Le journal des événements Windows est une fonctionnalité intégrée au système d’exploitation Microsoft Windows qui enregistre et stocke divers événements liés au système, à la sécurité et aux applications qui se produisent sur un ordinateur.

Ces événements peuvent inclure des erreurs, des avertissements et des messages d’information. Grâce à ce journal, les administrateurs peuvent résoudre les problèmes, surveiller l’état du système et suivre l’activité des utilisateurs.

Le journal des événements Windows est organisé en trois catégories principales :

Système, Application et Sécurité.

Le journal des applications contient les événements liés aux applications et aux services, tandis que le journal du système comprend les événements associés aux composants et aux pilotes du système. Les sessions de connexion, les tentatives de connexion infructueuses et les autres incidents liés à la sécurité sont documentés dans le journal de sécurité.

Les entrées de ce journal des événements Windows comprennent des informations détaillées telles que la date et l’heure auxquelles l’événement s’est produit, la source de l’événement et tout code d’erreur pertinent.

Importance du journal des événements Windows

Le rôle de la surveillance du journal des événements est crucial pour les ingénieurs système et réseau, car il leur permet de rester informés des problèmes, des activités illégales, des pannes de réseau et d’autres questions clés qui peuvent survenir à l’intérieur d’un ordinateur.

Il fournit des détails complets sur chaque événement, y compris son origine, son nom d’utilisateur, son niveau de sensibilité et d’autres informations. Ces informations peuvent être très utiles pour identifier et résoudre les défaillances structurelles, ainsi que pour prévoir les problèmes à venir sur la base de modèles de données.

Les administrateurs de réseau peuvent découvrir et traiter efficacement les problèmes avant qu’ils ne deviennent sérieux en gardant un œil sur les journaux d’événements. Cela peut permettre d’économiser beaucoup de temps et d’efforts lors de la recherche et de la résolution du problème. Cela peut contribuer à garantir que les systèmes restent sûrs, fiables et performants.

Comment accéder au journal des événements de Windows ?

#1. En utilisant l’interface graphique

Étape 1 – Ouvrez le menu Démarrer et recherchez “Observateur d’événements”.

Étape 2 – Cliquez sur l’application Event Viewer pour l’ouvrir.

Étape 3 – Dans le panneau le plus à gauche, vous verrez une liste de journaux d’événements. Choisissez l’option Journaux Windows, puis cliquez sur le journal souhaité pour l’afficher.

event-Viewer-1

Étape 4 – Dans le panneau du milieu, vous pouvez voir une liste d’événements pour le journal sélectionné. Vous pouvez utiliser les options de filtrage sur le côté droit de l’écran pour réduire les événements qui vous intéressent.

filterlogs

Étape 5 – Pour afficher les détails d’un événement, double-cliquez dessus. Cela ouvrira la boîte de dialogue Propriétés de l’événement, qui contient des informations détaillées sur l’ID de l’événement, la source, le niveau de gravité, la date et l’heure, le nom de l’utilisateur, le nom de l’ordinateur et la description.

eventviewer_dialogbox

Étape 6 – Vous pouvez utiliser les options de menu et la barre d’outils en haut de l’écran pour effectuer diverses actions telles que l’enregistrement et l’effacement des journaux, la création de vues personnalisées et le filtrage des événements.

#2. Utilisation de l’invite de commande

Vous pouvez accéder au journal des événements Windows à l’aide de l’invite de commande ou de PowerShell en utilisant la commande“wevtutil“. Voici quelques exemples.

  • Pour afficher tous les événements du journal Système
wevtutil qe System
  • Pour afficher les événements du journal des applications
wevtutil qe Application

La sortie peut ressembler à ceci.

wevtutilapplication
  • Pour afficher tous les événements du journal de sécurité
wevtutil qe Sécurité
  • Pour afficher les événements d’une source spécifique dans le journal du système.
wevtutil qe System /f:text /c:1 /rd:true /q : "*[System[Provider[@Name='nom_source']]]"

Ici, vous devez remplacer “nom_source” par le nom de la source d’événements que vous souhaitez visualiser.

  • Pour exporter les événements d’un journal vers un fichier
wevtutil epl System C:\Logs\SystemLog.evtx
systemlog

Remplacez “System” par le nom du journal que vous souhaitez exporter, et“C:\Logs\SystemLog.evtx” par le chemin et le nom de fichier où vous souhaitez enregistrer le journal exporté.

#3. Utilisation de Run

Vous pouvez également accéder au journal des événements Windows à l’aide de la boîte de dialogue Exécuter de Windows. Voici comment procéder :

Étape 1 – Appuyez sur latouche “Windows R” de votre clavier pour ouvrir la boîte de dialogue Exécuter.

Étape 2 – Tapez“eventvwr.msc” dans la boîte de dialogue Exécuter et appuyez sur Entrée.

runcommand5

Étape 3 – L’utilitaire Event Viewer s’ouvre et affiche la fenêtre principale de la console.

eventlog

Étape 4 – Dans la partie gauche de la fenêtre de la console, vous pouvez développer le dossier“Journaux Windows” pour voir les journaux du système, des applications, de la sécurité, de l’installation et autres.

logview

Étape 5 – Cliquez sur le journal qui vous intéresse pour en afficher le contenu dans le panneau de droite. Vous pouvez filtrer et trier les événements, créer des vues personnalisées et les enregistrer pour une utilisation ultérieure.

