L’observateur d’évènements

L’observateur d’événements est le journal d’activité de Windows et de ses applications.
L’observateur d’événements enregistre donc toute l’activité de Windows et des applications dans des journaux consultables par l’utilisateur.
Cela peut aller de la simple information, à l’enregistrement de plantages de fonctionnalités de Windows ou de programmes avec notamment des codes erreurs.
C’est un formidable outil, malheureusement très souvent oublié, pour obtenir des informations sur d’éventuels dysfonctionnements de Windows ou d’applications en particulier.

Voici une présentation de l’observateur d’événements de Windows.
Sur le forum, il existe aussi une présentation rapide : L’observateur d’événements
eventvwr_logo

Présentation

Comme évoqué dans l’introduction, l’observateur d’événements enregistre tous les événements systèmes.
Ces événements peuvent être enregistrés et ré-ouvert depuis l’observateur d’événements par l’utilisateur.
Il est aussi possible de copier/coller les détails d’un événements.
En clair donc, tout est exportable afin de transmettre à un tiers.
Un administrateur peut aussi exporter de manière automatique les journaux vers un serveur.

L’observateur d’événements est accessible depuis les outils d’administration du Panneau de configuration.

observateur_evenements_windows

Vous pouvez aussi démarrer ce dernier par l’application : eventvwr

  • Touche Windows + R
  • Saisissez eventvwr et OK.

Enfin sur Windows 8 e Windows 10, un clic droit sur le menu Démarrer puis observateur d’événements.

observateur_evenements_windows_2

Une fois ouvert, vous arrivez sur une page récapitulative.
Notamment, on peut trouver le nombre d’événements par type (informations, avertissements, critique etc) la dernière heure, les 24 dernières heures et les 7 derniers jours.
Cela permet d’obtenir un aperçu sur d’éventuels problèmes, si le nombre d’avertissements et surtout critiques sont en augmentation, il y a un problème.

Dans la dernière partie de fenêtre, vous avez la liste des journaux avec leurs tailles.
Les tailles des journaux sont limités à 20 Mo.

observateur_evenements_windows_4

Voici la page du journal d’application, la présentation de tous les journaux est similaire.

  • 1/A gauche, les journaux de Windows répartis en applications, systèmes et installation et plus bas les journaux d’applications.
  • 2/Les événements du journal sélectionné à gauche en 1.
  • 3/Les détails de l’événements sélectionnés en 2
  • 4/ Les boutons d’action liés au journal, comme la possibilité de créer un filtre, enregistrer tous les événements.
  • 5/ Les boutons d’action sur l’événements comme la possibilité de copier l’événement sélectionné.

observateur_evenements_windows_3

Lecture d’un événement

Le contenu de l’événement se trouve dans la partie basse.
En jaune dans la capture ci-dessous.

observateur_evenements_windows_lecture_evenement

Les événements sont catégorisés en quatre niveaux :

  • Audit : informations de sécurité, comme une ouverture de sessions Windows. Ces événements sont identifiés par une icône clé jaune.
  • Information : simple information d’une application ou Windows. Ces événements sont identifiés par une icône bulle blanche.
  • Avertissement : il s’agit d’une erreur non critique, comme un pilote qui s’est mal chargé. Des erreurs sur le système de fichiers etc. Ces événements sont identifiés par une icône triangle jaune.
  • Erreur critique : il s’agit d’erreur grave, comme le plantage d’une application, une fonctionnalité importante de Windows endommagé. Ces événements sont identifiés par une bulle rouge.

La liste des divers événements se décompose en 8 informations :

  • Type : Type de l’erreur en fonction de son niveau de gravité (information / avertissement / erreur)
  • Date : Date à laquelle est survenue l’événement
  • Heure : Heure à laquelle est survenue l’événement

Ces deux informations sont importantes et permettent de cibler avec exactitude quand le plantage est arrivé. De plus si parfois vous avez du mal à faire le rapprochement entre l’événement inscrit dans le journal et le plantage dont vous avez été victime, la date et l’heure sont un bon moyen pour s’y retrouver.
Donc prenez l’habitude, lors d’un dysfonctionnement de noter la date et l’heure.

  • Source : Nom de l’application qui a causé la création de l’événement ou nom du composant système (pilote) dans le cas d’une erreur de chargement de driver.
  • Catégorie : Niveau de gravité défini par la source qui a provoqué l’événement.
  • Evénement (ID) : Numéro identifiant le type de l’événement, peut être traduit par clé de l’événement.

Important : Si vous contactez le support Microsoft ou si vous demandez de l’aide sur un forum informatique, il vous sera automatiquement demandé les valeurs des champs ID de l’événement et Source. Ces 2 données permettent aux personnes habilités de cibler le problème.
Utilisateur : Nom de l’utilisateur qui est à l’origine de l’événement. N/A pour non applicable, System ou le nom de l’utilisateur
Ordinateur : Nom de l’ordinateur sur lequel s’est produit l’événement.

