Le système d'exploitation Windows 7 surveille en permanence divers événements notables qui se produisent dans votre système. À Microsoft Windows un événement est tout incident dans le système d'exploitation qui est consigné ou qui nécessite une notification aux utilisateurs ou aux administrateurs. Il peut s'agir d'un service qui ne veut pas démarrer, d'une installation de périphérique ou d'une erreur d'application. Les événements sont consignés et stockés dans les journaux d'événements Windows et fournissent des informations historiques importantes pour vous aider à surveiller votre système, à maintenir la sécurité du système, à résoudre les problèmes et à effectuer des diagnostics. Les informations contenues dans ces journaux doivent être examinées régulièrement. Vous devez surveiller régulièrement les journaux d'événements et configurer le système d'exploitation pour enregistrer les événements système importants. Si vous êtes administrateur Serveurs Windows, vous devez alors surveiller la sécurité de leurs systèmes, le fonctionnement normal des applications et des services, et également vérifier si le serveur contient des erreurs susceptibles de dégrader les performances. Si vous êtes un utilisateur ordinateur personnel, vous devez vous assurer que vous avez accès aux journaux appropriés dont vous avez besoin pour prendre en charge votre système et résoudre les erreurs.

Programme Observateur d'événements est un composant logiciel enfichable Microsoft Management Console (MMC) permettant d'afficher et de gérer les journaux d'événements. C'est un outil indispensable pour surveiller la santé du système et le dépannage. Service Windows, qui contrôle la journalisation des événements, s'appelle "Le journal des événements". Dans le cas où il est en cours d'exécution, Windows écrit des données importantes dans les journaux. Avec l'aide du programme Observateur d'événements vous pouvez faire ce qui suit :

• Afficher les événements de journaux spécifiques ;
• Appliquez des filtres d'événements et enregistrez-les pour une utilisation ultérieure en tant que vues personnalisées ;
• Créer des abonnements aux événements et les gérer ;
• Attribuez l'exécution d'actions spécifiques à l'occurrence d'un événement spécifique.

Lancement de l'Observateur d'événements

Application Observateur d'événements peut être ouvert des manières suivantes :

Journaux des événements dans Windows 7

Au bloc opératoire Système Windows 7, tout comme dans Windows Vista, il existe deux catégories de journaux d'événements : Journaux Windows et journaux des applications et des services. Journaux Windows- sont utilisés par le système d'exploitation pour enregistrer des événements à l'échelle du système liés au fonctionnement des applications, des composants du système, de la sécurité et du démarrage. MAIS journaux des applications et des services- sont utilisés par les applications et les services pour enregistrer des événements liés à leur fonctionnement. Vous pouvez utiliser le composant logiciel enfichable pour gérer les journaux d'événements Observateur d'événements ou programme ligne de commande wevtutil dont il sera question dans la deuxième partie de l'article. Tous les types de journaux sont décrits ci-dessous :

Application- stocke les événements importants liés à une application spécifique. Par exemple, Serveur d'échange enregistre les événements liés au transfert de courrier, y compris les événements de stockage d'informations, boîtes aux lettres et les services en cours d'exécution. L'emplacement par défaut est %SystemRoot%\System32\Winevt\Logs\Application.Evtx.

Sécurité- Stocke les événements liés à la sécurité tels que la connexion/déconnexion, l'utilisation des privilèges et l'accès aux ressources. Placé par défaut dans %SystemRoot%\System32\Winevt\Logs\Security.Evtx

Installation- ce journal enregistre les événements qui se produisent lors de l'installation et de la configuration du système d'exploitation et de ses composants. L'emplacement par défaut est %SystemRoot%\System32\Winevt\Logs\Setup.Evtx.

Système- stocke les événements du système d'exploitation ou de ses composants, tels que les échecs de démarrage des services ou d'initialisation des pilotes, les messages à l'échelle du système et d'autres messages liés au système dans son ensemble. Par défaut placé dans %SystemRoot%\System32\Winevt\Logs\System.Evtx

Événements transférés- si le transfert d'événements est configuré, ce journal inclut les événements transférés depuis d'autres serveurs. Placé par défaut dans %SystemRoot%\System32\Winevt\Logs\ForwardedEvents.Evtx

Internet Explorer - ce journal enregistre les événements qui se produisent pendant la configuration et fonctionnent avec navigateur Internet explorateur. Par défaut placé dans %SystemRoot%\System32\Winevt\Logs\InternetExplorer.Evtx

WindowsPowerShell- Les événements liés à l'utilisation du shell PowerShell sont consignés dans ce journal. Par défaut situé dans %SystemRoot%\System32\Winevt\Logs\WindowsPowerShwll.Evtx

Événements d'équipement- si la journalisation des événements de l'équipement est configurée, les événements générés par les équipements sont écrits dans ce journal. Placé par défaut dans %SystemRoot%\System32\Winevt\Logs\HardwareEvent.Evtx

Dans Windows 7, l'infrastructure qui fournit la journalisation des événements est basée sur la même que dans Windows Vistaà XML. Les données de chaque événement suivent un schéma XML, vous permettant d'accéder au code XML de n'importe quel événement. En outre, vous pouvez créer des requêtes basées sur XML pour récupérer des données à partir de journaux. Aucune connaissance de XML n'est requise pour utiliser ces nouvelles fonctionnalités. gréement Observateur d'événements fournit une simple interface graphique pour accéder à ces fonctionnalités.

