Pour consulter les journaux d’évènements (systèmes, applications, et autres), vous pouvez utiliser l‘observateur d’évènements de Windows.
Mais certains utilisateurs peuvent trouver cette fonctionnalité lourde et peu pratique.
Comme alternative, il existe l’utilitaire gratuit de NirSoft FullEventLogView.
FullEventLogView est un outil simple pour Windows 11/10/8/7/Vista qui affiche dans un tableau les détails de tous les événements des journaux d’événements de Windows, y compris la description de l’événement. Il vous permet de visualiser les événements de votre ordinateur local, les événements d’un ordinateur distant sur votre réseau et les événements stockés dans des fichiers .evtx.
Il vous permet également d’exporter la liste des événements vers un fichier texte, CSV, HTML, XML à partir de l’interface graphique et de la ligne de commande.
Ce tutoriel vous apprendre à utiliser FullEventLogView pour afficher et interroger les journaux de Windows.
Table des matières
Comment télécharger et installer FullEventLogView
FullEventLogView est une application portable qui ne nécessite pas de processus d’installation ou de fichiers DLL supplémentaires.
- Accédez à la page de téléchargement de l’utilitaire :
- Téléchargez le ZIP 32-bits ou 64-bits selon votre architecture de Windows : Comment savoir si Windows est en 32-bits ou 64-bits
- En dessous téléchargez le ZIP de traduction Française
- Décompressez les deux fichiers ZIP, par exemple avec 7-zip dans le répertoire de votre choix
- Enfin exécutez FullEventLogView.exe
Comment consulter les journaux d’évènements de Windows avec FullEventLogView
Utilisation basique
Après avoir lancé FullEventLogView, la fenêtre principale se charge et affiche tous les événements des 7 derniers jours.
Vous pouvez modifier le filtre temporel par défaut de 7 jours et définir d’autres filtres en utilisant la fenêtre Options avancées ou
F9.
Si vous souhaitez charger les événements à partir d’un ordinateur distant sur votre réseau ou à partir de fichiers journaux d’événements (.evtx), vous devez utiliser la fenêtre Choisir la source de données ou F7.
Un clic droit permet aussi d’interagir avec l’évènements sélectionné.
Mode d’affichage du volet inférieur
Lorsque vous sélectionnez un événement dans le volet supérieur, le volet inférieur affiche les détails de l’événement sélectionné, en fonction du mode d’affichage choisi (Options > Mode d’affichage du volet inférieur) :
Afficher la description de l’événement : Affiche la description complète de l’événement.
Certaines descriptions d’événements sont trop longues pour être affichées dans la colonne “Description”. Vous pouvez donc afficher la longue description de l’événement dans le volet inférieur.
Rechercher et filtrer les évènements
FullEventLogView propose deux façons de rechercher des évènements de manière très simple et efficace.
La première méthode consiste à utiliser le filtre rapide qui donne la possibilité de rechercher des évènements par mot clé.
- Cliquez sur le menu Afficher > Utiliser le filtre rapide ou par le raccourci clavier CTRL+Q
- Saisissez le mot clé dans le champs filtre rapide, automatiquement, les évènements sont filtrés par ce dernier
Une autre façon est d’utiliser les options avancées qui proposent un des filtrés plus poussées et multicritères.
- Utilisez le menu Options > Options Avancées ou F9
- Puis réglez les critères de Niveaux d’évènements, périodes d’évènements, ainsi qu’un filtre par ID, fournisseurs, canaux ou descriptions
Enregistrer le journal d’évènements
L’utilitaire permet d’exporter les journaux Windows très facilement dans différents formats.
Au format texte, CSV ou JSON
- Sélectionnez les évènements en laissant appuyer sur CTRL et en cliquant sur la souris. Pour sélectionner l’intégralité des évènements, utilisez le raccourci clavier CTRL+A
- Puis cliquez sur l’icône disquette
- Choisissez l’emplacement où enregistrer le fichier
- Dans Nom de fichier, saisissez le nom du fichier
- Enfin dans Type, sélectionnez le format de sortie : TXT, CSV, HTML, JSON, …
en HTML
L’utilitaire vous permet aussi d’exporter le journal d’évènements de Windows au format HTML.
Vous pouvez exporter l’intégralité des évènements ou ceux sélectionnés.
- Pour ce se faire, utilisez le menu Afficher > Rapports HTML.
- Dans le répertoire de FullEventLogView, double cliquez sur le fichier report.html pour l’ouvrir avec le navigateur internet par défaut
Mode d’actualisation automatique
Par défaut FullEventLogView, ne relit pas les journaux d’évènements et ne s’actualise pas automatique.
Vous pouvez le faire manuellement, avec deux types d’actions de rafraîchissement :
- Rafraîchir ou F5 : Recharge l’ensemble du journal des événements
- Rafraîchissement en douceur ou F8 : FullEventLogView n’ajoute que les nouveaux éléments d’événement qui ont été créés depuis le rafraîchissement précédent.
