Windows enregistre constamment des évènements qu’il consigne dans le journal d’évènement.
Les évènements sont les activités du système d’exploitation et des applications ainsi que des avertissements ou des erreurs rencontrées.
Ces derniers peuvent être consultés notamment via l’observateur d’évènements.
Mais parfois, il n’est pas forcément facile de s’y retrouver car le journal stocke des centaines d’évènements.
Or il est souvent nécessaire de trouver un évènement spécifique lorsque l’on enquête pour trouver la cause de crash et plantage de Windows ou d’une application.
Pour vous y aider, l’observateur d’évènements permet de créer des filtres de vue personnalisée.
Mais il existe aussi d’autres méthodes.
C’est ce que nous allons voir dans ce tutoriel qui s’applique sur Windows 11, Windows 10 et les anciennes versions de Windows comme Windows 7 et Windows 8.
Table des matières
Comment rechercher et filtrer le journal d’évènements de Windows
Filtrer sur le niveau d’évènements
L’observateur d’évènements permet de filtrer très facilement sur le niveau d’évènements (Erreur, avertissement, informations, …).
- Depuis la page d’accueil, la section résumé des évènements d’administration permet cela.
- Déroulez par exemple erreurs pour obtenir les types d’erreur et double-cliquez sur la source celle qui vous intéresse
- Cela créé une vue personnalisée sur ce type d’erreur pour n’afficher que les évènements avec cette source
Créer son filtre de vue personnalisée
Il est tout à fait possible de créer son propre filtre, si vous cherchez des événements sur une source en particulière
Le filtre peut s’appliquer sur le journal ou vous pouvez créer une vue permanente, si vous désirez suivre des événements sur une période.
En haut à droite, l’action :
- Créer une vue personnalisée : permet de créer un filtre permanent, cela vous permet de suivre des événements en particulier
- Filtrer la vue personnalisée actuelle : applique un filtre sur le journal affiché. Ce filtre est perdu par la suite, mais vous pouvez enregistrer ce filtre en vue, si vous souhaitez le garder
Cliquez à droite sur Créer une vue personnalisée.
Vous pouvez filtrer sur la période, le niveau d’événements (informations, critiques, erreurs, …), sur une ou plusieurs sources mais aussi l’ID, type etc.
Par exemple, ci-dessous on cherche sur une source d’évènements VMWare-Tools.
Si vous devez rechercher sur un ID d’évènements, séparez les par des virgules. Pour rechercher sur les évènements dont l’ID est 41, 1074, 6008, 6009, 1076. Saisissez ces derniers comme dans la capture d’écran ci-dessous.
Vous pouvez aussi donner un intervalles d’ID grâce au tirer. Par exemple, pour filtrer sur les évènements dont les ID se trouvent entre 5 et 99, saisissez 5-99.
Une fois validée, vous devez saisir un nom à la vue personnalisée.
Celle-ci s’ajoute dans Affichages Personnalisées avec les évènements filtrés.
Le volet de droite vous permet d’effectuer des actions.
Par exemple, le bouton d’action en haut à droite Enregistrer le filtre dans une vue personnalisée permet d’ajouter la vue pour être rejouée plus tard.
Il est aussi possible d’exporter la vue vers un fichier XML.
Pour modifier la vue, cliquez à droite sur Propriétés puis Modifier le filtre et changer les paramètres.
En ligne de commandes avec wevtutil
La commande wevtutil permet de gérer le journal d’évènement de Windows.
Vous pouvez interroger et lister les évènements à l’aide de la commande qe (ou query-events).
Pour filtrer et rechercher sur un ID d’évènements, utilisez l’option /q de la commande query-events.
La syntaxe est la suivante :
wevtutil qe <nom du journal> /q:"<ID Evenements>"
Par exemple, rechercher les 20 derniers événements de démarrage dans le journal du système :
wevtutil query-events System /c:20 /rd:true /format:text /q:"Event[System[(EventID=12)]]"
Avec Powershell
La commande Get-WinEvent PowerShell permet d’interroger les journaux.
On peut à peu près tout faire avec.
Il serait donc très long d’énumérer toutes les possibilités.
Voici les principales.
LogName permet d’indiquer le fichier journal dans lequel nous souhaitons effectuer la recherche : System, Application, Security.
Lister les évènements systèmes sur une page :
Get-WinEvent -LogName 'System' | Out-Host -Paging
Lister les évènements sur un ID :
Get-WinEvent -FilterHashTable @{LogName='System';ID='1'}
Mais aussi sur un intervalle de numéro d’ID :
Get-WinEvent -FilterHashTable @{LogName='System';ID='1','42'}
Enfin par exemple pour filtrer un évènements sur un mot dans la description, utilisez la syntaxe suivante.
Ici nous recherchons tous les évènements comportant le mot “installation”.
Laissez bien les *, ils sont importants.
Get-WinEvent -FilterHashTable @{LogName='System';} | Where {$_.message -like "*Installation*"} | Format-List
Une autre façon de faire est d’utiliser le cmdlet Get-EventLog et de filtrer les évènements de cette manière :
Get-EventLog -LogName System |? {$_.EventID -in (41,1074,6008,6009,1074,1076)} | ft TimeGenerated,EventId,Message -AutoSize -wrap
Liens
- Comment ouvrir l’observateur d’évènements de Windows 10, 11
- Rechercher et filtrer le journal d’évènements de Windows (11, 10, 8 et 7)
- wevtutil : utilitaire fichier journal évènements de Windows en ligne de commandes
- Les erreurs de l’observateur d’évènements et leurs solutions
- Effacer un journal d’évènement de Windows (11, 10, 7 ou 8)
- Enregistrer un journal d’évènements de Windows
- FullEventLogView : consulter les journaux d’évènements de Windows
- Voir les erreurs et plantages de Windows 10/11