Propriétés de l'événement

Il existe plusieurs propriétés d'événement de composant logiciel enfichable Observateur d'événements qui sont détaillés ci-dessous :

La source est le programme qui a enregistré l'événement. Il peut s'agir soit du nom du programme (par exemple, "Exchange Server"), soit du nom d'un composant système, soit grande demande(par exemple nom du pilote). Par exemple, "Elnkii" signifie le pilote EtherLink II.

Code d'événement est un nombre qui spécifie un type particulier d'événement. La première ligne de la description contient généralement le nom du type d'événement. Par exemple, 6005 est l'ID d'événement qui se produit lorsque le service de journalisation des événements démarre. En conséquence, au début de la description de cet événement se trouve la ligne "Service de journal des événements démarré". L'ID d'événement et le nom de la source d'enregistrement peuvent être utilisés par les représentants de l'équipe d'assistance produit logiciel pour le dépannage.

Niveau est le niveau d'importance de l'événement. Dans les journaux du système et des applications, les événements peuvent avoir les niveaux de gravité suivants :

• Notification- désigne un changement dans une application ou un composant, tel que l'apparition d'un événement d'information associé à une action réussie, la création d'une ressource ou le démarrage d'un service.
• Avertissement- indique un avertissement général un problème qui pourrait affecter le service ou entraîner un problème plus grave s'il n'est pas pris en charge ;
• Erreur- indique qu'un problème est survenu pouvant affecter des fonctions externes à l'application ou au composant à l'origine de l'événement ;
• Erreur critique- indique qu'une défaillance s'est produite à partir de laquelle l'application ou le composant qui a déclenché l'événement ne peut pas récupérer automatiquement ;
• Audit de réussite- Réussite des activités que vous suivez par le biais de l'audit, telles que l'utilisation d'un privilège ;
• Vérification des pannes- Échec des actions que vous suivez via l'audit, comme un échec de connexion.

Utilisateur- définit le compte utilisateur pour le compte duquel cet événement s'est produit. Les utilisateurs incluent des entités spécifiques telles que le service local, le service réseau et la connexion anonyme, ainsi que des comptes d'utilisateurs réels. Ce nom est l'ID client si l'événement a réellement été déclenché par le processus serveur, ou l'ID principal s'il n'y a pas d'emprunt d'identité. Dans certains cas, une entrée du journal de sécurité contient les deux identifiants. Et aussi dans ce champ il peut y avoir N/A (N/A), si dans cette situation Compte n'est pas applicable. L'emprunt d'identité se produit lorsque le serveur autorise un processus à attribuer les attributs de sécurité d'un autre processus.

Code de travail- contient une valeur numérique qui spécifie l'opération ou le point dans l'opération qui a déclenché l'événement. Par exemple, initialisation ou fermeture.

Magazine- le nom du journal dans lequel cet événement a été enregistré.

Catégorie et tâches- définit la catégorie de l'événement, parfois utilisée pour décrire plus en détail une action valide. Chaque source d'événement a ses propres catégories. Par exemple, les catégories suivantes sont : connexion/déconnexion, utilisation des privilèges, changement de politique et gestion du compte.

Mots clés est un ensemble de catégories ou d'étiquettes qui peuvent être utilisées pour filtrer ou rechercher des événements. Par exemple : "Réseau", "Sécurité" ou "Ressource introuvable".

Un ordinateur- identifie le nom de l'ordinateur sur lequel l'événement s'est produit. C'est généralement le nom ordinateur local, mais peut également être le nom de l'ordinateur qui a transmis l'événement ou le nom de l'ordinateur local avant sa modification.

date et l'heure- définit la date et l'heure d'occurrence de cet événement dans le journal.

ID de processus- représente un numéro d'identification le processus qui a généré l'événement. Programme d'ordinateur n'est qu'un ensemble passif d'instructions, alors que le processus est l'exécution directe de ces instructions

Identifiant du fil- représente le numéro d'identification du thread qui a créé cet événement. Un processus généré dans un système d'exploitation peut consister en plusieurs threads exécutés "en parallèle", c'est-à-dire sans ordre prescrit dans le temps. Pour certaines tâches, cette séparation peut atteindre plus utilisation efficace ressources informatiques

Identifiant du processeur- représente le numéro d'identification du processeur qui a traité l'événement.

ID de session est le numéro d'identification de la session sur le serveur Terminal Server au cours de laquelle l'événement s'est produit.

Heure du noyau Spécifie le temps passé à exécuter des instructions en mode noyau, en unités de temps CPU. Le mode noyau a un accès illimité à la mémoire système et périphériques externes. Le noyau d'un système NT est appelé noyau hybride ou macro-noyau.

