DetailPage-MSS-KB

Base de connaissances

Numéro d'article: 308427 - Dernière mise à jour: mardi 29 avril 2014 - Version: 8.0

Sommaire

Résumé

Cet article explique comment utiliser l'Observateur d'événements pour afficher et gérer des journaux d'événements dans Microsoft Windows XP.

Plus d'informations

Observateur d'événements

Dans Windows XP, un événement est une occurrence importante dans le système ou dans un programme, dont les utilisateurs doivent être informés ou qui doit faire l'objet d'une entrée dans un journal. Le service Journal des événements consigne des événements d'applications, de sécurité et des événements système dans l'Observateur d'événements. Grâce aux journaux d'événements dans l'Observateur d'événements, vous pouvez obtenir des informations sur votre matériel, sur vos logiciels, et sur vos composants système, et surveiller les événements de sécurité sur un ordinateur local ou distant. Les journaux d'événements peuvent vous aider à identifier et à diagnostiquer la source des problèmes système actuels ou à prédire les problèmes système potentiels.

Types de journaux d'événements

Un ordinateur Windows XP enregistre les événements dans les trois journaux suivants :
  • Journal des applications

    Le journal des applications contient les événements enregistrés par les programmes. Un programme de base de données peut, par exemple, enregistrer une erreur de fichier dans le journal des applications. Les événements qui sont écrits dans le journal des applications sont déterminés par les développeurs du programme.
  • Journal de sécurité

    Le journal de sécurité enregistre des événements tels que les tentatives d'ouverture de session valides et non valides et tous les événements liés à l'utilisation des ressources, comme la création, l'ouverture ou la suppression de fichiers. Par exemple, lorsque l'audit d'ouverture de session est activé, un événement est enregistré dans le journal de sécurité chaque fois qu'un utilisateur essaie d'ouvrir une session sur l'ordinateur. Vous devez avoir ouvert une session en tant qu'administrateur ou en tant que membre du groupe Administrateurs pour pouvoir activer, utiliser et indiquer les événements qui sont enregistrés dans le journal de sécurité.
  • Journal système

    Le journal système contient les événements consignés par les composants système de Windows XP. Par exemple, si un pilote ne parvient pas à se charger au cours du démarrage, un événement est enregistré dans le journal système. Windows XP prédéfinit les événements qui sont consignés par les composants système.

Procédure pour afficher les journaux d'événements

Pour ouvrir l'Observateur d'événements, procédez comme suit :
  1. Cliquez sur Démarrer, puis sur Panneau de configuration. Cliquez sur Performances et maintenance, sur Outils d'administration, puis double-cliquez sur Gestion de l'ordinateur. Ou bien, ouvrez la console MMC contenant le composant logiciel enfichable de l'Observateur d'événements.
  2. Dans l'arborescence de la console, cliquez sur Observateur d'événements.

    Les journaux des applications, de sécurité et les journaux système s'affichent dans la fenêtre de l'Observateur d'événements.

Procédure pour afficher des détails sur des événements

Pour afficher des détails sur un événement, procédez comme suit :
  1. Cliquez sur Démarrer, puis sur Panneau de configuration. Cliquez sur Performances et maintenance, sur Outils d'administration, puis double-cliquez sur Gestion de l'ordinateur. Ou bien, ouvrez la console MMC contenant le composant logiciel enfichable de l'Observateur d'événements.
  2. Dans l'arborescence de la console, développez Observateur d'événements, puis cliquez sur le journal contenant l'événement que vous voulez afficher.
  3. Dans le volet de détails, double-cliquez sur l'événement à afficher.

    La boîte de dialogue Propriétés de l'événement contenant des informations d'en-tête et une description de l'événement s'affiche.

    Pour copier les détails de l'événement, cliquez sur le bouton Copier, puis ouvrez un nouveau document dans le programme dans lequel vous voulez coller cet événement (par exemple, Microsoft Word), puis cliquez sur Coller dans le menu Edition.

    Pour afficher la description de l'événement précédent ou suivant, cliquez sur les touches HAUT ou BAS.

