Menu Fermer

Rechercher et filtrer le journal d’évènements de Windows (11, 10, 8 et 7)

Windows enregistre constamment des évènements qu’il consigne dans le journal d’évènement.
Les évènements sont les activités du système d’exploitation et des applications ainsi que des avertissements ou des erreurs rencontrées.
Ces derniers peuvent être consultés notamment via l’observateur d’évènements.

Mais parfois, il n’est pas forcément facile de s’y retrouver car le journal stocke des centaines d’évènements.
Or il est souvent nécessaire de trouver un évènement spécifique lorsque l’on enquête pour trouver la cause de crash et plantage de Windows ou d’une application.

Pour vous y aider, l’observateur d’évènements permet de créer des filtres de vue personnalisée.
Mais il existe aussi d’autres méthodes.
C’est ce que nous allons voir dans ce tutoriel qui s’applique sur Windows 11, Windows 10 et les anciennes versions de Windows comme Windows 7 et Windows 8.

Rechercher et filtrer le journal d'évènements de Windows (11, 10, 8 et 7)

Comment rechercher et filtrer le journal d’évènements de Windows

Filtrer sur le niveau d’évènements

L’observateur d’évènements permet de filtrer très facilement sur le niveau d’évènements (Erreur, avertissement, informations, …).

  • Depuis la page d’accueil, la section résumé des évènements d’administration permet cela.
Filtrer sur le niveau d'évènements dans l'observateur d'évènements
  • Déroulez par exemple erreurs pour obtenir les types d’erreur et double-cliquez sur la source celle qui vous intéresse
Filtrer sur le niveau d'évènements dans l'observateur d'évènements
  • Cela créé une vue personnalisée sur ce type d’erreur pour n’afficher que les évènements avec cette source
Filtrer sur le niveau d'évènements dans l'observateur d'évènements

Créer son filtre de vue personnalisée

Il est tout à fait possible de créer son propre filtre, si vous cherchez des événements sur une source en particulière
Le filtre peut s’appliquer sur le journal ou vous pouvez créer une vue permanente, si vous désirez suivre des événements sur une période.

En haut à droite, l’action :

  • Créer une vue personnalisée : permet de créer un filtre permanent, cela vous permet de suivre des événements en particulier
  • Filtrer la vue personnalisée actuelle : applique un filtre sur le journal affiché. Ce filtre est perdu par la suite, mais vous pouvez enregistrer ce filtre en vue, si vous souhaitez le garder

Cliquez à droite sur Créer une vue personnalisée.

Créer une vue personnalisée dans l'observateur d'évènements pour filtrer les évènements

Vous pouvez filtrer sur la période, le niveau d’événements (informations, critiques, erreurs, …), sur une ou plusieurs sources mais aussi l’ID, type etc.

Créer une vue personnalisée dans l'observateur d'évènements pour filtrer les évènements

Par exemple, ci-dessous on cherche sur une source d’évènements VMWare-Tools.

Filtrer l'observateur d’événements de Windows 10

Si vous devez rechercher sur un ID d’évènements, séparez les par des virgules. Pour rechercher sur les évènements dont l’ID est 41, 1074, 6008, 6009, 1076. Saisissez ces derniers comme dans la capture d’écran ci-dessous.
Vous pouvez aussi donner un intervalles d’ID grâce au tirer. Par exemple, pour filtrer sur les évènements dont les ID se trouvent entre 5 et 99, saisissez 5-99.

Comment voir l'historique des démarrages et des arrêts du PC dans Windows

Une fois validée, vous devez saisir un nom à la vue personnalisée.
Celle-ci s’ajoute dans Affichages Personnalisées avec les évènements filtrés.
Le volet de droite vous permet d’effectuer des actions.
Par exemple, le bouton d’action en haut à droite Enregistrer le filtre dans une vue personnalisée permet d’ajouter la vue pour être rejouée plus tard.
Il est aussi possible d’exporter la vue vers un fichier XML.

Filtrer l'observateur d’événements de Windows 10

Pour modifier la vue, cliquez à droite sur Propriétés puis Modifier le filtre et changer les paramètres.

Bravo ! vous avez créer votre propre filtre de journal d’évènements afin de chercher et trouver l’évènement.

En ligne de commandes avec wevtutil

La commande wevtutil permet de gérer le journal d’évènement de Windows.
Vous pouvez interroger et lister les évènements à l’aide de la commande qe (ou query-events).
Pour filtrer et rechercher sur un ID d’évènements, utilisez l’option /q de la commande query-events.
La syntaxe est la suivante :

wevtutil qe <nom du journal> /q:"<ID Evenements>"

Par exemple, rechercher les 20 derniers événements de démarrage dans le journal du système :

wevtutil query-events System /c:20 /rd:true /format:text /q:"Event[System[(EventID=12)]]"
Comment afficher la liste des évènements en filtrant sur un ID d'évènements avec wevtutil

Avec Powershell

La commande Get-WinEvent PowerShell permet d’interroger les journaux.
On peut à peu près tout faire avec.
Il serait donc très long d’énumérer toutes les possibilités.

Voici les principales.

LogName permet d’indiquer le fichier journal dans lequel nous souhaitons effectuer la recherche : System, Application, Security.

Lister les évènements systèmes sur une page :

Get-WinEvent -LogName 'System' | Out-Host -Paging

Lister les évènements sur un ID :

Get-WinEvent -FilterHashTable @{LogName='System';ID='1'}

Mais aussi sur un intervalle de numéro d’ID :

Get-WinEvent -FilterHashTable @{LogName='System';ID='1','42'}
Rechercher et filtrer le journal d'évènements de Windows en PowerShell

Enfin par exemple pour filtrer un évènements sur un mot dans la description, utilisez la syntaxe suivante.
Ici nous recherchons tous les évènements comportant le mot “installation”.
Laissez bien les *, ils sont importants.

Get-WinEvent -FilterHashTable @{LogName='System';} | Where {$_.message -like "*Installation*"} | Format-List

Une autre façon de faire est d’utiliser le cmdlet Get-EventLog et de filtrer les évènements de cette manière :

Get-EventLog -LogName System |? {$_.EventID -in (41,1074,6008,6009,1074,1076)} | ft TimeGenerated,EventId,Message -AutoSize -wrap