Journal des événements Windows et surveillance de la fiabilité: à quoi ils servent
👀
Qu’est-ce que le journal des événements Windows et comment extraire les informations d’intérêt.
Chaque fois que quelque chose se produit dans Windows, au niveau du système, de l’application, de la sécurité, de l’installation du programme, une nouvelle entrée est ajoutée dans le journal des événements. Cela se produit sur les systèmes Windows des utilisateurs finaux, sur les postes de travail, sur les serveurs.
Dactylographie Observateur d’événements dans la zone de recherche Windows ou en appuyant sur Windows + R puis écrire eventvwr.msc vous accéderez à une fenêtre (celle de Observateur d’événements, en fait) qui permet de lire toutes les annotations du système d’exploitation au fil du temps. Ils sont stockés sous forme de fichiers .evtx dans le dossier % systemroot% system32 winevt logs.
Les événements qui se produisent au cours de chaque session de travail sont divisés en différentes catégories (voir la figure) et chacun d’eux se voit attribuer une icône différente selon que ce qui est stocké est une simple information, un avertissement ou une erreur réelle.
Lorsqu’un utilisateur se plaint de divers types de dysfonctionnements avec son système, l’un des meilleurs outils à utiliser est le Observateur d’événements.
Cet outil offre la possibilité de rechercher uniquement les événements d’intérêt: il suffit de cliquer sur Filtre de journal actuel dans la colonne de droite alors, par exemple, n’activez que les cases Critique ed Erreur pour obtenir les erreurs les plus critiques (telles que les écrans bleus ou les BSOD; voir aussi Écran bleu sous Windows: ce qui peut le faire apparaître) et des références à d’autres problèmes survenant sur le système.
Les événements critiques incluent ceux relatifs au fonctionnement des disques, du CPU, de la mémoire, des ventilateurs de dissipation.
Vous pouvez évidemment définir des filtres en fonction de l’ID d’événement ou du composant logiciel qui les a générés.
Dactylographie Surveillance de la fiabilité dans la zone de recherche du menu Démarrer de Windows ou en appuyant sur Windows + R donc perfmon / rel, le système d’exploitation affiche graphiquement les événements problématiques qui se sont produits sur la machine utilisée au fil du temps.
En cliquant sur chaque jour, des détails sur chaque erreur ou avertissement seront fournis en bas de la fenêtre.
La fenêtre Surveillance de la fiabilité il est peu connu mais il est utile car il se charge déjà d’extraire les informations les plus importantes du journal des événements Windows. En cliquant sur Afficher les détails plus de données peuvent être obtenues sur chaque problème détecté.
Les informations enregistrées dans le journal des événements Windows peuvent également être développées et personnalisées, comme expliqué dans l’article Vérifiez quels programmes s’exécutent sous Windows. Ceci est possible en utilisant les fonctionnalités spéciales de audit.
Cependant, une fois les vérifications terminées, nous vous recommandons de désactiver les fonctionnalités de audit Windows afin de ne pas se retrouver avec des fichiers journaux trop volumineux.
Chaque événement est marqué par un identifiant (ID d’événement): sur cette page, par exemple, Microsoft a résumé les événements les plus intéressants à surveiller côté serveur.
Les événements qui vous intéressent peuvent également être extraits de manière pratique à l’aide d’une fenêtre PowerShell. Avec la commande suivante, par exemple, vous pouvez obtenir la liste des applications (système et tierces) qui se sont plantées avec la date et l’heure auxquelles l’événement s’est produit:
$ ErrorActionPreference = « SilentlyContinue »; Get-WinEvent -FilterHashtable @ logname = « Application »; id = 1000,1002
Avec $ ErrorActionPreference = « SilentlyContinue »; il empêche simplement PowerShell d’afficher une erreur si aucune occurrence n’est trouvée pour ID d’événement spécifié (dans ce cas 1000 et 1002).
Avec la commande suivante, à la place, vous pouvez obtenir la liste de tous les écrans bleus (BSOD):
$ ErrorActionPreference = « SilentlyContinue »; Get-WinEvent -FilterHashtable @ logname = « Application »; id = 1001
À la place de Application le nom correct du fichier journal dans lequel vous souhaitez rechercher un événement spécifique doit toujours être indiqué. À la place de Application tu peux alors écrire Sécurité pour la catégorie « sécurité », Système pour « système » ou Installer pour « installation ».
Par exemple, en tapant ce qui suit, vous pouvez obtenir des situations dans lesquelles le système a été redémarré de manière anormale, par exemple à la suite d’un crash ou d’une panne de courant:
$ ErrorActionPreference = « SilentlyContinue »; Get-WinEvent -FilterHashtable @ logname = « Système »; id = 41
Comme vous pouvez le voir, l’événement avec l’ID 41, qui appartient au journal, a été utilisé Système.
Un logiciel libre comme TurnedOnTimesView par Nirsoft, présenté dans l’article Comment surveiller un PC sans rien installer, utilise l’événement système 41 avec d’autres (ID 42, 1, 1074, 6005, 6006) pour établir depuis combien de temps un appareil Windows est allumé et s’il s’est arrêté normalement ou pour d’autres raisons.
Découvrez aussi plus d’articles dans nos catégories windows, internet et web & Ordinateurs et internet.
Au final Merci pour votre visite on espère que notre article Journal des événements Windows et surveillance de la fiabilité: à quoi ils servent
vous aide, pour nous aider, on vous invite à partager l’article sur Facebook, pinterest et e-mail avec les hashtags ☑️ #Journal #des #événements #Windows #surveillance #fiabilité #quoi #ils #servent ☑️!