Procédure pour interpréter un événement

Chaque entrée de journal est classée par type, et contient des informations d'en-tête ainsi qu'une description de l'événement.

En-tête d'événement

Cet en-tête d'événement contient les informations suivantes sur l'événement :
  • Date

    Date à laquelle l'événement s'est produit.
  • Heure

    Heure à laquelle l'événement s'est produit.
  • Utilisateur

    Nom de l'utilisateur qui avait ouvert la session lorsque l'événement s'est produit.
  • Ordinateur

    Nom de l'ordinateur sur lequel l'événement s'est produit.
  • ID événement

    Numéro d'événement permettant d'identifier le type d'événement. L'ID événement peut être utilisé par les techniciens spécialistes du produit pour comprendre ce qui s'est produit sur le système.
  • Source

    Source de l'événement. Il peut s'agir du nom d'un programme, d'un composant système ou d'un composant individuel d'un programme plus important.
  • Type

    Type de l'événement. Il peut s'agir de l'un des cinq types suivants : Erreur, Avertissement, Information, Audit des succès ou Audit des échecs.
  • Catégorie

    Classification de l'événement en fonction de sa source. Celle-ci est essentiellement utilisée dans le journal de sécurité.

Types d'événements

La description de chaque événement consigné dépend du type de cet événement. Chaque événement d'un journal peut être classé comme appartenant à l'un des types suivants :
  • Information

    Événement décrivant la réussite d'une tâche, comme une application, un pilote ou un service. Par exemple, un événement de type Information est consigné lorsque le chargement d'un pilote réseau aboutit.
  • Avertissement

    Événement qui n'est pas nécessairement important mais qui peut, cependant, indiquer la possibilité d'un problème futur. Par exemple, un message de type Avertissement est consigné lorsque l'espace disque commence à être saturé.
  • Erreur

    Événement qui décrit un problème important, comme l'échec d'une tâche essentielle. Les événements de type Erreur peuvent entraîner une perte de données ou de fonctionnalité. Par exemple, un événement de type Erreur est consigné si un service ne parvient pas à se charger au démarrage.
  • Audit des succès (journal de sécurité)

    Événement qui décrit la réussite d'un événement de sécurité audité. Par exemple, un événement de type Audit des succès est consigné lorsque l'utilisateur ouvre une session sur l'ordinateur.
  • Audit des échecs (journal de sécurité)

    Événement qui décrit l'échec d'un événement de sécurité audité. Par exemple, un événement de type Audit des échecs est consigné lorsqu'un utilisateur ne parvient pas à accéder à un lecteur réseau.

Procédure pour rechercher des événements dans un journal

Par défaut, les journaux d'événements affichent l'intégralité des entrées. Si vous voulez rechercher un événement spécifique, ou afficher un sous-ensemble d'événements, vous pouvez effectuer une recherche dans le journal ou appliquer un filtre aux données du journal.

Procédure pour rechercher un événement de journal spécifique

Pour rechercher un événement de journal spécifique, procédez comme suit :
  1. Cliquez sur Démarrer, puis sur Panneau de configuration. Cliquez sur Performances et maintenance, sur Outils d'administration, puis double-cliquez sur Gestion de l'ordinateur. Ou bien, ouvrez la console MMC contenant le composant logiciel enfichable de l'Observateur d'événements.
  2. Dans l'arborescence de la console, développez Observateur d'événements, puis cliquez sur le journal contenant l'événement que vous voulez afficher.
  3. Dans le menu Affichage, cliquez sur Rechercher.
  4. Spécifiez les options de l'événement que vous voulez affichez dans la boîte de dialogue Recherche, puis cliquez sur Suivant.
L'événement correspondant à vos critères de recherche est mis en évidence dans le volet d'informations. Cliquez sur Suivant pour passer à l'occurrence suivante de l'événement défini par vos critères de recherche.

