Le journal des événements Windows est une fonctionnalité intégrée du système d’exploitation Microsoft Windows qui enregistre et stocke divers événements système, de sécurité et d’application qui se produisent sur un ordinateur.
Ces événements peuvent inclure des erreurs, des avertissements et des messages d’information. À l’aide de ce journal des événements, les administrateurs peuvent résoudre les problèmes, surveiller l’intégrité du système et suivre l’activité des utilisateurs.
Le journal des événements Windows est organisé en trois catégories principales :
Système, application et sécurité.
Le journal des applications contient des événements liés aux applications et aux services, tandis que le journal système comprend des événements associés aux composants et pilotes du système. Les sessions de connexion, les tentatives de connexion infructueuses et les autres incidents liés à la sécurité sont documentés dans le journal de sécurité.
Les entrées du journal des événements Windows incluent des informations détaillées telles que la date et l’heure auxquelles l’événement s’est produit, la source de l’événement et tous les codes d’erreur pertinents.
Table des matières
Importance du journal des événements Windows
Le rôle de la surveillance du journal des événements est crucial pour les ingénieurs système et réseau, car il leur permet de rester informés de tout problème, activité illégale, panne de réseau et autres problèmes clés pouvant survenir à l’intérieur d’un ordinateur.
Il fournit des détails complets sur chaque événement, y compris son origine, son nom d’utilisateur, son niveau de sensibilité et d’autres informations. Ces informations peuvent être très utiles pour identifier et résoudre les défaillances structurelles, ainsi que pour prévoir les défis à venir en fonction des modèles de données.
Les administrateurs réseau peuvent découvrir et gérer efficacement les problèmes avant qu’ils ne deviennent sérieux en gardant un œil sur les journaux d’événements. Cela pourrait éventuellement économiser beaucoup de temps et d’efforts lors de l’enquête et de la résolution du problème. Cela peut aider à garantir que les systèmes continuent d’être sûrs, fiables et performants.
Comment accéder au journal des événements Windows ?
#1. Utilisation de l’interface graphique
Étape 1 – Ouvrez le menu Démarrer et recherchez « Observateur d’événements ».
Étape 2 – Cliquez sur l’application Observateur d’événements pour l’ouvrir.
Étape 3 – Dans le panneau le plus à gauche, vous verrez une liste des journaux d’événements. Choisissez l’option Journaux Windows, puis cliquez sur le journal souhaité pour l’afficher.
Étape 4 – Dans le panneau du milieu, vous pouvez voir une liste d’événements pour le journal sélectionné. Vous pouvez utiliser les options de filtrage sur le côté droit de l’écran pour affiner les événements qui vous intéressent.
Étape 5 – Pour afficher les détails d’un événement, double-cliquez dessus. Cela ouvrira la boîte de dialogue Propriétés de l’événement, qui contient des informations détaillées sur l’ID de l’événement, la source, le niveau de gravité, la date et l’heure, le nom d’utilisateur, le nom de l’ordinateur et la description.
Étape 6 – Vous pouvez utiliser les options de menu et la barre d’outils en haut de l’écran pour effectuer diverses actions telles que l’enregistrement et la suppression des journaux, la création de vues personnalisées et le filtrage des événements.
#2. Utilisation de l’invite de commande
Vous pouvez accéder au journal des événements Windows à l’aide de l’invite de commande ou de PowerShell à l’aide de la commande « wevtutil ». Voici quelques exemples.
- Pour afficher tous les événements dans le journal système
wevtutil qe System
- Pour afficher les événements dans le journal des applications
wevtutil qe Application
La sortie peut ressembler à ceci.
- Pour afficher tous les événements dans le journal de sécurité
wevtutil qe Security
- Pour afficher les événements d’une source spécifique dans le journal système.
wevtutil qe System /f:text /c:1 /rd:true /q:"*[System[Provider[@Name="source_name"]]]"
Ici, vous devez remplacer « source_name » par le nom de la source d’événement que vous souhaitez afficher.
- Pour exporter des événements d’un journal vers un fichier
wevtutil epl System C:LogsSystemLog.evtx
Remplacez « Système » par le nom du journal que vous souhaitez exporter et « C:LogsSystemLog.evtx » par le chemin et le nom du fichier où vous souhaitez enregistrer le journal exporté.
#3. Utiliser Exécuter
Vous pouvez également accéder au journal des événements Windows à l’aide de la boîte de dialogue Exécuter de Windows. Voici comment:
Étape 1 – Appuyez sur la « touche Windows + R » de votre clavier pour ouvrir la boîte de dialogue Exécuter.
Étape 2 – Tapez « eventvwr.msc » dans la boîte de dialogue Exécuter et appuyez sur Entrée.
Étape 3 – L’utilitaire Observateur d’événements s’ouvrira et affichera la fenêtre principale de la console.
Étape 4 – Dans la fenêtre de la console de gauche, vous pouvez développer le dossier « Windows Logs » pour voir le système, l’application, la sécurité, la configuration et d’autres journaux.
Étape 5 – Cliquez sur le journal dont vous souhaitez afficher le contenu dans le panneau de droite. Vous pouvez filtrer et trier les événements ainsi que créer des vues personnalisées et les enregistrer pour une utilisation future.
