ETWMonitor est un outil de notification Windows gratuite qui détecte les connexions RDP, SMB et RPC en surveillant les journaux d’événements ETW.
Il vous permet d’afficher une notification lorsque votre PC est la cible d’une connexion utilisant ces protocoles.
Cela peut être pratique si vous utilisez votre appareil dans un réseau LAN non sûr pour prévenir de tentative de piratage.
Ce tutoriel vous montre comment installer et utiliser ETWMonitor.

Table des matières
Comment surveiller les connexions RDP, SMB et RPC avec ETWMonitor
Pour rappel, concernant ces trois protocoles :
- SMB (Server Message Block) : est le protocole de partage de dossier de Windows
- RDP (Remote Desktop Protocol) : est le protocole de contrôle d’un PC à distance de Windows
- RPC (Remote Procedure Call) : permet à un programme sur une machine d’appeler une sous-routine sur une autre machine sans se rendre compte qu’elle est distante
Installer et démarrer ETWMonitor
- Exécutez ETWMonitor_Setup.msi et laissez vous guider pour terminer l’installation
- Puis faites un clic droit sur l’icône ETWMonitor du bureau
- Et Exécuter en tant qu’administrateur. Pour exécuter systématiquement l’application, faites un clic droit et propriétés puis Compatibilité et cocher Toujours exécuter en tant qu’administrateur
- Cliquez sur Oui sur le Contrôle des comptes utilisateur (UAC)
- Une notification ETWMonitor est démarré s’affiche
- Une fenêtre CMD s’ouvre, réduisez la mais ne la fermez pas sinon l’application ne sera plus active
A partir de là, l’outil de surveillance est actif dans le système et vous préviendra de toute connexion SMB, RDP ou RDP.
Surveiller Windows avec ETWMonitor
Il ne reste plus qu’à tester l’outil de surveillance et s’assurer de son fonctionnement.
- Par exemple ci-dessous, on tente de se connecter au partage réseau via l’UNC dans l’explorateur de fichiers
- ETWMonitor affiche bien une notification pour vous en prévenir avec l’adresse IP source
- De même, si on tente de se connecter au bureau à distance vers le PC cible, une notification s’affiche. A noter que cela ne fonctionne que si le bureau à distance est actif
La fenêtre CMD historise les tentatives de connexion avec les IP Sources
Toutefois les évènements ne sont pas ajoutés dans les journaux Windows disponibles dans l’observateur d’évènements.