Quand utiliser ces journaux d’événements ?

En règle générale, vous pouvez utiliser le journal des événements Windows chaque fois que vous avez besoin de surveiller, de dépanner ou d’auditer des événements sur un système Windows. Voici quelques situations spécifiques dans lesquelles vous pouvez l’utiliser.

Contrôle de l’état du système

Le journal des événements Windows peut fournir des informations précieuses sur les erreurs, les avertissements et les problèmes de performance du système, ce qui vous permet de surveiller et de maintenir la santé de votre système de manière proactive.

Résolution des problèmes

Lorsque vous rencontrez un problème sur un système Windows, le journal des événements peut fournir une indication sur la cause et vous aider à diagnostiquer le problème. En analysant les journaux d’événements, vous pouvez facilement identifier la cause première d’un problème et prendre des mesures pour le résoudre.

Audit et suivi de l’activité des utilisateurs

Le journal de sécurité du journal des événements peut être utilisé pour suivre les connexions des utilisateurs, les déconnexions, les tentatives de connexion infructueuses et d’autres événements liés à la sécurité, ce qui peut vous aider à identifier les menaces potentielles pour la sécurité et à prendre les mesures qui s’imposent.

Rapports de conformité

De nombreux cadres réglementaires tels que HIPAA, PCI-DSS et GDPR exigent que les organisations conservent des journaux d’événements et fournissent des rapports réguliers. Le journal des événements Windows peut être utilisé pour répondre à ces exigences de conformité.

Comment lire ces journaux d’événements ?

Au début, il peut être difficile de lire le journal des événements Windows, mais avec un peu de pratique et de familiarité, il devient plus facile de comprendre les données qu’il fournit. Voici quelques étapes générales à suivre pour lire le journal des événements de Windows.

#1. Ouvrez le journal des événements

La première étape consiste à ouvrir le journal des événements. Vous pouvez y accéder en utilisant l’une des méthodes mentionnées ci-dessus.

#2. Naviguez vers le journal approprié

Il existe plusieurs journaux dans l’Observateur d’événements, notamment les journaux d’application, de système, de sécurité et d’installation. Chaque journal contient différents types d’événements. Sélectionnez le journal qui contient les événements que vous souhaitez visualiser.

#3. Filtrer les événements

Vous pouvez filtrer les événements en fonction du niveau de gravité, de la source de l’événement, de la plage de dates et d’autres critères. Cela peut vous aider à réduire les événements qui vous intéressent.

#4. Afficher les détails de l’événement

Examinez attentivement chaque événement pour en voir les détails, notamment l’ID de l’événement, la source, le niveau de gravité, la date et l’heure, le nom de l’utilisateur, le nom de l’ordinateur et la description. Ces informations peuvent vous aider à identifier la cause de l’événement et à prendre les mesures appropriées.

#5. Utiliser les propriétés des événements

De nombreux événements possèdent des propriétés supplémentaires qui fournissent plus d’informations sur l’événement.

Par exemple, un événement de sécurité peut avoir des propriétés telles que le type de connexion, le processus de connexion et le paquet d’authentification. Ces propriétés peuvent vous aider à comprendre le contexte de l’événement et son importance.

#5. Analysez les modèles

Essayez toujours de trouver des modèles dans les événements afin d’identifier les problèmes récurrents ou les tendances. Par exemple, si vous observez une série d’erreurs de disque, cela peut indiquer un problème au niveau du matériel ou de la configuration du disque.

Niveaux de gravité des événements Windows

Le journal des événements Windows utilise des niveaux de gravité pour classer les événements en fonction de leur importance ou de leur impact sur le système. Il existe cinq niveaux de gravité dans le journal des événements Windows, énumérés ci-dessous du plus élevé au moins élevé :

  • Critique : ce niveau de gravité est réservé aux événements qui indiquent une défaillance critique du système ou de l’application nécessitant une attention immédiate. Il peut s’agir, par exemple, d’une panne du système, d’une défaillance matérielle majeure ou d’une erreur d’application critique.
  • Erreur : Ce niveau est utilisé pour les événements qui indiquent un problème grave nécessitant une attention particulière, mais pas nécessairement une action immédiate. Les exemples les plus courants sont les pannes d’application, les défaillances de la connectivité réseau et les erreurs de disque.
  • Avertissement : Il indique un problème potentiel que les administrateurs système doivent surveiller, notamment les avertissements de manque d’espace disque et les violations de la politique de sécurité.
  • Verbeux : Il est utilisé pour les événements qui fournissent des informations détaillées sur l’activité du système ou de l’application, généralement à des fins de dépannage ou de débogage.
  • Information : Elle indique que tout s’est déroulé sans problème. Presque tous les journaux contiennent des événements d’information.

Ces niveaux de gravité permettent aux administrateurs et aux analystes système d’identifier rapidement les problèmes critiques qui nécessitent une attention particulière et de hiérarchiser leur réponse en conséquence.