Geekflare
Geekflare est soutenu par notre public. Nous pouvons gagner des commissions d'affiliation en achetant des liens sur ce site.
By Ashlin Jenifa in Windows  |  Dernière mise à jour : 20 mars 2023
Partager sur:

Qu'est-ce que le journal des événements Windows ? – Un guide d'introduction

Qu'est-ce-que-Windows-Event-Log
Scanner de sécurité des applications Web Invicti – la seule solution qui offre une vérification automatique des vulnérabilités avec Proof-Based Scanning™.

Le journal des événements Windows est une fonctionnalité intégrée du système d'exploitation Microsoft Windows qui enregistre et stocke divers événements système, de sécurité et d'application qui se produisent sur un ordinateur.

Ces événements peuvent inclure des erreurs, des avertissements et des messages d'information. À l'aide de ce journal des événements, les administrateurs peuvent résoudre les problèmes, surveiller l'intégrité du système et suivre l'activité des utilisateurs.

Le journal des événements Windows est organisé en trois catégories principales :

Système, application et sécurité.

Le journal des applications contient des événements liés aux applications et aux services, tandis que le journal système comprend des événements associés aux composants et pilotes du système. Les sessions de connexion, les tentatives de connexion infructueuses et les autres incidents liés à la sécurité sont documentés dans le journal de sécurité.

Les entrées du journal des événements Windows incluent des informations détaillées telles que la date et l'heure auxquelles l'événement s'est produit, la source de l'événement et tous les codes d'erreur pertinents.

Windows Event Log Importance

Le rôle de la surveillance du journal des événements est crucial pour les ingénieurs système et réseau, car il leur permet de rester informés de tout problème, activité illégale, panne de réseau et autres problèmes clés pouvant survenir à l'intérieur d'un ordinateur.

Il fournit des détails complets sur chaque événement, y compris son origine, son nom d'utilisateur, son niveau de sensibilité et d'autres informations. Ces informations peuvent être très utiles pour identifier et résoudre les défaillances structurelles, ainsi que pour prévoir les défis à venir en fonction des modèles de données.

Les administrateurs réseau peuvent découvrir et gérer efficacement les problèmes avant qu'ils ne deviennent sérieux en gardant un œil sur les journaux d'événements. Cela pourrait éventuellement économiser beaucoup de temps et d'efforts lors de l'enquête et de la résolution du problème. Cela peut aider à garantir que les systèmes continuent d'être sûrs, fiables et performants.

How to Access Windows Event Log?

# 1. Utilisation de l'interface graphique

Étape 1 – Ouvrez le menu Démarrer et recherchez « Observateur d'événements ».

Étape 2 – Cliquez sur l'application Observateur d'événements pour l'ouvrir.

Étape 3 – Dans le panneau le plus à gauche, vous verrez une liste des journaux d'événements. Choisissez l'option Journaux Windows, puis cliquez sur le journal souhaité pour l'afficher.

Observateur d'événements-1

Étape 4 – Dans le panneau du milieu, vous pouvez voir une liste d'événements pour le journal sélectionné. Vous pouvez utiliser les options de filtrage sur le côté droit de l'écran pour affiner les événements qui vous intéressent.

journaux de filtrage

Étape 5 – Pour afficher les détails d'un événement, double-cliquez dessus. Cela ouvrira la boîte de dialogue Propriétés de l'événement, qui contient des informations détaillées sur l'ID de l'événement, la source, le niveau de gravité, la date et l'heure, le nom d'utilisateur, le nom de l'ordinateur et la description.

eventviewer_dialogbox

Étape 6 – Vous pouvez utiliser les options de menu et la barre d'outils en haut de l'écran pour effectuer diverses actions telles que l'enregistrement et l'effacement des journaux, la création de vues personnalisées et le filtrage des événements.

# 2. Utilisation de l'invite de commande

Vous pouvez accéder au journal des événements Windows à l'aide de l'invite de commande ou de PowerShell en utilisant le "wevtutil" commande. Voici quelques exemples.