Quand utiliser ces journaux d’événements ?
En règle générale, vous pouvez utiliser le journal des événements Windows chaque fois que vous devez surveiller, dépanner ou auditer des événements sur un système Windows. Voici quelques situations spécifiques où vous pourriez l’utiliser.
Surveillance de la santé du système
Le journal des événements Windows peut fournir des informations précieuses sur les erreurs système, les avertissements et les problèmes de performances, ce qui vous permet de surveiller et de maintenir de manière proactive la santé de votre système.
Dépannage des problèmes
Lorsque vous rencontrez un problème sur un système Windows, le journal des événements peut fournir une indication de la cause et vous aider à diagnostiquer le problème. En analysant les journaux d’événements, vous pouvez facilement identifier la cause première d’un problème et prendre des mesures pour le résoudre.
Audit et suivi de l’activité des utilisateurs
Le journal de sécurité dans le journal des événements peut être utilisé pour suivre les connexions des utilisateurs, les déconnexions, les tentatives de connexion infructueuses et d’autres événements liés à la sécurité, ce qui peut vous aider à identifier les menaces de sécurité potentielles et à prendre les mesures appropriées.
Rapports de conformité
De nombreux cadres réglementaires tels que HIPAA, PCI-DSS et GDPR exigent que les organisations maintiennent des journaux d’événements et fournissent des rapports réguliers. Le journal des événements Windows peut être utilisé pour répondre à ces exigences de conformité.
Comment lire ces journaux d’événements ?
Il peut être un peu difficile de lire le journal des événements Windows au début, mais avec suffisamment de pratique et de familiarité, il devient plus simple de comprendre les données qu’il fournit. Voici quelques étapes générales à suivre lors de la lecture du journal des événements Windows.
#1. Ouvrir le journal des événements
La première étape consiste à ouvrir le journal des événements. Vous pouvez y accéder en utilisant l’une des méthodes mentionnées ci-dessus.
#2. Accédez au journal approprié
Il existe plusieurs journaux dans l’Observateur d’événements, notamment les journaux Application, Système, Sécurité et Configuration. Chaque journal contient différents types d’événements. Sélectionnez le journal contenant les événements que vous souhaitez afficher.
#3. Filtrer l’événement
Vous pouvez filtrer les événements par niveau de gravité, source d’événement, plage de dates et autres critères. Cela peut vous aider à cibler les événements qui vous intéressent.
#4. Afficher les détails de l’événement
Examinez attentivement chaque événement pour afficher ses détails, y compris l’ID de l’événement, la source, le niveau de gravité, la date et l’heure, le nom d’utilisateur, le nom de l’ordinateur et la description. Ces informations peuvent vous aider à identifier la cause de l’événement et à prendre les mesures appropriées.
#5. Utiliser les propriétés de l’événement
De nombreux événements ont des propriétés supplémentaires qui fournissent plus d’informations sur l’événement.
Par exemple, un événement de sécurité peut avoir des propriétés telles que le type de connexion, le processus de connexion et le package d’authentification. Ces propriétés peuvent vous aider à comprendre le contexte de l’événement et sa signification.
#5. Analyser les modèles
Essayez toujours de rechercher des modèles dans les événements pour identifier les problèmes ou les tendances récurrents. Par exemple, si vous voyez une série d’erreurs de disque, cela peut indiquer un problème avec le matériel ou la configuration du disque.
Niveaux de gravité des événements Windows
Le journal des événements Windows utilise des niveaux de gravité pour classer les événements en fonction de leur importance ou de leur impact sur le système. Il existe cinq niveaux de gravité dans le journal des événements Windows, répertoriés ci-dessous, de la gravité la plus élevée à la plus faible :
- Critique : ce niveau de gravité est réservé aux événements indiquant une défaillance critique du système ou de l’application nécessitant une attention immédiate. Les exemples incluent les plantages du système, les pannes matérielles majeures et les erreurs d’application critiques.
- Erreur : Il est utilisé pour les événements qui indiquent un problème sérieux qui nécessite une attention mais pas nécessairement une action immédiate. Certains exemples courants sont les pannes d’application, les échecs de connectivité réseau et les erreurs de disque.
- Avertissement : Cela indique un problème potentiel que les administrateurs système doivent surveiller, y compris les avertissements d’espace disque insuffisant et les violations de la politique de sécurité.
- Verbeux : il est utilisé pour les événements qui fournissent des informations détaillées sur l’activité du système ou de l’application, généralement à des fins de dépannage ou de débogage.
- Information : Cela montre que tout s’est bien passé. Presque tous les journaux incluent des événements d’information.
Ces niveaux de gravité permettent aux administrateurs et aux analystes système d’identifier rapidement les problèmes critiques qui nécessitent une attention et de hiérarchiser leur réponse en conséquence.
Conclusion ✍️
J’espère que vous avez trouvé cet article utile pour en savoir plus sur le journal des événements Windows et son importance. Vous pouvez également être intéressé par les différentes manières de récupérer des données supprimées dans Windows 11.