Le journal des événements Windows est un enregistrement détaillé des notifications système, de sécurité et d’application stockées par le système d’exploitation Windows qui est utilisé par les administrateurs pour diagnostiquer les problèmes système et prédire les problèmes futurs.
Les applications et le système d’exploitation utilisent ces journaux d’événements pour enregistrer les actions matérielles et logicielles importantes que l’administrateur peut utiliser pour résoudre les problèmes avec le système d’exploitation. Le système d’exploitation Windows suit des événements spécifiques dans ses fichiers journaux, tels que les installations d’applications, la gestion de la sécurité, les opérations de configuration du système au démarrage initial et les problèmes ou erreurs.
Les éléments d’un journal d’événements Windows
Chaque événement d’une entrée de journal contient les informations suivantes :
Date : La date à laquelle l’événement s’est produit.
Heure : L’heure à laquelle l’événement s’est produit.
Utilisateur : Nom d’utilisateur de l’utilisateur connecté à la machine lorsque l’événement s’est produit.
Ordinateur : Nom de l’ordinateur.
ID D’événement: Un numéro d’identification Windows qui spécifie le type d’événement.
Source : Le programme ou le composant à l’origine de l’événement.
Type : Le type d’événement, y compris les informations, les avertissements, les erreurs, l’audit de réussite de la sécurité ou l’audit de défaillance de la sécurité.
Par exemple, un événement d’information peut apparaître comme suit :
Information 16/05/2018 8:41:15 AM Service Control Manager 7036 Aucun
Un événement d’avertissement peut ressembler à :
Avertissement 5/11/2018 10:29:47 AM Kernel-Event Tracing 1 Logging
Par comparaison, un événement d’erreur peut apparaître comme suit :
Erreur 5/16/2018 8:41h15 Service Control Manager 7001 Aucun
Un événement critique peut ressembler à :
Critique 5/11/2018 8:55:02 AM Kernel-Power 41 (63)
Le type d’informations stockées dans les journaux d’événements Windows
Le système d’exploitation Windows enregistre les événements dans cinq domaines : application, sécurité, configuration, système et événements transférés. Windows stocke les journaux d’événements dans le C:\WINDOWS\system32\config \ dossier.
Les événements d’application se rapportent à des incidents avec le logiciel installé sur l’ordinateur local. Si une application telle que Microsoft Word se bloque, le journal des événements Windows créera une entrée de journal sur le problème, le nom de l’application et la raison pour laquelle il s’est écrasé.
Les événements de sécurité stockent des informations basées sur les stratégies d’audit du système Windows, et les événements typiques stockés incluent les tentatives de connexion et l’accès aux ressources. Par exemple, le journal de sécurité stocke un enregistrement lorsque l’ordinateur tente de vérifier les informations d’identification du compte lorsqu’un utilisateur tente de se connecter à une machine.Les événements de configuration
comprennent les événements axés sur l’entreprise liés au contrôle des domaines, tels que l’emplacement des journaux après une configuration de disque.
Les événements système se rapportent à des incidents sur des systèmes spécifiques à Windows, tels que l’état des pilotes de périphériques.
Les événements transférés arrivent d’autres machines sur le même réseau lorsqu’un administrateur souhaite utiliser un ordinateur qui rassemble plusieurs journaux.
Utilisation de l’Observateur d’événements
Microsoft inclut l’Observateur d’événements dans son système d’exploitation Windows Server et client pour afficher les journaux d’événements Windows. Les utilisateurs accèdent à l’Observateur d’événements en cliquant sur le bouton Démarrer et en entrant l’Observateur d’événements dans le champ de recherche. Les utilisateurs peuvent ensuite sélectionner et inspecter le journal souhaité.
Windows classe chaque événement avec un niveau de gravité. Les niveaux par ordre de gravité sont les informations, les avertissements, les erreurs et les critiques.
La plupart des journaux sont constitués d’événements basés sur des informations. Les journaux avec cette entrée signifient généralement que l’événement s’est produit sans incident ni problème. Un exemple d’événement d’information basé sur le système est l’événement 42, Alimentation du noyau, qui indique que le système entre en mode veille.
Les événements de niveau d’avertissement sont basés sur des événements particuliers, tels qu’un manque d’espace de stockage. Les messages d’avertissement peuvent attirer l’attention sur des problèmes potentiels qui pourraient ne pas nécessiter d’action immédiate. L’événement 51, Disk est un exemple d’avertissement basé sur le système lié à une erreur de pagination sur le lecteur de la machine.
Un niveau d’erreur indique qu’un appareil n’a peut-être pas réussi à se charger ou à fonctionner normalement. L’événement 5719, NETLOGON est un exemple d’erreur système lorsqu’un ordinateur ne peut pas configurer une session sécurisée avec un contrôleur de domaine.
Les événements de niveau critique indiquent les problèmes les plus graves. L’ID d’événement 41, Kernel-Power est un exemple d’événement système critique lorsqu’une machine redémarre sans arrêt propre.
Autres outils pour afficher les journaux d’événements Windows
Microsoft fournit également l’utilitaire de ligne de commande wevtutil dans le dossier System32 qui récupère les journaux d’événements, exécute les requêtes, exporte les journaux, archive les journaux et efface les journaux.
Les utilitaires tiers qui fonctionnent également avec les journaux d’événements Windows incluent le gestionnaire d’événements SolarWinds Log &, qui fournit une corrélation et une correction des événements en temps réel, une surveillance de l’intégrité des fichiers, une surveillance des périphériques USB et une détection des menaces. Log & Event Manager collecte automatiquement les journaux des serveurs, des applications et des périphériques réseau.
ManageEngine EventLog Analyzer crée des rapports personnalisés à partir de données de journal et envoie des messages texte et des alertes par e-mail en temps réel en fonction d’événements spécifiques.
Utilisation de PowerShell pour interroger des événements
Microsoft crée des journaux d’événements Windows au format XML (extensible markup language) avec une extension EVTX. XML fournit des informations plus granulaires et un format cohérent pour les données structurées.
Les administrateurs peuvent créer des requêtes XML compliquées avec l’applet de commande Get-WinEvent PowerShell pour ajouter ou exclure des événements d’une requête.