  • Pour afficher tous les événements dans le journal système
wevtutil qe System
  • Pour afficher les événements dans le journal des applications
wevtutil qe Application

La sortie peut ressembler à ceci.

wevtutilapplication
  • Pour afficher tous les événements dans le journal de sécurité
wevtutil qe Security
  • Pour afficher les événements d'une source spécifique dans le journal système.
wevtutil qe System /f:text /c:1 /rd:true /q:"*[System[Provider[@Name='source_name']]]"

Ici, vous devez remplacer "source_name" par le nom de la source d'événement que vous souhaitez afficher.

  • Pour exporter des événements d'un journal vers un fichier
wevtutil epl System C:\Logs\SystemLog.evtx
journal du système

Remplacez "Système" par le nom du journal que vous souhaitez exporter, et "C:\Logs\SystemLog.evtx” avec le chemin et le nom du fichier où vous souhaitez enregistrer le journal exporté.

# 3. Utiliser Exécuter

Vous pouvez également accéder au journal des événements Windows à l'aide de la boîte de dialogue Exécuter de Windows. Voici comment:

Étape 1 - Appuyez sur la "Touche Windows + R" sur votre clavier pour ouvrir la boîte de dialogue Exécuter.

Étape 2 - Tapez "eventvwr.msc” dans la boîte de dialogue Exécuter et appuyez sur Entrée.

runcommand5

Étape 3 – L'utilitaire Event Viewer s'ouvrira et affichera la fenêtre principale de la console.

eventlog

Étape 4 – Dans la fenêtre de la console de gauche, vous pouvez développer le "journaux Windows” pour voir le système, l'application, la sécurité, la configuration et d'autres journaux.

vue du journal

Étape 5 – Cliquez sur le journal dont vous souhaitez afficher le contenu dans le panneau de droite. Vous pouvez filtrer et trier les événements ainsi que créer des vues personnalisées et les enregistrer pour une utilisation future.

When to use these Event Logs?

En règle générale, vous pouvez utiliser le journal des événements Windows chaque fois que vous devez surveiller, dépanner ou auditer des événements sur un système Windows. Voici quelques situations spécifiques où vous pourriez l'utiliser.

Surveillance de la santé du système

Le journal des événements Windows peut fournir des informations précieuses sur les erreurs système, les avertissements et les problèmes de performances, ce qui vous permet de surveiller et de maintenir de manière proactive la santé de votre système.

Dépannage des problèmes

Lorsque vous rencontrez un problème sur un système Windows, le journal des événements peut fournir une indication de la cause et vous aider à diagnostiquer le problème. En analysant les journaux d'événements, vous pouvez facilement identifier la cause première d'un problème et prendre des mesures pour le résoudre.

Audit et suivi de l'activité des utilisateurs

Le journal de sécurité dans le journal des événements peut être utilisé pour suivre les connexions des utilisateurs, les déconnexions, les tentatives de connexion infructueuses et d'autres événements liés à la sécurité, ce qui peut vous aider à identifier les menaces de sécurité potentielles et à prendre les mesures appropriées.

Rapports de conformité

De nombreux cadres réglementaires tels que HIPAA, PCI-DSS et GDPR exigent que les organisations maintiennent des journaux d'événements et fournissent des rapports réguliers. Le journal des événements Windows peut être utilisé pour répondre à ces exigences de conformité.

How to Read these Event Logs?

Il peut être un peu difficile de lire le journal des événements Windows au début, mais avec suffisamment de pratique et de familiarité, il devient plus simple de comprendre les données qu'il fournit. Voici quelques étapes générales à suivre lors de la lecture du journal des événements Windows.

# 1. Ouvrir le journal des événements

La première étape consiste à ouvrir le journal des événements. Vous pouvez y accéder en utilisant l'une des méthodes mentionnées ci-dessus.