Procédure pour filtrer les événements d'un journal

Pour filtrer les événements d'un journal, procédez comme suit :
  1. Cliquez sur Démarrer, puis sur Panneau de configuration. Cliquez sur Performances et maintenance, sur Outils d'administration, puis double-cliquez sur Gestion de l'ordinateur. Ou bien, ouvrez la console MMC contenant le composant logiciel enfichable de l'Observateur d'événements.
  2. Dans l'arborescence de la console, développez Observateur d'événements, puis cliquez sur le journal contenant l'événement que vous voulez afficher.
  3. Dans le menu Affichage, cliquez sur Filtre.
  4. Cliquez sur l'onglet Filtre (s'il n'est pas déjà sélectionné).
  5. Spécifiez les options de filtre souhaitées, puis cliquez sur OK.
Seuls les événement correspondant à vos critères de filtre s'affichent dans le volet d'informations.

Pour rétablir l'affichage de toutes les entrées de journal, cliquez sur Filtre dans le menu Affichage, puis sur Paramètres par défaut.

Procédure pour gérer le contenu des journaux

Par défaut, la taille maximum initiale d'un journal est de 512 Ko, et lorsque cette taille est atteinte, les nouveaux événements remplacent au fur et à mesure les événements les plus anciens. Selon vos besoins, vous pouvez modifier ces paramètres, ou effacer le contenu d'un journal.

Procédure pour définir la taille d'un journal et les options de remplacement

Pour définir la taille d'un journal et les options de remplacement, procédez comme suit :
  1. Cliquez sur Démarrer, puis sur Panneau de configuration. Cliquez sur Performances et maintenance, sur Outils d'administration, puis double-cliquez sur Gestion de l'ordinateur. Ou bien, ouvrez la console MMC contenant le composant logiciel enfichable de l'Observateur d'événements.
  2. Dans l'arborescence de la console, développez Observateur d'événements, puis cliquez avec le bouton droit sur le journal dans lequel vous voulez définir la taille et les options de remplacement.
  3. Sous Taille de journal, tapez la taille souhaitée dans la boîte de dialogue Taille maximale du journal.
  4. Sous Lorsque la taille maximale du journal est atteinte, cliquez sur l'option de remplacement souhaitée.
  5. Su vous voulez effacer le contenu du journal, cliquez sur Effacer le journal.
  6. Cliquez sur OK.

Procédure pour archiver un journal

Si vous voulez enregistrer vos données de journal, vous pouvez archiver les journaux d'événements dans l'un des formats suivants :
  • Format de fichier de journal (.evt)
  • Format de fichier texte (.txt)
  • Format de fichier texte délimité par des virgules (.csv)
Pour archiver un journal, procédez comme suit :
  1. Cliquez sur Démarrer, puis sur Panneau de configuration. Cliquez sur Performances et maintenance, sur Outils d'administration, puis double-cliquez sur Gestion de l'ordinateur. Ou bien, ouvrez la console MMC contenant le composant logiciel enfichable de l'Observateur d'événements.
  2. Dans l'arborescence de la console, développez Observateur d'événements, puis cliquez avec le bouton droit sur le journal dans lequel vous voulez archiver, puis cliquez sur Enregistrer le fichier journal sous.
  3. Spécifiez un nom de fichier et l'emplacement où vous souhaitez enregistrer le fichier. Dans la zone Type de fichier, cliquez sur le format de votre choix, puis sur Enregistrer.
Le fichier journal est enregistré au format que vous avez indiqué.

Références

Pour plus d'informations sur un événement ou une erreur spécifique, reportez-vous au site Web de Microsoft à l'adresse suivante :
http://technet.microsoft.com/fr-fr/library/cc754424(WS.10).aspx (http://technet.microsoft.com/fr-fr/library/cc754424(WS.10).aspx)
Pour plus d'informations sur l'utilisation de l'Observateur d'événements, reportez-vous à l'aide sur l'Observateur d'événements. (Dans le composant logiciel enfichable de l'Observateur d'événements ou dans la fenêtre Gestion de l'ordinateur, dans le menu Action, cliquez sur Aide).

Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows XP Édition familiale
  • Microsoft Windows XP Professional
Mots-clés : 
kbhowtomaster kbhowto kbenv KB308427
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.
Partager
Options de support supplémentaire
Forums du support Microsoft Community
Nous contacter directement
Trouver un partenaire Microsoft Certified Partner
Microsoft Store