Autonomie en mode utilisateur Spécifie le temps passé à exécuter des instructions en mode utilisateur, en unités de temps CPU. Le mode utilisateur se compose de sous-systèmes qui transmettent les demandes d'E/S au pilote de mode noyau approprié via le gestionnaire d'E/S.

Charge du processeur est le temps passé à exécuter des instructions en mode utilisateur, en ticks CPU.

Code de corrélation- définit l'action dans le processus pour laquelle l'événement est utilisé. Ce code est utilisé pour spécifier des relations simples entre des événements. La corrélation est une relation statistique entre deux variables aléatoires ou plus (ou des variables qui peuvent être considérées comme telles avec un degré de précision acceptable). Dans le même temps, des changements dans une ou plusieurs de ces quantités entraînent un changement systématique de l'autre ou des autres quantités.

ID de corrélation relative- définit l'action relative dans le processus pour laquelle l'événement est utilisé

Utilisation des journaux d'événements

Observateur d'événements

Vous pouvez voir le journal dans la capture d'écran suivante. "Applications", qui fournit des informations sur les événements, les vues récentes et les actions disponibles. Pour afficher les événements du journal des applications, procédez comme suit :

1. Dans l'arborescence de la console, sélectionnez "Journaux Windows";
2. Choisissez une revue "Applications".

Il est conseillé de consulter plus souvent les journaux d'événements "Application" et "Système" et étudier les problèmes existants et les avertissements qui peuvent laisser présager des problèmes à l'avenir. Lorsqu'un journal est sélectionné, la fenêtre du milieu affiche les événements disponibles, y compris la date de l'événement, l'heure et la source, le niveau de l'événement, etc.

Panneau "zone de visualisation" affiche les données d'événement de base sur l'onglet "Général", et des données spécifiques supplémentaires sur l'onglet "Détails". Vous pouvez activer et désactiver ce panneau en sélectionnant le menu "Voir" puis la commande "zone de visualisation".

Pour les systèmes critiques, il est recommandé de conserver les journaux des derniers mois. En règle générale, attribuer aux journaux une taille telle que toutes les informations y tiennent n'est pas pratique, en règle générale, ce problème peut être résolu d'une autre manière. Vous pouvez exporter des journaux vers des fichiers situés dans un dossier spécifié. Pour enregistrer le journal sélectionné, procédez comme suit :

1. Dans l'arborescence de la console, sélectionnez le journal des événements que vous souhaitez enregistrer ;
2. Choisissez une équipe "Enregistrer les événements sous" du menu "Action" ou depuis le menu contextuel du journal, sélectionnez la commande "Enregistrer tous les événements sous";
3. Dans la boîte de dialogue qui s'affiche "Enregistrer sous" sélectionnez le dossier dans lequel le fichier doit être enregistré. Si vous souhaitez enregistrer le fichier dans un nouveau dossier, vous pouvez le créer directement à partir de cette boîte de dialogue à l'aide du menu contextuel ou du bouton « nouveau dossier» dans la barre d'action. Dans le champ "Type de fichier" vous devez sélectionner le format de fichier souhaité parmi ceux disponibles : fichiers d'événements - *.evtx, fichier xml - *.xml, texte séparé par des tabulations - *.txt, csv séparé par des virgules - *.csv. Dans le champ "Nom de fichier" "Sauvegarder". Pour annuler l'enregistrement, appuyez sur le bouton "Annuler";
4. Dans le cas où le journal des événements n'est pas destiné à être visualisé sur un autre ordinateur, dans la boîte de dialogue "Afficher les détails" laisser l'option par défaut "Ne pas afficher les détails", et si le journal est destiné à être visualisé sur un autre ordinateur, alors dans la boîte de dialogue "Afficher les détails" choisis une option "Afficher les informations pour les langues suivantes" et cliquez sur le bouton "D'ACCORD".

Effacement du journal des événements

Parfois, il est nécessaire de nettoyer les journaux d'événements complets afin d'analyser efficacement les avertissements et erreurs critiques système opérateur. Pour effacer le journal sélectionné, procédez comme suit :

1. Dans l'arborescence de la console, sélectionnez le journal des événements que vous souhaitez effacer ;
2. Effacez le journal de l'une des manières suivantes :
   • au menu "Action" sélectionner une équipe "Effacer le journal";
   • Sur le journal sélectionné, cliquez avec le bouton droit pour ouvrir le menu contextuel. À menu contextuel sélectionner une équipe "Effacer le journal";
3. Ensuite, vous pouvez soit effacer le journal, soit l'archiver si cela n'a pas été fait auparavant :
   • Pour effacer le journal des événements sans enregistrer, cliquez sur le bouton "Dégager";
   • Pour effacer le journal des événements après l'avoir enregistré, cliquez sur le bouton "Enregistrer et nettoyer". Dans la boîte de dialogue qui s'affiche "Enregistrer sous" sélectionnez le dossier dans lequel le fichier doit être enregistré. Si vous souhaitez enregistrer le fichier dans un nouveau dossier, vous pouvez le créer directement à partir de cette boîte de dialogue à l'aide du menu contextuel ou du bouton "Nouveau dossier" dans la barre d'action. Dans le champ "Nom de fichier" entrez un nom et cliquez sur le bouton "Sauvegarder". Pour annuler l'enregistrement, appuyez sur le bouton "Annuler".