Pour activer le mode de rafraîchissement automatique, utilisez le menu Options > Actualisation auto > Toutes les x secondes.
FullEventLogView exécute automatiquement un rafraîchissement en douceur selon l’intervalle de rafraîchissement que vous avez choisi, de sorte que vous serez en mesure de voir quand un nouvel élément du journal des événements est créé.
Comment utiliser FullEventLogView en ligne de commande
/ChannelFilter [1 – 3] /EventIDFilter [1 – 3] /ProviderFilter [1 – 3] /ChannelFilterStr [Filter String] /EventIDFilterStr [Filter String] /ProviderFilterStr [Filter String] . . . | Vous pouvez utiliser n’importe quelle variable à l’intérieur du fichier .cfg afin de définir la configuration à partir de la ligne de commande, voici quelques exemples:Afin d’afficher uniquement les événements avec l’ID d’événement 8000 et 8001 : FullEventLogView.exe /EventIDFilter 2 /EventIDFilterStr “8000,8001 “Pour n’afficher que les événements du canal Microsoft-Windows-Dhcp-Client/Admin : FullEventLogView.exe /ChannelFilter 2 /ChannelFilterStr “Microsoft-Windows-Dhcp-Client/Admin “Pour lire les événements des fichiers .evtx stockés dans c:\temp\logs : FullEventLogView.exe /DataSource 3 /LogFolder “c:\temp\logs” /LogFolderWildcard “*”Afin de lire les événements de l’ordinateur distant : FullEventLogView.exe /DataSource 2 /ComputerName “192.168.0.70 “Pour exporter les événements de l’ordinateur distant dans un fichier .csv : FullEventLogView.exe /scomma “c:\Ntempérature_événements_à_distance.csv” /DataSource 2 /Nom de l’ordinateur “192.168.0.50” |
/ClearChannelEvents <Channel Name> | Efface tous les événements du canal spécifié, par exemple : FullEventLogView.exe /RunAsAdmin /ClearChannelEvents “Microsoft-Windows-WLAN-AutoConfig/Operational” |
/cfg <Filename> | Démarrer FullEventLogView avec le fichier de configuration spécifié. Par exemple : FullEventLogView.exe /cfg “c:\config\felv.cfg” FullEventLogView.exe /cfg “%AppData%\NFullEventLogView.cfg” |
/RunAsAdmin | Exécutez FullEventLogView en tant qu’administrateur. |
/stext <Filename> | Enregistrez les éléments du journal des événements dans un simple fichier texte. |
/stab <Filename> | Enregistrer les éléments du journal des événements dans un fichier texte délimité par des tabulations. |
/scomma <Filename> | Enregistrer les éléments du journal des événements dans un fichier texte délimité par des virgules (csv). |
/stabular <Filename> | Enregistrer les éléments du journal des événements dans un fichier texte tabulaire. |
/shtml <Filename> | Enregistrer les éléments du journal des événements dans un fichier HTML (Horizontal). |
/sverhtml <Filename> | Enregistrer les éléments du journal des événements dans un fichier HTML (Vertical). |
/sxml <Filename> | Enregistrer les éléments du journal des événements dans un fichier XML. |
/sjson <Filename> | Enregistrer les éléments du journal des événements dans un fichier JSON. |
/srawxml <Filename> | Enregistrer les éléments du journal des événements dans un fichier XML d’événements bruts. |
/SaveDirect | Sauvegarder les éléments du journal des événements en mode SaveDirect. A utiliser avec les autres options de la ligne de commande save ( /scomma, /stab, /sxml, etc…). Lorsque vous utilisez le mode SaveDirect, les éléments du journal des événements sont sauvegardés directement sur le disque, sans les charger d’abord dans la mémoire. Sachez que la fonction de tri n’est pas prise en charge en mode SaveDirect. |
/sort <column> | Cette option de ligne de commande peut être utilisée avec d’autres options d’enregistrement pour trier par colonne. Le paramètre peut spécifier l’index de la colonne (0 pour la première colonne, 1 pour la deuxième colonne, etc.) ou le nom de la colonne, comme “Record ID” et “Event ID”. Vous pouvez spécifier le préfixe ‘~’ (par exemple : “~Channel”) si vous voulez trier par ordre décroissant. Vous pouvez mettre plusieurs /sort dans la ligne de commande si vous voulez trier par plusieurs colonnes. |
Liens
- Comment ouvrir l’observateur d’évènements de Windows 10, 11
- Rechercher et filtrer le journal d’évènements de Windows (11, 10, 8 et 7)
- wevtutil : utilitaire fichier journal évènements de Windows en ligne de commandes
- Les erreurs de l’observateur d’évènements et leurs solutions
- Effacer un journal d’évènement de Windows (11, 10, 7 ou 8)
- Enregistrer un journal d’évènements de Windows
- FullEventLogView : consulter les journaux d’évènements de Windows
- Voir les erreurs et plantages de Windows 10/11