L’onglet Détails permet de visualiser l’événement dans d’autres formats.

observateur_evenements_windows_lecture_evenement_2

A droite, vous pouvez enregistrer l’événement au format court ou détaillé.
Ou copier celle-ci dans le presse papier.

observateur_evenements_windows_lecture_evenement_3

On obtient alors ceci :

observateur_evenements_windows_lecture_evenement_4

Filtrer les événements

Evènements critiques & erreurs

La navigation dans l’observateur d’événements peut paraître difficile tant les données stockées sont importantes.
Le problème se situe surtout sur le fait que les événements de type informations sont très nombreuses.
Si vous n’êtes intéressé que par les événements critiques ou erreur, il est tout à fait possible de filtrer les journaux sur ce type d’évènements.

Sur la page de présentation et synthèse, vous pouvez réduire les différents présentations en cliquant sur les flèches en haut à droite.
Cela permet d’afficher le résumé sur une plus grande surface et la rendre plus lisible.
observateur_evenements_windows_critique

Mais surtout Windows propose, un filtre par défaut sur les événements critiques et erreurs.
Ceci à partir du filtres événements d’administrations.

observateur_evenements_windows_critique_2

Créer son propre filtre

Il est tout à fait possible de créer son propre filtre, si vous cherchez des événements sur une source en particulière
Le filtre peut s’appliquer sur le journal ou vous pouvez créer une vue permanente, si vous désirez suivre des événements sur une période.

En haut à droite, l’action :

  • Créer une vue personnalisée : permet de créer un filtre permanent, cela vous permet de suivre des événements en particulier.
  • Filtrer la vue personnalisée actuelle : applique un filtre sur le journal affiché. Ce filtre est perdu par la suite, mais vous pouvez enregistrer ce filtre en vue, si vous souhaitez le garder.

Vous pouvez filtrer sur le Niveau d’événements, sur une ou plusieurs sources mais aussi l’ID, type etc.
Ci-dessous on créé un filtre la vue

observateur_evenements_windows_filtrer_evements

le bouton d’action en haut à droite Enregistrer le filtre dans une vue personnalisée permet d’ajouter la vue pour être rejouée plus tard.

observateur_evenements_windows_filtrer_evements_2

Evènements importants

Le but n’est pas d’avoir 0 erreurs critique et de chercher à tous les résoudre.
Vous aurez forcément des applications ou Windows qui tôt ou tard va générer un problème.
Surveillez les événements importants (Windows Update, disque, plantage application etc).. En général, vous êtes déjà au courant qu’un problème survient puisqu’un message d’erreur va apparaître à l’écran.
Néanmoins, l’observateur d’événement peut donner des indications et informations importantes pour trouver la source du problème.

Par exemple, ci-dessous une erreur Windows Update avec un code erreur 0x8007041d – le code erreur peut aider à résoudre les problèmes en cherchant une solution sur la FAQ du site de support de Microsoft.

Échec de l’installation : l’installation de la mise à jour suivante a échoue avec l’erreur 0x8007041d : Windows Update Setup Handler.

observateur_evenements_windows_update_code_erreur

Ci-dessous une erreur Windows Update dû à un certificat dont la période de validité est dépassé ou l’ordinateur n’est pas à l’heure.

Échec de l’extraction de la liste racine tierce depuis le fichier CAB de mise à jour automatique à : <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> avec l’erreur : Un certificat requis n’est pas dans sa période de validité selon la vérification par rapport à l’horloge système en cours ou le tampon daté dans le fichier signé.

observateur_evenements_windows_update_erreur_certificat

Ici, ces problèmes et événements disk et NTFS qui peuvent causer des plantages d’applications, ralentissement et autres.
De ce fait, vous ne savez pas que le système de fichiers est endommagé et qu’une réparation est nécessaire.

Il faut effectuer un checkdisk (Lire Erreur disque et système de fichiers).

erreur NTFS et disk dans l'observateur d'événements

Les applications Hand indiquent que le programme ne répond plus et se bloque.
Cela peut venir d’un problème avec une application spécifique.
Si trop d’application se bloquent, vous pouvez avoir des fichiers systèmes corrompus, un scan SFC et réparation DISM peut-être nécessaire.
Un problème matériel peut aussi générer ces problèmes, une vérification peut-être nécessaire : diagnostiquer les problèmes matériels.
observateur_evenements_windows_application_hang

Une application error indique que l’application a planté.
En général, vous êtes au courant, car un message de Windows vous l’indique au moment du plantage et l’application se ferme.
Cela peut-être dû à des fichiers systèmes endommagés, une mauvaise version de librairies ou un bug de l’application.

observateur_evenements_windows_application_error

Il y a bien sûr d’autres cas, comme par exemple Microsoft-Windows-WHEA-Logger qui remonte des erreurs matérielles.
Dans la discussion, il est expliqué comment trouver le périphérique source de ces erreurs Microsoft-Windows-WHEA-Logger.

Conclusion & Lien

L’observateur d’événements est un outil très utile dans le cas de plantage, problèmes de Windows.
Il est fortement recommandé de vérifier les événements en cas de problèmes pour aiguiller vers la source des problèmes.

(Visité 1 386 fois, 12 visites ce jour)

Vous pouvez aussi lire...

Vous pouvez lire les articles et tutoriels suivants en rapport avec cette page :
Tutoriel Invite de commandes de WindowsLibérer de l'espace disque

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com