Comment lire les journaux d’événements Windows : Arrêt et redémarrage

  • Dernière mise à jour
How to Read Windows Event Logs: Shutdown and Restart
  • Dernière mise à jour juillet

Dans cet article, vous apprendrez à lire les journaux d’événements Windows. L’observateur d’événements de Windows est le principal outil permettant d’examiner les journaux détaillés des activités du système, y compris les arrêts et les redémarrages. Cet outil est disponible sur tous les systèmes Windows et offre un moyen simple d’accéder aux données d’événements, de les surveiller et de les analyser.

Accès à l’observateur d’événements sous Windows

L’accès à l’Observateur d’événements est la première étape pour comprendre comment lire les journaux d’événements Windows. Pour accéder à l’observateur d’événements :

  • Dans la boîte de dialogue Exécuter, appuyez sur “Windows + R”, tapez “eventvwr.msc” et appuyez sur Entrée. Cette méthode permet d’ouvrir rapidement l’Observateur d’événements et est largement utilisée.
  • Utilisation de PowerShell : Particulièrement utile pour l’accès à distance, PowerShell vous permet d’utiliser la cmdlet “Get-EventLog” pour extraire les journaux de plusieurs systèmes. Cette option est intéressante dans les environnements distribués de grande envergure où plusieurs appareils doivent être surveillés.
  • Dans le menu Outils d’administration de Windows, cliquez avec le bouton droit de la souris sur le bouton Démarrer, choisissez “Windows PowerShell (Admin)” et tapez “eventvwr” pour ouvrir l’observateur d’événements.

Dans l’observateur d’événements, vous verrez une arborescence de la console dans le volet gauche avec des catégories, notamment Application, Sécurité, Configuration, Système et Événements transférés.

Comment lire les journaux d’événements Windows pour les ID d’événements d’arrêt et de redémarrage ?

Les instructions suivantes vous aideront à interpréter correctement les ID d’événements afin d’identifier et de différencier les arrêts ou redémarrages planifiés et inattendus.

Recherche des événements d’arrêt de l’observateur d’événements à l’aide de l’ID de l’événement

Dans le journal du système, les ID des événements d’arrêt de l’Observateur d’événements sont marqués par des numéros distincts, l’ID d’événement 1074 étant l’identifiant le plus courant pour les arrêts. Cet ID d’événement enregistre des informations sur les arrêts initiés par des utilisateurs, des mises à jour ou des applications.

L’ID d’événement 1074 contient des détails tels que le compte d’utilisateur responsable de l’arrêt, le processus qui l’a déclenché et le code de raison indiquant si l’arrêt était planifié ou non.

Comprendre la description de l’événement vous permet de mieux comprendre le contexte de l’arrêt.

Localisation des événements de redémarrage à l’aide de l’ID de l’événement

Les redémarrages suivent généralement une séquence en plusieurs étapes dans le journal des événements, commençant par l’ID d’événement 1074 (similaire aux arrêts) et progressant à travers d’autres événements qui suivent les activités de redémarrage.

  • L’ID d’événement 6008 indique un arrêt inattendu, tel que ceux résultant d’une coupure de courant ou d’une panne du système. Vous pouvez utiliser cet événement pour enquêter sur les redémarrages non planifiés et faire des références croisées avec d’autres événements pour en trouver la cause.
  • Les ID d’événement 6005 et 6006 représentent des démarrages et des arrêts propres, marquant l’achèvement d’une séquence normale de démarrage ou d’arrêt. Associés à d’autres événements, ils peuvent fournir une chronologie du moment et de la manière dont le redémarrage s’est produit.

Ces entrées offrent une vue détaillée des séquences de redémarrage, ce qui vous permet d’identifier les problèmes susceptibles d’affecter la stabilité du système.

Comprendre les horodatages et les détails des journaux d’événements

Lorsque vous lisez les journaux d’événements Windows, les horodatages sont initialement stockés en UTC mais affichés en heure locale, ce qui vous permet de corréler avec précision les événements entre les fuseaux horaires.

  • La source de l’événement identifie le composant Windows spécifique qui a généré l’entrée du journal.
  • Les catégories de tâches regroupent les événements connexes, ce qui permet d’organiser et de comprendre les événements en fonction des différents composants du système.
  • Les niveaux de gravité (information, avertissement, erreur et critique) vous permettent d’identifier rapidement les problèmes importants.

ID d’événements communs pour les événements d’arrêt et de redémarrage

Connaître les ID d’événements les plus pertinents pour les arrêts et les événements Windows qui indiquent les redémarrages peut rationaliser votre analyse et votre dépannage. Ces ID d’événements marquent différents types d’arrêts, depuis les événements de maintenance prévus jusqu’aux pannes soudaines du système.

ID d’événement pour les arrêts inattendus

Les arrêts inopinés sont souvent dus à des pannes de courant, des problèmes matériels ou des pannes logicielles, et ils laissent des traces distinctes dans les journaux d’événements de Windows.

