Menu Fermer

FullEventLogView : consulter les journaux d’évènements de Windows

Pour consulter les journaux d’évènements (systèmes, applications, et autres), vous pouvez utiliser l‘observateur d’évènements de Windows.
Mais certains utilisateurs peuvent trouver cette fonctionnalité lourde et peu pratique.

Comme alternative, il existe l’utilitaire gratuit de NirSoft FullEventLogView.

FullEventLogView est un outil simple pour Windows 11/10/8/7/Vista qui affiche dans un tableau les détails de tous les événements des journaux d’événements de Windows, y compris la description de l’événement. Il vous permet de visualiser les événements de votre ordinateur local, les événements d’un ordinateur distant sur votre réseau et les événements stockés dans des fichiers .evtx.
Il vous permet également d’exporter la liste des événements vers un fichier texte, CSV, HTML, XML à partir de l’interface graphique et de la ligne de commande.

Ce tutoriel vous apprendre à utiliser FullEventLogView pour afficher et interroger les journaux de Windows.

Comment consulter les journaux d'évènements de Windows avec FullEventLogView

Comment télécharger et installer FullEventLogView

FullEventLogView est une application portable qui ne nécessite pas de processus d’installation ou de fichiers DLL supplémentaires.

  • Accédez à la page de téléchargement de l’utilitaire :
Comment télécharger et installer FullEventLogView
  • Décompressez les deux fichiers ZIP, par exemple avec 7-zip dans le répertoire de votre choix
Comment télécharger et installer FullEventLogView
  • Enfin exécutez FullEventLogView.exe

Comment consulter les journaux d’évènements de Windows avec FullEventLogView

Utilisation basique

Après avoir lancé FullEventLogView, la fenêtre principale se charge et affiche tous les événements des 7 derniers jours.
Vous pouvez modifier le filtre temporel par défaut de 7 jours et définir d’autres filtres en utilisant la fenêtre Options avancées ou F9.

Utilisation basique de FullEventLogView

Si vous souhaitez charger les événements à partir d’un ordinateur distant sur votre réseau ou à partir de fichiers journaux d’événements (.evtx), vous devez utiliser la fenêtre Choisir la source de données ou F7.

Un clic droit permet aussi d’interagir avec l’évènements sélectionné.

Utilisation basique de FullEventLogView

Mode d’affichage du volet inférieur

Lorsque vous sélectionnez un événement dans le volet supérieur, le volet inférieur affiche les détails de l’événement sélectionné, en fonction du mode d’affichage choisi (Options > Mode d’affichage du volet inférieur) :
Afficher la description de l’événement : Affiche la description complète de l’événement.

Modifier l'affichage du volet inférieur de FullEventLogView

Certaines descriptions d’événements sont trop longues pour être affichées dans la colonne “Description”. Vous pouvez donc afficher la longue description de l’événement dans le volet inférieur.

Rechercher et filtrer les évènements

FullEventLogView propose deux façons de rechercher des évènements de manière très simple et efficace.

La première méthode consiste à utiliser le filtre rapide qui donne la possibilité de rechercher des évènements par mot clé.

  • Cliquez sur le menu Afficher > Utiliser le filtre rapide ou par le raccourci clavier CTRL+Q
  • Saisissez le mot clé dans le champs filtre rapide, automatiquement, les évènements sont filtrés par ce dernier
Rechercher et filtrer les évènements de Windows avec FullEventLogView

Une autre façon est d’utiliser les options avancées qui proposent un des filtrés plus poussées et multicritères.

  • Utilisez le menu Options > Options Avancées ou F9
  • Puis réglez les critères de Niveaux d’évènements, périodes d’évènements, ainsi qu’un filtre par ID, fournisseurs, canaux ou descriptions
Rechercher et filtrer les évènements de Windows avec FullEventLogView

Enregistrer le journal d’évènements

L’utilitaire permet d’exporter les journaux Windows très facilement dans différents formats.

Au format texte, CSV ou JSON

  • Sélectionnez les évènements en laissant appuyer sur CTRL et en cliquant sur la souris. Pour sélectionner l’intégralité des évènements, utilisez le raccourci clavier CTRL+A
Enregistrer le journal d'évènements de Windows avec FullEventLogView
  • Puis cliquez sur l’icône disquette
Enregistrer le journal d'évènements de Windows avec FullEventLogView
  • Choisissez l’emplacement où enregistrer le fichier
  • Dans Nom de fichier, saisissez le nom du fichier
  • Enfin dans Type, sélectionnez le format de sortie : TXT, CSV, HTML, JSON, …
Enregistrer le journal d'évènements de Windows avec FullEventLogView

en HTML

L’utilitaire vous permet aussi d’exporter le journal d’évènements de Windows au format HTML.
Vous pouvez exporter l’intégralité des évènements ou ceux sélectionnés.

