, mais cela vaut la peine d’y jeter un œil si vous êtes inquiet.
Conseils pour vérifier efficacement votre historique de connexion
- Assurez-vous que l’audit des événements de connexion est activé. Si vous ne voyez rien, cela peut en être la raison.
- Si vous ne voyez pas ce que vous attendez, vérifiez l’éditeur de stratégie de groupe local dans Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Stratégie d’audit et activez Auditer les événements de connexion.
- Définissez des filtres personnalisés pour affiner rapidement des utilisateurs ou des plages de dates spécifiques, bien plus rapidement lorsque vous avez une idée de ce que vous recherchez.
- N’oubliez pas que l’ID d’événement 4624 indique une réussite, mais l’ID d’événement 4625 indique une tentative infructueuse, ce qui est utile pour repérer les tentatives de force brute.
- Sur certaines machines, les journaux sont effacés ou pivotés, alors ne vous fiez pas à une seule vérification : maintenez une routine.
FAQ
Comment puis-je filtrer les événements plus rapidement dans l’Observateur d’événements ?
Cliquez sur « Filtrer le journal actuel » dans le menu contextuel de Sécurité. Saisissez des identifiants d’événement comme 4624 ou 4625, et précisez des plages de dates ou des noms d’utilisateur si vous le souhaitez. Très pratique lorsque les journaux sont volumineux.
Que dois-je faire si je trouve des connexions suspectes ?
Modifiez immédiatement vos mots de passe et activez l’authentification à deux facteurs si ce n’est pas déjà fait. Recherchez également les logiciels malveillants et vérifiez vos paramètres d’accès à distance : le bureau à distance ou les VPN peuvent parfois être exploités.
Puis-je voir les informations de connexion d’autres appareils ou les connexions réseau ?
L’Observateur d’événements enregistre principalement les connexions locales. Pour l’activité réseau ou les connexions depuis d’autres appareils, vous aurez besoin d’outils plus avancés ou de configurer des journaux réseau. Mais c’est un bon début pour les activités locales.
L’Observateur d’événements est-il disponible dans toutes les éditions de Windows 11 ?
Oui, mais l’accès à certains journaux ou la modification des politiques peuvent être restreints sur les éditions familiales, sauf si vous modifiez les politiques ou utilisez des outils tiers.
Que faire si l’Observateur d’événements n’affiche aucun journal ni aucune entrée ?
Cela signifie généralement que la journalisation n’est pas activée ou a été désactivée. Vérifiez votre stratégie de sécurité locale (saisissez secpol.msc« Exécuter ») et assurez-vous que les stratégies d’audit sont activées pour les événements de connexion. Si cela vous semble compliqué, n’oubliez pas : vous aurez peut-être besoin des droits d’administrateur pour résoudre ce problème.
Résumé
- Ouvrez l’Observateur d’événements (recherchez dans le menu Démarrer).
- Accédez à Journaux Windows > Sécurité.
- Appliquez un filtre pour l’ID d’événement 4624 pour voir les connexions réussies.
- Vérifiez les détails tels que le nom d’utilisateur, l’heure et l’adresse IP source.
Conclure
Fouiller dans l’historique de connexion peut paraître ennuyeux, mais c’est un bon moyen de vérifier la sécurité. C’est plutôt pratique de voir qui est connecté, surtout si des utilisateurs non autorisés ont découvert votre mot de passe. Configurer ou revoir vos politiques d’audit peut simplifier ce processus. Dans la plupart des configurations, une fois que vous vous êtes familiarisé avec le filtrage et la lecture des journaux, cela devient une routine. Gardez simplement à l’esprit que tout ne sera pas parfait ni très détaillé si Windows n’est pas configuré pour enregistrer correctement. Mais bon, n’importe quelle information vaut rien, n’est-ce pas ?
J’espère que cela vous fera gagner quelques heures, ou au moins vous évitera des soucis plus tard. Bonne chance et restez prudents.