# 2. Accédez au journal approprié

Il existe plusieurs journaux dans l'Observateur d'événements, notamment les journaux Application, Système, Sécurité et Configuration. Chaque journal contient différents types d'événements. Sélectionnez le journal contenant les événements que vous souhaitez afficher.

# 3. Filtrer l'événement

Vous pouvez filtrer les événements par niveau de gravité, source d'événement, plage de dates et autres critères. Cela peut vous aider à cibler les événements qui vous intéressent.

# 4. Afficher les détails de l'événement

Examinez attentivement chaque événement pour afficher ses détails, y compris l'ID de l'événement, la source, le niveau de gravité, la date et l'heure, le nom d'utilisateur, le nom de l'ordinateur et la description. Ces informations peuvent vous aider à identifier la cause de l'événement et à prendre les mesures appropriées.

# 5. Utiliser les propriétés de l'événement

De nombreux événements ont des propriétés supplémentaires qui fournissent plus d'informations sur l'événement.

Par exemple, un événement de sécurité peut avoir des propriétés telles que le type de connexion, le processus de connexion et le package d'authentification. Ces propriétés peuvent vous aider à comprendre le contexte de l'événement et sa signification.

# 5. Analyser les modèles

Essayez toujours de rechercher des modèles dans les événements pour identifier les problèmes ou les tendances récurrents. Par exemple, si vous voyez une série d'erreurs de disque, cela peut indiquer un problème avec le matériel ou la configuration du disque.

Windows Event Severity Levels

Le journal des événements Windows utilise des niveaux de gravité pour classer les événements en fonction de leur importance ou de leur impact sur le système. Il existe cinq niveaux de gravité dans le journal des événements Windows, répertoriés ci-dessous, de la gravité la plus élevée à la plus faible :

  • Critique: Ce niveau de gravité est réservé aux événements indiquant une défaillance critique du système ou de l'application nécessitant une attention immédiate. Les exemples incluent les plantages du système, les pannes matérielles majeures et les erreurs d'application critiques.
  • Erreur: Il est utilisé pour les événements qui indiquent un problème grave nécessitant une attention mais pas nécessairement une action immédiate. Certains exemples courants sont les pannes d'application, les échecs de connectivité réseau et les erreurs de disque.
  • Mise en garde: Cela indique un problème potentiel que les administrateurs système doivent surveiller, notamment les avertissements d'espace disque insuffisant et les violations de la politique de sécurité.
  • Verbeux: Il est utilisé pour les événements qui fournissent des informations détaillées sur l'activité du système ou de l'application, généralement à des fins de dépannage ou de débogage.
  • Informations: Cela montre que tout s'est bien passé. Presque tous les journaux incluent des événements d'information.

Ces niveaux de gravité permettent aux administrateurs et aux analystes système d'identifier rapidement les problèmes critiques qui nécessitent une attention et de hiérarchiser leur réponse en conséquence.

Conclusion ✍️

J'espère que vous avez trouvé cet article utile pour en savoir plus sur le journal des événements Windows et son importance. Vous pourriez également être intéressé à en savoir plus sur les différents façons de récupérer des données supprimées 11 fenêtres.

Merci à nos commanditaires
Plus de bonnes lectures sur Windows
Alimentez votre entreprise
Certains des outils et services pour aider votre entreprise à se développer.
  • invicti
    Invicti utilise Proof-Based Scanning™ pour vérifier automatiquement les vulnérabilités identifiées et générer des résultats exploitables en quelques heures seulement.
    Essayez Invicti
  • Données lumineuses
    Web scraping, proxy résidentiel, proxy manager, web unlocker, moteur de recherche et tout ce dont vous avez besoin pour collecter des données Web.
    Essayez Brightdata
  • Semrush
    Semrush est une solution de marketing numérique tout-en-un avec plus de 50 outils de référencement, de médias sociaux et de marketing de contenu.
    Essayez Semrush
  • Intruder
    Intruder est un scanner de vulnérabilités en ligne qui détecte les failles de cybersécurité de votre infrastructure, afin d'éviter des violations de données coûteuses.
    Essayez Intruder