  • Pour ce se faire, utilisez le menu Afficher > Rapports HTML.
  • Dans le répertoire de FullEventLogView, double cliquez sur le fichier report.html pour l’ouvrir avec le navigateur internet par défaut
Exporter le journal d'évènements de Windows en HTML avec FullEventLogView

Mode d’actualisation automatique

Par défaut FullEventLogView, ne relit pas les journaux d’évènements et ne s’actualise pas automatique.
Vous pouvez le faire manuellement, avec deux types d’actions de rafraîchissement :

  • Rafraîchir ou F5 : Recharge l’ensemble du journal des événements
  • Rafraîchissement en douceur ou F8 : FullEventLogView n’ajoute que les nouveaux éléments d’événement qui ont été créés depuis le rafraîchissement précédent.
Actualiser l'affichage des évènements de Windows dans FullEventLogView

Pour activer le mode de rafraîchissement automatique, utilisez le menu Options > Actualisation auto > Toutes les x secondes.
FullEventLogView exécute automatiquement un rafraîchissement en douceur selon l’intervalle de rafraîchissement que vous avez choisi, de sorte que vous serez en mesure de voir quand un nouvel élément du journal des événements est créé.

Le Mode d'actualisation automatique de FullEventLogView

Comment utiliser FullEventLogView en ligne de commande


/ChannelFilter [1 – 3]
/EventIDFilter [1 – 3]
/ProviderFilter [1 – 3]
/ChannelFilterStr [Filter String]
/EventIDFilterStr [Filter String]
/ProviderFilterStr [Filter String]
.
.
.
Vous pouvez utiliser n’importe quelle variable à l’intérieur du fichier .cfg afin de définir la configuration à partir de la ligne de commande, voici quelques exemples:Afin d’afficher uniquement les événements avec l’ID d’événement 8000 et 8001 :
FullEventLogView.exe /EventIDFilter 2 /EventIDFilterStr “8000,8001 “Pour n’afficher que les événements du canal Microsoft-Windows-Dhcp-Client/Admin :
FullEventLogView.exe /ChannelFilter 2 /ChannelFilterStr “Microsoft-Windows-Dhcp-Client/Admin “Pour lire les événements des fichiers .evtx stockés dans c:\temp\logs :
FullEventLogView.exe /DataSource 3 /LogFolder “c:\temp\logs” /LogFolderWildcard “*”Afin de lire les événements de l’ordinateur distant :
FullEventLogView.exe /DataSource 2 /ComputerName “192.168.0.70 “Pour exporter les événements de l’ordinateur distant dans un fichier .csv :
FullEventLogView.exe /scomma “c:\Ntempérature_événements_à_distance.csv” /DataSource 2 /Nom de l’ordinateur “192.168.0.50”
/ClearChannelEvents <Channel Name>Efface tous les événements du canal spécifié, par exemple :
FullEventLogView.exe /RunAsAdmin /ClearChannelEvents “Microsoft-Windows-WLAN-AutoConfig/Operational”
/cfg <Filename>Démarrer FullEventLogView avec le fichier de configuration spécifié. Par exemple :
FullEventLogView.exe /cfg “c:\config\felv.cfg”
FullEventLogView.exe /cfg “%AppData%\NFullEventLogView.cfg”
/RunAsAdminExécutez FullEventLogView en tant qu’administrateur.
/stext <Filename>Enregistrez les éléments du journal des événements dans un simple fichier texte.
/stab <Filename>Enregistrer les éléments du journal des événements dans un fichier texte délimité par des tabulations.
/scomma <Filename>Enregistrer les éléments du journal des événements dans un fichier texte délimité par des virgules (csv).
/stabular <Filename>Enregistrer les éléments du journal des événements dans un fichier texte tabulaire.
/shtml <Filename>Enregistrer les éléments du journal des événements dans un fichier HTML (Horizontal).
/sverhtml <Filename>Enregistrer les éléments du journal des événements dans un fichier HTML (Vertical).
/sxml <Filename>Enregistrer les éléments du journal des événements dans un fichier XML.
/sjson <Filename>Enregistrer les éléments du journal des événements dans un fichier JSON.
/srawxml <Filename>Enregistrer les éléments du journal des événements dans un fichier XML d’événements bruts.
/SaveDirectSauvegarder les éléments du journal des événements en mode SaveDirect. A utiliser avec les autres options de la ligne de commande save ( /scomma, /stab, /sxml, etc…).
Lorsque vous utilisez le mode SaveDirect, les éléments du journal des événements sont sauvegardés directement sur le disque, sans les charger d’abord dans la mémoire. Sachez que la fonction de tri n’est pas prise en charge en mode SaveDirect.
/sort <column>Cette option de ligne de commande peut être utilisée avec d’autres options d’enregistrement pour trier par colonne. Le paramètre peut spécifier l’index de la colonne (0 pour la première colonne, 1 pour la deuxième colonne, etc.) ou le nom de la colonne, comme “Record ID” et “Event ID”.
Vous pouvez spécifier le préfixe ‘~’ (par exemple : “~Channel”) si vous voulez trier par ordre décroissant. Vous pouvez mettre plusieurs /sort dans la ligne de commande si vous voulez trier par plusieurs colonnes.
Les options de ligne de commandes de FullEventLogView