L'observateur d'événements est un élément important de Windows puisqu'il permet de visualiser les informations importantes du système d'exploitation : comme les plantages, si un périphérique ne fonctionne pas bien etc.
Cela peut aider à diagnostiquer les éventuels problèmes en cas de crashs ou comportements anormaux de l'ordinateur.
Voir aussi l'article : L’observateur d’évènements.
PRESENTATION :
- Qu'est ce que l'observateur d'événement ?
- L'observateur d'événement est un outil qui permet de surveiller la majorité des actions (événements) que consigne votre système d'exploitation (Windows) lors de son exécution.
- La quasi-totalité des événements effectués par Windows sont stockés dans différents journaux et selon différents niveaux de gravité.
- Les types de Journaux (1)
- Application : contient les événements enregistrés par les programmes ou les applications.
- Sécurité : contient les événements liés aux tentatives d'ouverture de session des différents utilisateurs (services dit d'audit) et tout autre événements en rapport avec l'utilisation d'une ressource : Création - Suppression - Ouverture de fichiers
- Système : contient les événements enregistrés par tous les composants systèmes (services Windows) , par exemple : une erreur au démarrage lors du chargement du driver d'un composant
- Description des types d'événement (2)
- Information : Événement qui décrit le fonctionnement correct d'un service, d'une application ou même d'un pilote.
(D'une manière générale lorsqu'on consulte l'observateur d'événement, cela est dû à cause d'un souci et donc les Informations ne sont guère utiles) - Avertissement : Événement qui pourrait amener à un problème ultérieur.
- Erreur : Événement qui décrit une erreur importante
- Audit des succès : Tentative d'accès de sécurité auditée ayant réussi (Journal de sécurité)
- Audit des échecs : Tentative d'accès de sécurité auditée ayant échoué (Journal de sécurité)
- Information : Événement qui décrit le fonctionnement correct d'un service, d'une application ou même d'un pilote.
- Dénomination & Emplacement des journaux :
- Les fichiers journaux (Extension .evt) se trouvent dans le dossier
Code : Tout sélectionner
%SystemRoot%\System32\Config
- Les différents noms des journaux sont :
- AppEvent.evt : Journal Application
- SecEvent.evt : Journal Sécurité
- SysEvent.evt : Journal Système
- Les fichiers journaux (Extension .evt) se trouvent dans le dossier
- Comment lancer l'observateur d'événements
- Pour lancer l'observateur d'événements, deux possibilités s'offrent à vous :
- Soit en passant par panneau de configuration :
- Icône Outils d'administration
- Cliquer enfin sur l'icône observateur d'événements
- Soit en lançant directement le programme :
- Cliquer Démarrer / Exécuter (ou le raccourci touche Windows + R)
- Saisir %SystemRoot%\system32\eventvwr.msc puis cliquer OK
- Soit en passant par panneau de configuration :
- Pour lancer l'observateur d'événements, deux possibilités s'offrent à vous :
- Interprétation d'un événement
La liste des divers événements se décompose en 8 informations :
- Type : Type de l'erreur en fonction de son niveau de gravité (information / avertissement / erreur)
- Date : Date à laquelle est survenue l'événement
- Heure : Heure à laquelle est survenue l'événement
Ces 2 informations sont importantes et permettent de cibler avec exactitude quand le plantage est arrivé. De plus si parfois vous avez du mal à faire le rapprochement entre l'événement inscrit dans le journal et le plantage dont vous avez été victime, la date et l'heure sont un bon moyen pour s'y retrouver.
Donc prenez l'habitude, lors d'un dysfonctionnement de noter la date et l'heure. - Source : Nom de l'application qui a causé la création de l'événement ou nom du composant système (pilote) dans le cas d'une erreur de chargement de driver.
- Catégorie : Niveau de gravité défini par la source qui a provoqué l'événement.
- Evénement (ID) : Numéro identifiant le type de l'événement, peut être traduit par clé de l'événement.
Important : Si vous contactez le support Microsoft ou si vous demandez de l'aide sur un forum informatique, il vous sera automatiquement demandé les valeurs des champs ID de l'événement et Source. Ces 2 données permettent aux personnes habilités de cibler le problème. - Utilisateur : Nom de l'utilisateur qui est à l'origine de l'événement. N/A pour non applicable, System ou le nom de l'utilisateur
- Ordinateur : Nom de l'ordinateur sur lequel s'est produit l'événement.