Définition de la taille maximale du journal

Comme mentionné ci-dessus, les journaux d'événements sont stockés sous forme de fichiers dans le dossier %SystemRoot%\System32\Winevt\Logs\. Par défaut, la taille maximale de ces fichiers est limitée, mais vous pouvez la modifier de la manière suivante :

1. Choisissez une équipe "Propriétés" du menu "Action"
2. Dans le champ "Taille maximale du journal (Ko)" réglez la valeur requise à l'aide du compteur ou réglez manuellement sans utiliser le compteur. Dans ce cas, la valeur sera arrondie au multiple de 64 Ko le plus proche car la taille du fichier journal doit être un multiple de 64 Ko et ne peut pas être inférieure à 1024 Ko.

Les événements sont stockés dans un fichier journal, qui ne peut atteindre qu'une taille maximale spécifiée. Une fois que le fichier a atteint la taille maximale, le traitement des événements entrants sera déterminé par la stratégie de conservation des journaux. Les règles de conservation des journaux suivantes sont disponibles :

Réécrire les événements si nécessaire (les anciens fichiers en premier)- dans ce cas, les nouvelles entrées continuent d'être enregistrées une fois qu'il est plein. Chaque nouvel événement remplace le plus ancien dans le journal ;

Archiver le journal lorsqu'il est plein ; ne pas réécrire les événements- dans ce cas, le fichier journal est automatiquement archivé si nécessaire. Les événements obsolètes ne sont pas écrasés.

Ne pas réécrire les événements (effacer le journal manuellement)- dans ce cas, le journal est effacé manuellement, pas automatiquement.

Pour sélectionner la stratégie de conservation des journaux souhaitée, procédez comme suit :

1. Dans l'arborescence de la console, sélectionnez le journal des événements pour lequel vous souhaitez redimensionner ;
2. Choisissez une équipe "Propriétés" du menu "Action" soit depuis le menu contextuel de la revue sélectionnée ;
3. Sur l'onglet "Général", Au chapitre "Après avoir atteint la taille maximale" sélectionner le paramètre requis et appuyer sur le bouton "D'ACCORD".

Activer la journalisation analytique et de débogage

Les journaux d'analyse et de débogage sont désactivés par défaut. Une fois activés, ils se remplissent rapidement d'un grand nombre d'événements. Pour cette raison, il est souhaitable d'activer ces journaux pendant une période limitée afin de collecter les données nécessaires au dépannage, puis de les désactiver à nouveau. Les journaux peuvent être activés comme suit :

1. Dans l'arborescence de la console, recherchez et sélectionnez le journal d'analyse ou de débogage que vous souhaitez activer ;
2. Choisissez une équipe "Propriétés" du menu "Action" ou depuis le menu contextuel du journal d'analyse ou de débogage sélectionné ;
3. Sur l'onglet "Général" cochez la case sur les options "Activer la journalisation"

Ouverture et fermeture d'un journal enregistré

Avec l'aide d'équipements Observateur d'événements vous pouvez ouvrir et afficher les journaux précédemment enregistrés. Vous pouvez ouvrir plusieurs journaux enregistrés en même temps et y accéder à tout moment dans l'arborescence de la console. Magazine ouvert en Observateur d'événements, peut être fermé sans supprimer les informations qu'il contient. Pour ouvrir un journal enregistré, procédez comme suit :

1. Choisissez une équipe "Ouvrir le journal enregistré" au menu "Action" ou depuis le menu contextuel de l'arborescence de la console ;
2. 3. Dans la boîte de dialogue "Ouvrir le journal enregistré", en vous déplaçant dans l'arborescence des répertoires, ouvrez le dossier contenant fichier souhaité. Par défaut, tous les fichiers journaux d'événements seront affichés dans la boîte de dialogue. De plus, lors de l'ouverture, vous pouvez sélectionner le type de fichiers que vous souhaitez afficher dans la boîte de dialogue d'ouverture. Modèles disponibles fichiers : fichiers journaux d'événements (*.evtx, *.evt, *.etl), ainsi que fichiers d'événements (*.evtx), anciens fichiers d'événements (*.evt) ou fichiers journaux de trace (*.etl). Une fois le fichier journal souhaité trouvé, sélectionnez-le en cliquant dessus avec le bouton gauche de la souris, ce qui placera son nom dans la ligne de saisie du nom du fichier et cliquez sur le bouton "Ouvert".
3. En dialogue "Ouvrir le journal enregistré", dans le champ "Nom" entrez un nouveau nom à utiliser pour le journal dans l'arborescence de la console. Il est uniquement utilisé pour représenter le journal dans l'arborescence de la console et ne modifie pas le nom du fichier journal. Vous pouvez également utiliser un nom de fichier journal existant. Dans le champ "La description" entrez une description pour le journal. Il sera affiché dans le volet central lorsque le dossier du journal parent est mis en surbrillance dans l'arborescence de la console ;
4. Pour créer un dossier dans lequel se trouvera le journal enregistré, cliquez sur le bouton "Créer un dossier". Dans le champ "Nom" entrez le nom du dossier où se trouvera le journal ouvert, puis cliquez sur le bouton "D'ACCORD". Si aucun dossier parent n'est sélectionné, le nouveau dossier sera situé dans le dossier "Journaux enregistrés".
5. Pour rendre le journal des événements ouvert inaccessible aux autres utilisateurs de l'ordinateur, vous pouvez décocher la case "Tous les utilisateurs". Si cette case à cocher reste active, le journal ouvert sera disponible pour tous les utilisateurs, mais des droits d'administrateur seront nécessaires pour le supprimer de l'arborescence de la console ;
6. Pour ouvrir le magazine, cliquez sur le bouton "D'ACCORD".

