Le Journal des Evénements

A voir : Windows Vista

Pour accéder au journal, entrez dans l'Observateur d'événements en entrant eventvwr en ligne de commandes ou vous pouvez y accéder en entrant Observateur d'événements dans l'aide en ligne.

Logs Windows

Windows a 3 types de logs, un serveur en a plus :

La log Application qui contient les événements rapportés par les différentes applications installées sur votre PC. Celles peuvent être des applications non Microsoft.
Ce fichier se trouve dans : %SystemRoot%\System32\Config\AppEvent.evt

La log Sécurité qui contient les événements audités (voir ci-dessous) ainsi que ceux concernant la sécurité.
Ce fichier se trouve dans : %SystemRoot%\System32\Config\SecEvent.evt

La log Système qui contient les événements rapportés par les composants système (processes, kernel, drivers.
Ce fichier se trouve dans : %SystemRoot%\System32\Config\SysEvent.evt

Chaque log peut contenir 5 types d'événements :

Information - Cet événement indique, par exemple, qu'une application, un driver, ou un service a démarré correctement. Un événement de type information sera écrit dans la log.

Erreur - Cet événement indique un problème, une perte de fonctionnalité ou une erreur pendant le démarrage. Par exemple, si un service ne démarre pas au démarrage, un événement de type erreur sera écrit dans la log.

Avertissement - Cet événement non nécessairement significatif, peut indiquer un futur problème. Par exemple, si l'espace disque devient trop restreint, un message d'avertissement apparaîtra dans la log.

Audit des Succès - Ce type d'événement apparaît dans la log Sécurité lors d'un logon par exemple.

Audit des Echecs - Ce type d'événement apparaît dans la log Sécurité lors d'un logon par exemple, si un mot de passe erroné a été entré.

Activer l'audit des comptes sous Windows XP et 2000

Dans le journal d'événements le journal Sécurité existe, si vous avez demandé au préalable, ce qui n'est pas fait par défaut, par exemple l'audit des connexions, ces informations seront disponibles.

Pour cela, ouvrir la console des "paramètres de sécurité locaux" (MMC puis %SystemRoot%\system32\secpol.msc /s ou à partir du Menu d'Administration, puis ouvrir "Stratégies locales" / "Stratégie d'audit"

- Sélectionner "Auditer les événements de connexion", double-cliquer puis cocher les cases "Essais ayant réussi" et "Essais ayant échoué"
- Sélectionner "Auditer les événements de connexion aux comptes", double-cliquer puis cocher les cases "Essais ayant réussi" et "Essais ayant échoué"Et

Les informations concernant ces types de connexion apparaîtront ensuite dans le journal des événements.

Evénement 37 sous Windows 2000

Si votre journal des événements contient le message suivant :

Type de l'événement : Erreur
Source de l'événement : WinMgmt
Catégorie de l'événement : Aucun
ID de l'événement : 37
Date : Date_de_Démarrage
Heure : Heure_de_Démarrage
Utilisateur : N/A
Ordinateur : [Nom_de_l'ordinateur]
Description : WMI ADAP n'a pas pu charger la bibliothèque de performance winspool.drv en raison d'un problème inconnu dans la bibliothèque : 0x0

Ces événements peuvent être affichés lorsqu'un problème arrive dans la bibliothèque de récupération de performances WMI.

Pour résoudre ce problème :
Exécuter la commande suivante pour récupérer les données :

winmgmt /clearadap

ou

winmgmt /resyncperf -p processID

processID étant le nom du processus de WINMGMT

Evénement 3101 sous Windows 2000

Si votre journal des événements contient le message suivant après chaque démarrage :

Type de l'événement : Erreur
Source de l'événement : perfctrs
Catégorie de l'événement : Aucun
ID de l'événement : 3101
Date : Date_de_Démarrage
Heure : Heure_de_Démarrage
Utilisateur : N/A
Ordinateur : SYSTEM
Description : Impossible de lire les informations de contrôle d'E/S depuis le périphérique NBT.

Les compteurs TCP/IP de performance de Windows essayent d'obtenir les informations de contrôle de votre réseau, mais ces unités n'existent pas.

Pour résoudre ce problème :
1. Exécuter Exctrlst.exe du kit de ressources de Windows 2000 ou téléchargez le ici chez Microsoft.
2. Sélectionner TCPIP Perfctrs.dll dans la liste et désélectionnez la case à cocher Performance Counters Enabled
3. Sortir de l'utilitaire et arrêter et redémarrer votre ordinateur.

Evénement 2506 sous Windows 2000

Après le démarrage, le journal des événements contient l'erreur suivante :

ID de l'événement : 2506
Description : La valeur IRPStackSize dans la clé LanmanServer\Parameters de la base de registre est invalide. La valeur est ignorée et le traitement continue.

Cet événement est lié à la valeur de IRPStackSize qui a été changée pour valeur inférieure à 0x11 qui est la valeur minimale. Différents logiciels dont certains de Symantec mettent cette valeur à une valeur inférieure au minimum légal. Vous pouvez ignorer ce message, mais ce n'est pas recommandé. Des erreurs sporadiques ont été éliminées après avoir remis IRPStackSize à sa valeur par défaut. Pour la remettre à sa juste valeur appliquer les modifications suivantes :

Clé : [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]
Nom : IRPStackSize
Type : REG_DWORD
Valeur : 0x11

A voir : Windows Vista