L’observateur d’événements

Lorsqu’un problème ou un avertissement lié à votre matériel, à vos logiciels ou à votre système survient, Windows enregistre des informations sous la forme d’évènements dans des journaux. Trois types de journaux existent : le journal application, le journal sécurité et le journal système.

  • Le journal Application contient les événements enregistrés par les applications ou les programmes. Par exemple, votre traitement de texte peut enregistrer dans le journal des applications les informations sur une erreur apparue à la fermeture d’un fichier.
  • Le journal Sécurité enregistre les événements tels que les tentatives valides et non valides d’ouverture de session ainsi que les événements liés à l’utilisation d’une ressource, comme la création, l’ouverture ou la suppression de fichiers ou autres objets. Vous pouvez spécifier les types d’événement à enregistrer dans ce journal en mettant en place des audits.
  • Le journal Système contient les événements enregistrés par les composants système de Windows XP : l’échec du chargement d’un pilote par exemple.

A chaque fois que vous rencontrez un problème sous Windows, ouvrez l’Observateur d’événements pour avoir plus d’informations sur ce qui s’est passé.

Exécuter l’Observateur d’évènements

  1. Pour exécuter l’Observateur d’événements, cliquez sur le bouton Démarrer puis sur Panneau de configuration.
  2. Basculez vers l’affichage classique en cliquant sur le lien approprié puis double-cliquez sur l’icône Outils d’administration.
  3. Double-cliquez enfin sur l’icône Observateur d’événements. La console de l’observateur d’événements s’ouvre alors.
  4. Dans le cadre gauche de la fenêtre, cliquez sur le journal que vous souhaitez afficher, Application par exemple. Les événements contenus dans ce journal s’affichent alors dans la partie droite de la fenêtre.

 

Comprendre un évènement

Il existe différents types d’évènements enregistrés dans l’observateur d’évènements.

Type d’événement Description

Erreur

Symbolisé par une croix rouge, les événements de type Erreur concernent les problèmes importants tels qu’une perte de données ou une perte de fonctions.
Par exemple, si un service n’a pas pu être chargé au démarrage, un événement de type Erreur est enregistré.

Avertissement

Les événements de type Avertissement sont représentés par un point d’exclamation noir sur un triangle jaune. Un Avertissement n’est pas nécessairement significatif mais peut annoncer des problèmes qui surviendront ultérieurement.
Par exemple, lors d’une baisse importante de l’espace disque disponible, un événement de type Avertissement est enregistré.

Information

Les événements de type Information décrivent la réussite de l’opération pour une application, un pilote ou un service.
Par exemple, lorsqu’un pilote réseau est chargé correctement, ou alors qu’un service a démarré avec succès.
Audit des succès Affiche les tentatives d’accès de sécurité réussies lors de la mise en place d’une stratégie d’audit.
Par exemple, l’ouverture d’une session par un utilisateur est enregistrée.
Audit des échecs Affiche les tentatives d’accès de sécurité qui ont échoué lors de la mise en place d’une stratégie d’audit.
Par exemple si un utilisateur essaye d’ouvrir une session sans y parvenir, la tentative est enregistrée en tant qu’événement de type Audit des échecs.

Les évènements sont classés par ordre chronologique tout en indiquant la date et l’heure auxquelles ils ont eu lieu. Vous pouvez ainsi identifier rapidement l’évènement correspondant à un problème survenu sur votre ordinateur.

 

  1. Pour avoir plus d’information sur un événement, double-cliquez simplement dessus. Une boîte de dialogue Propriétés de l’événement s’ouvre alors.
  2. Chaque événement est caractérisé par un numéro d’identification : id évèn. Notez bien ce numéro, il pourra vous être utile pour avoir plus d’informations sur les problèmes liés à chaque événement. Notez également l’élément Source qui indique l’application ou le service qui a décelé un problème.
  3. La zone de texte Description vous donne une petite explication de l’événement qui s’est produit. C’est une information importante puisqu’elle vous permet généralement de savoir ce qui s’est passé. Dans notre exemple,le problème provient d’Outlook.

Plus d’informations sur votre problème

Si l’information donnée par l’Observateur d’événement ne vous éclaire pas vraiment sur la cause de votre problème et les moyens de le résoudre, vous pouvez consulter le Centre d’aide et support.