Pour supprimer un journal ouvert de l'arborescence des événements, procédez comme suit :

1. Dans l'arborescence de la console, sélectionnez le journal que vous souhaitez supprimer ;
2. Choisissez une équipe "Effacer" du menu "Action" soit depuis le menu contextuel de la revue sélectionnée ;
3. En dialogue Observateur d'événements cliquez sur le bouton "Oui".

Conclusion

Cette partie de l'article sur le composant logiciel enfichable Observateur d'événements présente le composant logiciel enfichable lui-même et détaille les opérations de base impliquées dans la surveillance et la maintenance de votre système à l'aide de l'Observateur d'événements. La prochaine partie de l'article sera conçue pour les personnes expérimentées Utilisateurs Windows. Il couvrira les tâches avec des vues personnalisées, le filtrage, le regroupement/tri des événements et la gestion des abonnements.

La septième version du système d'exploitation Windows implémente la fonction de suivi des événements importants qui se produisent dans le fonctionnement des programmes système. Chez Microsoft, le terme "événements" fait référence à toutes les occurrences du système qui sont enregistrées dans un journal spécial et se signalent aux utilisateurs ou aux administrateurs. Il peut s'agir d'un utilitaire qui ne veut pas s'exécuter, d'applications qui se bloquent ou d'appareils qui ne s'installent pas correctement. Tous les incidents enregistrent et enregistrent le journal des événements Windows 7. Il organise et affiche également toutes les actions dans l'ordre chronologique, aide à effectuer le contrôle du système, assure la sécurité du système d'exploitation, corrige les erreurs et diagnostique l'ensemble du système.

Vous devez consulter ce journal périodiquement pour de nouvelles informations et configurer le système pour enregistrer les données importantes.

Windows 7 - programmes

L'application informatique Event Viewer est la partie principale des utilitaires Microsoft conçus pour surveiller et afficher le journal des événements. Il s'agit d'un outil nécessaire pour surveiller la santé du système et éliminer les erreurs qui apparaissent. L'utilitaire Windows qui gère la documentation des incidents s'appelle le journal des événements. Si ce service est en cours d'exécution, il commence à collecter et à enregistrer toutes les données importantes dans ses archives. Le journal des événements de Windows 7 vous permet d'effectuer les actions suivantes :

Visualisation des données enregistrées dans l'archive ;

Utiliser divers filtres d'événements et les enregistrer pour une utilisation ultérieure dans les paramètres système ;

Créer un abonnement pour des incidents spécifiques et les gérer ;

Attribuez des actions spécifiques lorsque des événements se produisent.

Comment ouvrir le journal des événements de Windows 7 ?

Le programme chargé d'enregistrer les incidents est lancé comme suit :

1. Le menu est activé en appuyant sur le bouton "Démarrer" dans le coin inférieur gauche du moniteur, puis le "Panneau de configuration" s'ouvre. Dans la liste des contrôles, sélectionnez "Administration" et déjà dans ce sous-menu cliquez sur "Observateur d'événements".

2. Il existe un autre moyen d'afficher le journal des événements de Windows 7. Pour ce faire, allez dans le menu Démarrer, tapez mmc dans la zone de recherche et envoyez une demande de recherche de fichier. Ensuite, le tableau MMC s'ouvrira, où vous devrez sélectionner un paragraphe indiquant l'ajout et la suppression de composants logiciels enfichables. Ensuite, l'Observateur d'événements est ajouté à la fenêtre principale.

Quelle est l'application décrite ?

À systèmes d'exploitation Windows 7 et Vista ont deux types de journaux d'événements installés : les archives système et le journal du service d'application. La première option est utilisée pour résoudre les incidents à l'échelle du système liés aux performances. applications diverses, démarrage et sécurité. La deuxième option est responsable de l'enregistrement des événements de leur travail. Pour contrôler et gérer toutes les données, le service "Journal des événements" utilise l'onglet "Affichage", qui est divisé selon les éléments suivants :

Application - les événements associés à un programme particulier sont stockés ici. Par exemple, les services de messagerie stockent à cet endroit l'historique des transferts d'informations, divers événements dans les boîtes aux lettres, etc.

L'élément "Sécurité" enregistre toutes les données relatives à la connexion et à la déconnexion du système, à l'utilisation des fonctionnalités d'administration et à l'accès aux ressources.