  • L’ID d’événement 41 signale un redémarrage du système qui s’est produit sans arrêt complet. Cela peut indiquer des pannes de courant ou des redémarrages forcés et fournit souvent des informations sur l’état du système avant qu’il ne s’arrête.
  • L’ID d’événement 1001 contient des informations sur les problèmes d’alimentation du noyau, ce qui permet d’identifier des causes potentielles telles qu’une défaillance matérielle, une surchauffe ou des conflits de pilotes susceptibles d’avoir déclenché l’arrêt du système.

ID d’événement pour les arrêts planifiés

Les arrêts planifiés génèrent des journaux d’événements spécifiques qui aident à maintenir la conformité du système et à vérifier la réussite des activités de maintenance.

  • L’ID d’événement 1074 enregistre les arrêts planifiés déclenchés par des utilisateurs, des tâches programmées ou des mises à jour du système. Dans les environnements gérés, ces entrées confirment que les arrêts sont alignés sur les fenêtres de maintenance et les calendriers de mise à jour.
  • Les arrêts déclenchés par une politique de groupe produisent des événements supplémentaires qui documentent l’application de la stratégie, garantissant la conformité avec les protocoles d’arrêt et vérifiant que les utilisateurs reçoivent les notifications appropriées.

ID d’événement pour les redémarrages du système

Les redémarrages liés à des mises à jour ou à d’autres activités de maintenance planifiées créent des schémas spécifiques dans les journaux d’événements :

  • L’événement ID 1033 est associé au redémarrage de Windows Update, suivi de la séquence habituelle d’arrêt et de démarrage.
  • Le mode de démarrage rapide peut contourner les événements d’arrêt traditionnels, créant ainsi une entrée d’arrêt hybride qui diffère des journaux d’arrêt ordinaires.

Autres ID d’événements pertinents

Les ID d’événements supplémentaires fournissent un contexte précieux pour l’analyse de l’arrêt, en particulier lors de la résolution de problèmes complexes.

  • L’ID d’événement 1076 indique l’échec d’une tentative de redémarrage, souvent en raison de conflits ou d’erreurs.
  • Les ID d’événements 42-44 enregistrent les transitions vers les états de veille ou d’hibernation, qui peuvent affecter les événements d’alimentation du système et être en corrélation avec les comportements d’arrêt.

Vous verrez également fréquemment des événements du gestionnaire de contrôle des services (ID 7000-7040) concernant les arrêts.

Interprétation des détails du journal des événements pour le dépannage

Pour dépanner efficacement, vous devez analyser systématiquement les détails du journal des événements. Commencez par établir une base de référence pour les événements Windows qui montreront les événements d’arrêt et de redémarrage, y compris les durées moyennes des arrêts du système, les séquences courantes et les comportements attendus.

Lorsque vous enquêtez sur des problèmes d’arrêt ou de redémarrage, suivez les étapes suivantes :

  1. Construire une chronologie des événements immédiatement avant et après l’arrêt, y compris les alertes, les erreurs d’application ou les alertes de ressources qui pourraient avoir contribué à l’arrêt.
  2. Recouper les journaux des catégories Système et Application pour obtenir une vue complète de l’état du système avant l’événement. Ceci est particulièrement utile si l’arrêt semble lié à des erreurs d’application ou à des alertes de sécurité.
  3. Surveillez les données de performance et examinez les événements du système pour détecter les indicateurs d’épuisement des ressources, les avertissements de dépassement de délai du pilote ou les erreurs de disque. Ces modèles peuvent révéler des causes sous-jacentes telles que des ressources insuffisantes ou des défaillances matérielles.

Bonnes pratiques de surveillance et de gestion des journaux d’événements Windows

La mise en œuvre de pratiques efficaces de gestion des journaux est essentielle pour maintenir la fiabilité du système et répondre aux exigences de conformité. Voici quelques bonnes pratiques :

  • Fixer des limites à la taille des journaux en fonction des ressources du système et des exigences de conservation, en équilibrant le besoin de journaux détaillés et les contraintes de stockage.
  • Archiver régulièrement les journaux afin de conserver des données historiques à des fins d’analyse des tendances, de conformité et d’audit.
  • La centralisation des journaux d’événements simplifie la gestion des environnements multi-systèmes, en permettant des recherches, des corrélations et des alertes efficaces.
  • Windows Event Forwarding collecte les journaux de plusieurs appareils dans un référentiel central, ce qui permet d’améliorer la surveillance et le dépannage dans l’ensemble de l’infrastructure.
  • Des vues personnalisées, adaptées à des identifiants d’événements spécifiques, vous permettent de surveiller efficacement les événements d’arrêt et de redémarrage. Ces vues permettent un dépannage plus rapide en affichant les événements pertinents en fonction des niveaux de gravité et des catégories.