- Comment résoudre un problème
L'observateur d'événement a pour but de vous aider à résoudre les problèmes liés à l'utilisation de votre PC ou tout du moins identifier la source du problème.
Même si les événements de type Avertissement ne causent pas d'erreur directe, ils sont néanmoins importants car peuvent vous permettre d'anticiper un futur souci.
Il est donc important de regarder de temps en temps sur quel sujet l'événement a été créé.
Par contre les événements de type Erreur sont une aide majeure dans l'identification voir la résolution d'un problème.
Prenons un cas concret : Windows Update propose une mise à jour d'Office,
Le téléchargement puis l'installation débutent.
L'installation se finalise et là, catastrophe, celle du Service Pack 3 d'Office a échouée
Que faire ? un petit tour dans l'observateur d'événements histoire de voir ce qui a bien pu se passer. Le journal application signale 5 événements
Le journal système lui, annonce 8 événements, 7 d'information (donc bon signe) mais une erreur (ligne encadrée en bleu) !
Pour afficher le détail d'un événement, il suffit de double-cliquer sur la ligne désirée.
Donc un double-clic sur une des lignes d'information dans le journal Application nous informe que l'installation du Viewer Power Point 2007 SP1 a réussie
Note : Le bouton de copie (1) permet de copier l'entièreté de la fenêtre active dans un format texte, cela permet lors d'un dépannage sur un forum informatique, par exemple, de pouvoir poster facilement le message que vous avez sous les yeux, dans une réponse à la demande d'un helper.
Maintenant, il faut trouver ce qui ne s'est pas passé comme il faudrait. Vérifions donc le détail de l'erreur dans le journal en double-cliquant sur la ligne d'erreur
Notons alors ce qui paraît être le plus important soit la source : MsiInstaller et la code erreur : 20
Mais cela ne suffit il faut encore plus de détails, donc cliquons sur le lien proposé
Quelle que soit l'origine du message, le lien pour plus de détail est toujours le même :
Une fenêtre de confirmation d'envoi d'information apparaît. Il est possible de cocher la ligne "Ne plus poser cette question" si vous ne voulez plus voir apparaître cette fenêtre ultérieurement.Code : Tout sélectionner
http://go.microsoft.com/fwlink/events.asp
Validons le tout en cliquant sur Oui
Encore une fois et c'est un manque de chance total, le support Microsoft ne propose aucune solution complémentaire pour régler le problème.
Cependant la description de l'erreur annonce un code 0x80070643 qui peut s'avérer être utile.
Une petite recherche sur Google permet alors de tomber sur cette page du support Microsoft et de résoudre son problème.
Pour les problèmes matériels et lenteurs se repoter à ces deux liens : - Gestion des journaux
- Pour effectuer une action sur un journal il faut faire un clic-droit sur le journal concerné
- Liste des actions que vous pouvez effectuer sur un journal :
- Ouvrir un fichier journal, permet de lire et d'afficher le contenu d'un journal
- Enregistrer le fichier journal sous, permet de sauvegarder le fichier journal
- Nouvel affichage du journal, permet de dupliquer à l'identique un journal
- Effacer tous les événements, permet de vider complètement un journal
- Affichage
- Ajouter / Supprimer des colonnes
- Tous les enregistrement, permet d'afficher la totalité des événements d'un journal
- Filtrer, permet la sélection et/ou l'omission pour l'affichage de divers événements par leur type, source, catégories, ID, Utilisateur, tranche de dates & heures ...
- Plus récents / plus anciens d'abord, permet de modifier l'ordre de tri pour l'affichage du journal (par ordre croissant/décroissant de date et heure)
- Rechercher, permet de localiser un événement précis d'après certains critères
- Personnaliser, permet de définir l'interface de l'observateur d'événements
- Renommer, permet de modifier le nom du journal
- Actualiser, rafraichis et affiche la sélection en cours des événements
- Exporter la liste, permet de sauvegarder le journal dans un fichier texte ou CSV (Séparateur : virgule ou tabulation)
- Propriétés, permet d'afficher toutes les propriétés du journal et effectuer certaines manipulations :
- Modifier sa taille
- Définir le type d'épuration des événements à effectuer quand le fichier a atteint sa taille maximale
- Réinitialiser les paramètres par défaut
- Effacer le journal
- Filtrer les événements du journal