Installation - Ce journal des événements Windows 7 enregistre les données qui se produisent lors de l'installation et de la configuration du système et de ses applications.

Système - capture tous les événements du système d'exploitation, tels que l'échec du démarrage des applications de service ou lors de l'installation et de la mise à jour des pilotes de périphérique, divers messages liés au fonctionnement de l'ensemble du système.

Événements transférés - si cet élément est configuré, il stocke les informations provenant d'autres serveurs.

Autres sous-éléments du menu principal

Toujours dans le menu "Administration", où se trouve le journal des événements de Windows 7, il existe de tels éléments supplémentaires :

Internet Explorer - les événements qui se produisent pendant le fonctionnement et la configuration du navigateur du même nom sont enregistrés ici.

Windows PowerShell - Les incidents liés à l'utilisation du shell PowerShell sont enregistrés dans ce dossier.

Événements matériels - si cet élément est configuré, les données générées par les appareils sont enregistrées.

Toute la structure du "sept", qui fournit un enregistrement de tous les événements, est basée sur le type de "Vista" sur XML. Mais pour utiliser le programme de journal des événements dans Windows 7, vous n'avez pas besoin de savoir comment utiliser ce code. L'application Event Viewer fera tout par elle-même, fournissant un tableau pratique et simple avec des éléments de menu.

Caractéristiques des incidents

Un utilisateur qui souhaite savoir comment afficher le journal des événements de Windows 7 doit également comprendre les caractéristiques des données qu'il souhaite afficher. Après tout, il existe diverses propriétés de certains incidents décrits dans l'Observateur d'événements. Ces fonctionnalités seront discutées ci-dessous :

Sources - un programme qui capture les événements dans le journal. C'est là que sont enregistrés les noms des applications ou des pilotes qui ont contribué à l'incident.

Code d'événement - un ensemble de nombres qui déterminent le type d'incident. Ce code et ce nom de source d'événement sont utilisés par le support technique prise en charge du système pour corriger les bogues et éliminer les défaillances logicielles.

Niveau - le degré d'importance de l'événement. Le journal des événements système comporte six niveaux d'incidents :

1. Message.

2. Attention.

3. Erreur.

4. Erreur dangereuse.

5. Suivi des opérations de correction d'erreur réussies.

6. Audit des actions infructueuses.

Utilisateurs - capture les données des comptes pour le compte desquels l'incident s'est produit. Il peut s'agir des noms de divers services, ainsi que d'utilisateurs réels.

Date et heure - enregistre le moment de l'occurrence de l'événement.

De nombreux autres événements se produisent pendant le fonctionnement du système d'exploitation. Tous les incidents sont affichés dans "l'Observateur d'événements" avec une description de toutes les données d'information associées.

Comment travailler avec le journal des événements ?

Un point très important pour protéger le système contre les pannes et les blocages consiste à consulter périodiquement le journal des applications, qui enregistre des informations sur les incidents, les actions récentes avec un programme particulier et propose également un choix d'opérations disponibles.

En entrant dans le journal des événements de Windows 7, dans le sous-menu "Application", vous pouvez voir une liste de tous les programmes qui ont provoqué divers événements négatifs dans le système, l'heure et la date de leur apparition, la source et le degré de problème.

Réponses des utilisateurs aux événements

Après avoir appris à ouvrir le journal des événements de Windows 7 et à l'utiliser, vous devez apprendre davantage à appliquer avec cette application utile du planificateur de tâches. Pour cela, faites un clic droit sur n'importe quel incident et sélectionnez le menu permettant de lier une tâche à un événement dans la fenêtre qui s'ouvre. La prochaine fois qu'un tel incident se produira dans le système, le système d'exploitation lancera automatiquement la tâche installée pour traiter l'erreur et la corriger.

Une erreur dans le journal n'est pas une raison de paniquer

Si, lors de l'affichage du journal des événements système de Windows 7, vous voyez des erreurs ou des avertissements système intermittents, ne vous inquiétez pas et ne paniquez pas à ce sujet. Même avec un ordinateur parfaitement fonctionnel, diverses erreurs et pannes peuvent être enregistrées, dont la plupart ne constituent pas une menace sérieuse pour la santé du PC.

L'application que nous avons décrite a été créée afin de permettre à l'administrateur système de contrôler plus facilement les ordinateurs et de résoudre les problèmes émergents.

Conclusion

Sur la base de ce qui précède, il devient clair que le journal des événements est un moyen qui permet aux programmes et au système d'enregistrer et de sauvegarder tous les événements sur un ordinateur en un seul endroit. Ce journal stocke toutes les erreurs de fonctionnement, les messages et les avertissements des applications système.

Où se trouve le journal des événements dans Windows 7, comment l'ouvrir, comment l'utiliser, comment corriger les erreurs qui sont apparues - nous avons appris tout cela grâce à cet article. Mais beaucoup demanderont: "Pourquoi avons-nous besoin de cela, nous ne sommes pas des administrateurs système, pas des programmeurs, mais des utilisateurs ordinaires qui, pour ainsi dire, n'ont pas besoin de ces connaissances?" Mais cette approche est fausse. Après tout, quand une personne tombe malade avec quelque chose, avant d'aller chez le médecin, elle essaie de se guérir d'une manière ou d'une autre. Et beaucoup le font souvent. De même, un ordinateur, qui est un organisme numérique, peut «tomber malade», et cet article montre l'un des moyens de diagnostiquer la cause d'une telle «maladie», sur la base des résultats d'un tel «examen», vous pouvez prendre la bonne décision concernant les méthodes de « traitement » ultérieur.