  1. Pour cela, cliquez sur le lien http://go.microsoft.com/fwlink/events.asp qui se trouve à la fin de la zone de texte Description des propriétés de chaque événement.
  2. Après avoir cliqué sur le lien, une boîte de dialogue apparaît. Cliquez sur le bouton Oui afin d’autoriser le programme à envoyer des d’informations relatives à l’événement à Microsoft.
  3. Le Centre d’aide et support s’ouvre alors et affiche le résultat de la recherche concernant votre problème dans la base de connaissance de Microsoft. Il peut toutefois arriver que Microsoft n’ait pas plus d’informations à ce sujet.

Augmenter la taille des journaux

Par défaut, la taille maximale de chaque journal est de 512 Ko, ce qui permet de stocker un millier d’évènements. Lorsque cette taille est atteinte, tous les évènements datant de plus de 7 jours sont remplacés. Or pour suivre précisément les problèmes qui pourraient survenir, mieux vaut pouvoir conserver un historique des évènements courant une période plus large.

  1. Pour cela, dans l’Observateur d’évènements, cliquz avec le bouton droit de la souris sur un journal, Application par exemple puis choisissez la commande Propriétés du menu contextuel qui apparait.
  2. Ouvrez alors l’onglet Général de la fenêtre Propriétés de Application.
  3. Dans la zone Taille de journal, saisissez la taille maximale du journal en Ko, 2048 par exemple (= 2 Mo).
  4. Validez enfin par OK. Vous pouvez alors recommencer l’opération pour les journaux Sécurité et Système.

 

Enregistrer les journaux

Pour analyser ultérieurement vos journaux d’événements, vous pouvez les enregistrer.

  1. Pour cela, l’observateur d’évènements, cliquez avec le bouton droit de la souris sur le journal à sauvegarder puis choisissez la commande Enregistrer le fichier journal sous.
  2. Naviguez ensuite jusqu’au dossier dans lequel vous souhaitez enregistrer votre fichier journal puis saisissez le nom du fichier : Journal Application – 21-06-06, par exemple.
  3. Validez en cliquant sur le bouton Enregistrer.
  4. Par la suite, pour ouvrir un fichier journal, rendez-vous dans l’Observateur d’événements.
  5. Cliquez avec le bouton droit de la souris sur l’élément Observateur d’événements (local) puis cliquez sur Ouvrir un fichier journal.
  6. Sélectionnez alors le fichier journal à ouvrir, sélectionnez son type dans la liste Type de journal : Application, Sécurité, ou bien Système, puis cliquez sur le bouton Ouvrir.
  7. Votre journal enregistré apparaît alors dans l’arborescence de la console. Il vous suffit simplement de cliquer dessus pour afficher les événements qu’il contient.

Travailler plus efficacement avec les évènements

Deux outils vont vous permettre de travailler plus efficacement avec les événements et de trouver facilement l’information que vous cherchez.

Mettre en place un filtre
Vous pouvez tout d’abord mettre un place un filtre, afin de limiter le type d’informations à afficher dans l’Observateur d’événements.

  1. Dans l’observateur d’évènements, cliquez avec le bouton droit de la souris sur le journal dont vous souhaitez filtrer les événements, puis choisissez la commande Propriétés.
  2. Ouvrez ensuite l’onglet Filtrer.
  3. Vous pouvez alors choisir d’afficher uniquement les événements de type Erreur en laissant cochée la case Erreur. Les autres options de filtrage vous permettent de spécifier la source de l’événement, sa catégorie, etc. A vous de saisir les informations appropriées à filtrer.
  4. Validez enfin par OK pour mettre en place le filtre.
  5. Par la suite, pour désactiver le filtrage, retournez dans l’onglet Filtre des Propriétés du journal puis cliquez sur le bouton Paramètres par défaut. Validez par OK

Effectuer une recherche
Pour travailler plus efficacement avec des journaux volumineux, l’outil de recherche vous sera d’une grande utilité.

  1. Sélectionnez tout d’abord le journal dans lequel vous souhaitez effectuer une recherche.
  2. Déroulez ensuite le menu Affichage puis cliquez sur Rechercher.
  3. Dans la boîte de dialogue qui s’ouvre, sélectionnez le type d’information à chercher, la source de l’événement, sa catégorie, son Id, etc.
  4. Cliquez alors sur le bouton Rechercher le suivant pour mettre en surbrillance le premier élément de la liste qui correspond à vos critères. Cliquez de nouveau sur ce bouton pour passer à l’élément suivant.

Source : pcastuces

Laisser un commentaire