Dans ce guide, nous montrerons comment utiliser l'Observateur d'événements Windows pour afficher les journaux Windows et les filtrer selon divers critères.
Conditions préalables:
Pour effectuer les étapes illustrées dans ce guide, vous avez besoin des composants suivants :
- Un système Windows 10/11 correctement configuré. Pour les tests, découvrez comment configurer une machine virtuelle Windows à l'aide de VirtualBox.
- Accès administrateur
Observateur d'événements sous Windows
Par défaut, diverses applications (et parties du système d'exploitation) envoient une notification au système d'exploitation pour une activité particulière telle que des bizarreries de pilote, des mises à jour de sécurité, une panne matérielle, etc. L'Observateur d'événements est une application dédiée qui regroupe ces notifications et sert de plaque tournante pour la journalisation.
Avec le privilège d'administrateur, l'Observateur d'événements peut afficher tous les événements majeurs qui se produisent dans le système. Cela peut être incroyablement utile à des fins de débogage.
L'Observateur d'événements dispose également de puissantes capacités de filtrage qui peuvent afficher l'activité du système à un moment donné, déclenchée par un certain programme, la gravité du déclencheur, etc.
Lancement de l'Observateur d'événements
Tapez « Observateur d'événements » dans le menu Démarrer.
Vous pouvez également exécuter le mot-clé suivant à partir de la fenêtre « Exécuter » :
$ événementvwr
La fenêtre principale vous présentera un résumé de toutes les activités du système.
L'interface utilisateur de l'Observateur d'événements
Sur le panneau de gauche, les journaux sont classés en différentes catégories.
Par exemple, sélectionnez la sous-catégorie « Journaux Windows » pour voir un résumé des journaux par Windows et les applications Windows.
Pour afficher les journaux générés par tous les produits Microsoft, accédez à « Journaux d'applications et de services » >> « Microsoft ».
Affichage des journaux
Dans l'exemple suivant, nous examinerons les journaux générés par Windows PowerShell. Dans le panneau de gauche, accédez à « Journaux d'applications et de services » >> « Windows PowerShell ».
Ici, nous pouvons voir tous les événements déclenchés par PowerShell. Dans notre cas, l’Observateur d’événements a enregistré environ 10 000 événements PowerShell. Chaque journal représente un événement.
Vous pouvez voir les détails du journal lors de la sélection d'un journal.
Pour plus de détails, rendez-vous dans l'onglet « Détails ».
Filtrage des journaux d'événements
Au lieu de parcourir les journaux sans but, nous pouvons utiliser l'Observateur d'événements pour appliquer certains filtres afin d'obtenir une image plus précise. Cela peut être incroyablement utile chaque fois que vous essayez de déboguer un problème, qu'il s'agisse d'un problème matériel, d'un problème de pilote ou d'un bogue logiciel.
Pour créer un nouveau filtre, sélectionnez « Créer une vue personnalisée » dans le panneau de droite.
Nous pouvons appliquer divers filtres sur la nouvelle fenêtre.
Ici:
- Connecté : L'Observateur d'événements héberge les journaux depuis l'installation du système d'exploitation. Les parcourir tous n’est, dans la plupart des situations, pas optimal. Grâce à ce filtre, nous pouvons limiter la portée de la recherche par temps.
- Niveau de l'événement : Chaque fois qu'un événement est enregistré, un niveau de gravité lui est attribué. Il existe cinq types d'événements : Critique, Erreur, Avertissement, Information et Verbeux.
- Par journal : Limiter la portée de la recherche par arbre.
- Par source : Limiter la portée de la recherche par la source du déclencheur d'événement. Les déclencheurs d'événements peuvent être divers appareils du système d'exploitation ou n'importe quel programme installé.
Par exemple, pour répertorier tous les événements déclenchés par PowerShell, le formulaire d'affichage personnalisé ressemble à ceci :
Par défaut, l'Observateur d'événements propose d'enregistrer le filtre nouvellement créé en tant que vue personnalisée.
Le résultat devrait ressembler à ceci :
Sauvegarde des journaux
L'Observateur d'événements peut également exporter les journaux d'événements. Cela peut être utile pour déboguer ou sauvegarder les journaux importants pour plus tard.
Dans cet exemple, nous allons créer une sauvegarde des journaux « Windows PowerShell ».
Dans le panneau de gauche, sélectionnez « Windows PowerShell », faites un clic droit dessus et sélectionnez « Enregistrer tous les événements sous ».
Vous serez invité à choisir l’emplacement où le fichier de sauvegarde est stocké.
Enfin, l'Observateur d'événements vous demandera si vous souhaitez stocker les informations d'affichage supplémentaires avec le fichier. Il est recommandé de les inclure afin que les journaux puissent être utilisés sur n'importe quel autre ordinateur. Cependant, à des fins de sauvegarde uniquement, vous souhaiterez peut-être l'éviter afin de réduire la taille du fichier.
Si vous choisissez d'inclure les données d'affichage supplémentaires, l'Observateur d'événements crée un répertoire « LocaleMetaData » supplémentaire.
Importer les journaux
Nous avons maintenant appris comment sauvegarder avec succès les journaux d'événements. Maintenant, nous devons apprendre à les importer en cas de besoin.
Pour importer les journaux à partir d'un fichier de sauvegarde de l'Observateur d'événements, accédez à Action >> Ouvrir le journal enregistré depuis la fenêtre principale.
Maintenant, recherchez le fichier de sauvegarde.
Vous pouvez décider du nom du vidage du journal et de l'endroit où il sera stocké. Par défaut, l'Observateur d'événements les place sous « Journaux enregistrés ».
Les journaux importés devraient être disponibles sous « Journaux enregistrés ».
Effacer les journaux
L'Observateur d'événements collecte des journaux depuis l'installation du système d'exploitation. Avec suffisamment de temps, un grand nombre de journaux s’accumuleront. L'Observateur d'événements permet également d'effacer tous les journaux actuellement accumulés. Cependant, cette action peut nécessiter un privilège d'administrateur.
Pour effacer les journaux, sélectionnez une sous-catégorie dans le panneau de gauche et sélectionnez « Effacer le journal ».
L'Observateur d'événements émet un avertissement avant de décider d'effacer les journaux.
Le résultat devrait ressembler à ceci :
Conclusion
Dans ce guide, nous avons montré comment utiliser l'Observateur d'événements pour parcourir les journaux d'événements Windows. Nous avons également appris à naviguer dans les journaux, à appliquer les filtres personnalisés, à sauvegarder et importer les journaux, etc.
Bonne informatique !