Ainsi, les informations sur la manière d'afficher les événements seront utiles non seulement à l'ingénieur système, mais également à un utilisateur ordinaire.

Immense bonjour à tous !!

Ce n'est plus un secret que dans le système d'exploitation Windows SEVEN, tout comme dans Windows Vista, il existe deux catégories de journaux d'événements : les journaux des applications et des services et les journaux Windows.

Journaux Windows - le système d'exploitation utilise pour consigner les événements à l'échelle du système liés au fonctionnement des composants du système, des applications, de la sécurité et du démarrage. Journaux des applications et des services - les applications et les services sont utilisés pour enregistrer les événements associés à leur travail. Vous pouvez utiliser le composant logiciel enfichable Observateur d'événements ou l'outil de ligne de commande wevtutil pour gérer les journaux d'événements.
Je veux m'attarder sur la façon dont vous pouvez travailler avec les journaux d'événements :
Pour afficher ces mêmes événements du journal des applications, nous devons effectuer les étapes suivantes :
Sélectionnez "Journaux Windows" dans l'arborescence de la console.
Sélectionnez le journal "Applications".
Si possible, il est conseillé de consulter fréquemment les journaux des événements du système et des applications et de rechercher les problèmes et les avertissements susceptibles de prédire des problèmes à l'avenir. La fenêtre du milieu affiche les événements disponibles lorsqu'un journal est sélectionné, y compris la date de l'événement, le niveau de l'événement, l'heure et la source, etc.
Le volet Viewport affiche les données d'événement dans l'onglet Général et l'onglet Détails affiche des données spécifiques supplémentaires.

Ce panneau peut être activé et désactivé en sélectionnant le menu Affichage, puis la commande Fenêtre.
Il est recommandé de conserver les journaux des derniers mois pour les systèmes critiques. En règle générale, il n'est pas très pratique d'attribuer aux magazines une taille telle que toutes les informations y tiennent, et donc ce problème peut être résolu d'une manière différente. Les journaux peuvent être exportés vers des fichiers situés dans un dossier spécifié. Pour enregistrer le journal sélectionné, procédez comme suit :
Sélectionnez le journal des événements à enregistrer dans l'arborescence de la console ;
Sélectionnez la commande "Enregistrer les événements sous" du menu "Action" ou sélectionnez la commande "Enregistrer tous les événements sous" du menu contextuel du journal ;
Dans la boîte de dialogue "Enregistrer sous", sélectionnez le dossier dans lequel le fichier doit être enregistré. Si vous avez besoin d'enregistrer un fichier dans un nouveau dossier, vous pouvez le créer directement à partir de cette boîte de dialogue à l'aide du menu contextuel ou du bouton "Nouveau dossier" de la barre d'action. Dans le champ "Type de fichier", sélectionnez le format de fichier souhaité parmi ceux disponibles : fichiers d'événements - *.evtx, fichier xml - *.xml, texte séparé par des tabulations - *.txt, csv séparé par des virgules - *.csv. Entrez un nom dans le champ "Nom de fichier" et cliquez sur le bouton "Enregistrer". Cliquez sur le bouton "Annuler" pour annuler l'enregistrement.
Si le journal des événements n'est pas destiné à être affiché sur un autre ordinateur, laissez l'option par défaut "Ne pas afficher les informations" dans la boîte de dialogue "Afficher les informations", et si le journal est destiné à être affiché sur un autre ordinateur, alors dans le " Afficher les informations" sélectionnez l'option "Afficher les informations pour les langues suivantes" et cliquez sur le bouton "OK".
Comment travailler avec les journaux d'événements :
Observateur d'événements
Si vous souhaitez afficher les événements du journal des applications, procédez comme suit :
Sélectionnez "Journaux Windows" dans l'arborescence de la console ;
Sélectionnez le journal des applications.
Il est conseillé de consulter les journaux des événements du système et des applications et d'examiner les problèmes et les avertissements. La sélection d'un journal affiche les événements disponibles dans la fenêtre du milieu.
Le volet Viewport affichera les données d'événement de base sur l'onglet Général, et des données supplémentaires seront affichées sur l'onglet Détails. Vous pouvez activer et désactiver ce panneau en sélectionnant le menu "Affichage" et la commande "Afficher la zone".
Il est recommandé pour les systèmes critiques de conserver les journaux des derniers mois.