Automatisation et stratégies de conservation

L’automatisation peut faciliter considérablement l’analyse des journaux, en particulier dans les environnements comportant un grand nombre de clients ou d’appareils. Vous pouvez utiliser des scripts PowerShell pour analyser les journaux de plusieurs clients, identifier les schémas récurrents et générer des rapports qui fournissent des informations sur l’état du système.

De plus, vous devez établir des stratégies de conservation claires afin d’équilibrer les coûts de stockage et les besoins d’analyse, en tenant compte des exigences réglementaires et du niveau de service. Documenter les procédures de gestion des journaux afin de garantir des pratiques cohérentes au sein de votre entreprise.

La mise en œuvre de ces bonnes pratiques vous aidera à mieux comprendre comment lire les journaux d’événements Windows et à surveiller, gérer et analyser efficacement les journaux d’événements, afin de garantir le bon fonctionnement de vos systèmes et de minimiser les problèmes potentiels.

Grâce à la plateforme de gestion des terminaux de NinjaOne, vous disposez des outils nécessaires pour optimiser la surveillance des journaux, résoudre les problèmes d’arrêt et assurer une surveillance proactive du système, le tout dans une solution centralisée. Commencez dès maintenant un essai gratuit de NinjaOne pour améliorer la gestion de vos terminaux et assurer le bon fonctionnement de vos systèmes.

Pour aller plus loin

Pour créer une équipe informatique efficace et performante, il est essentiel d’avoir une solution centralisée qui joue le rôle de nœud principal pour vos services. NinjaOne permet aux équipes informatiques de surveiller, gérer, sécuriser et prendre en charge tous les appareils, où qu’ils soient, sans avoir besoin d’une infrastructure complexe sur site.

Pour en savoir plus sur NinjaOne Endpoint Management, participez à une visite guidée, ou profitez d’un essai gratuit de la plateforme NinjaOne.

Essai Gratuit

Vous pourriez aussi aimer

How to manage virtual memory pagefile blog banner image

Comment gérer le fichier de pagination de la mémoire virtuelle dans Windows 10 ?

How to Import or Export Google Chrome Bookmarks as HTML in Windows blog banner image

Comment importer ou exporter les favoris de Google Chrome au format HTML dans Windows

How to enable or disable virtual memory pagefile encryption in windows 10 blog banner image

Comment activer ou désactiver le chiffrement des fichiers de pagination de la mémoire virtuelle dans Windows 10 ?

How to Enable or Disable the Microphone in Windows blog banner image

Comment activer ou désactiver le microphone dans Windows

How to enable or disable

Comment configurer les journaux de démarrage dans Windows, ainsi que l’activation et la désactivation

How to Apply Local Group Policy to Non-Administrators in Windows 11 & 10 blog banner image

Comment appliquer une stratégie de groupe locale aux utilisateurs non administrateurs dans Windows 11 et 10

Prêt à devenir un Ninja de l’informatique ?

Découvrez comment NinjaOne peut vous aider à simplifier les opérations informatiques.
Essayez NinjaOne gratuitement
Voir une démonstration
×

Voir NinjaOne en action !

En soumettant ce formulaire, j'accepte la politique de confidentialité de NinjaOne.

Termes et conditions NinjaOne

En cliquant sur le bouton “J’accepte” ci-dessous, vous indiquez que vous acceptez les termes juridiques suivants ainsi que nos conditions d’utilisation:

  • Droits de propriété: NinjaOne possède et continuera de posséder tous les droits, titres et intérêts relatifs au script (y compris les droits d’auteur). NinjaOne vous accorde une licence limitée pour l’utilisation du script conformément à ces conditions légales.
  • Limitation de l’utilisation: Les scripts ne peuvent être utilisés qu’à des fins personnelles ou professionnelles internes légitimes et ne peuvent être partagés avec d’autres entités.
  • Interdiction de publication: Vous n’êtes en aucun cas autorisé à publier le script dans une bibliothèque de scripts appartenant à, ou sous le contrôle d’un autre fournisseur de logiciels.
  • Clause de non-responsabilité: Le texte est fourni “tel quel” et “tel que disponible”, sans garantie d’aucune sorte. NinjaOne ne promet ni ne garantit que le script sera exempt de défauts ou qu’il répondra à vos besoins ou attentes particulières.
  • Acceptation des risques: L’utilisation du script est sous votre propre responsabilité. Vous reconnaissez qu’il existe certains risques inhérents à l’utilisation du script, et vous comprenez et assumez chacun de ces risques.
  • Renonciation et exonération de responsabilité: Vous ne tiendrez pas NinjaOne pour responsable des conséquences négatives ou involontaires résultant de votre utilisation du script, et vous renoncez à tout droit ou recours légal ou équitable que vous pourriez avoir contre NinjaOne en rapport avec votre utilisation du script.
  • EULA: Si vous êtes un client de NinjaOne, votre utilisation du script est soumise au contrat de licence d’utilisateur final qui vous est applicable (End User License Agreement (EULA)).
J'accepte