En règle générale, il n'est pas pratique d'attribuer une telle taille aux revues afin que toutes les informations y tiennent, en règle générale, ce problème peut être résolu d'une autre manière. Vous pouvez exporter des journaux vers des fichiers situés dans un dossier spécifié. Pour enregistrer le journal sélectionné, procédez comme suit :
Dans l'arborescence de la console, sélectionnez le journal des événements à enregistrer ;
Sélectionnez la commande "Enregistrer les événements sous" du menu "Action" ou sélectionnez la commande "Enregistrer tous les événements sous" du menu journal ;
Dans la boîte de dialogue "Enregistrer sous", sélectionnez le dossier dans lequel le fichier doit être enregistré. Si le fichier doit être enregistré dans un nouveau dossier, il peut être créé à partir de cette boîte de dialogue à l'aide du menu contextuel ou du bouton "Nouveau dossier" de la barre d'action. Dans le champ "Type de fichier", sélectionnez format souhaité fichier parmi ceux suggérés : fichiers d'événements - *.evtx, texte séparé par des tabulations - *.txt,
fichier xml - *.xml,
csv séparés par des virgules - *.csv. Entrez un nom dans le champ "Nom de fichier" et cliquez sur le bouton "Enregistrer". Pour annuler l'enregistrement, cliquez sur "Annuler" ; Dans le cas où le journal des événements n'est pas destiné à être visualisé sur un autre ordinateur, dans la boîte de dialogue "Afficher les informations", laissez l'option "Ne pas afficher les informations" définie par défaut, et si le journal est destiné à être visualisé sur un autre ordinateur, puis dans la boîte de dialogue "Afficher les informations", sélectionnez "Afficher les informations pour les langues suivantes" et cliquez sur OK.
Effacement du journal des événements
Sélectionnez le journal des événements dans l'arborescence de la console à effacer ; Effacez le journal de l'une des manières suivantes :
Dans le menu "Action", sélectionnez "Effacer le journal"
Sur le journal sélectionné, cliquez avec le bouton droit pour ouvrir le menu contextuel. Dans le menu contextuel, sélectionnez la commande "Effacer le journal"
Ensuite, vous pouvez effacer le journal ou l'archiver si cela n'a pas été fait auparavant :
Si le journal des événements est effacé sans sauvegarde, cliquez sur le bouton "Effacer" ;
Pour effacer le journal des événements après l'avoir enregistré, cliquez sur "Enregistrer et effacer". Dans la boîte de dialogue "Enregistrer sous", sélectionnez le dossier dans lequel le fichier doit être enregistré. Si vous souhaitez enregistrer un fichier dans un nouveau dossier, vous pouvez le créer à partir de cette boîte de dialogue à l'aide du menu contextuel ou du bouton "Nouveau dossier" de la barre d'action. Saisissez un nom dans le champ Nom de fichier et cliquez sur Enregistrer. Pour annuler la sauvegarde, appuyez sur « Annuler ». Ouf, tout semble aller bien, mais si ce n'est pas clair, alors j'attends vos commentaires.

C'est tout et à bientôt....

Bonjour lecteurs du blog de la société ComService (Naberezhnye Chelny). Dans cet article, nous examinerons le journal des événements de Windows 7. Le système d'exploitation enregistre presque tout ce qui lui arrive dans ce journal. Il est pratique de le visualiser à l'aide de l'application Event Viewer, qui est installée avec. Dire qu'il y a beaucoup d'événements enregistrés, c'est ne rien dire. Leur obscurité. Mais, il est difficile de s'y perdre, car tout est classé en catégories.

Grâce au journal des événements, il est beaucoup plus facile pour les spécialistes et les utilisateurs ordinaires de trouver les erreurs et de les corriger. En disant plus léger, je ne voulais pas dire facilement. Presque toujours, pour corriger une erreur récurrente, vous devrez relire fortement et relire un tas de matériel. Parfois, cela vaut la peine de se débarrasser du comportement non standard du système d'exploitation.

L'utilitaire par défaut ressemble à ceci

Beaucoup ici peut être personnalisé. Par exemple, à l'aide des boutons situés sous la zone de menu, vous pouvez masquer ou afficher l'arborescence de la console à gauche et le panneau Actions à droite.

La zone centrée en bas s'appelle la fenêtre d'affichage. Il affiche des informations sur l'événement sélectionné. Il peut être supprimé en décochant la case correspondante dans le menu Affichage ou en cliquant sur la croix dans le coin supérieur droit de la fenêtre

Le champ principal est situé en haut au centre et est un tableau avec les événements du journal que vous avez sélectionné dans l'arborescence de la console. Par défaut, toutes les colonnes ne sont pas affichées. Boîte ajouter et modifier leur ordre d'affichage. Pour ce faire, faites un clic droit sur l'en-tête de n'importe quelle colonne et sélectionnez Ajouter ou supprimer des colonnes...

Dans la fenêtre qui s'ouvre, dans la colonne Colonnes affichées, ajoutez les colonnes nécessaires à partir du champ de gauche

Pour modifier l'ordre d'affichage des colonnes dans le champ de droite, sélectionnez la colonne souhaitée et utilisez les boutons Haut et Bas pour modifier l'emplacement.

2. Propriétés de l'événement

Chaque colonne est une propriété d'événement spécifique. Toutes ces propriétés ont été parfaitement décrites par Dmitry Boulanov. Je vais fournir une capture d'écran. Cliquez dessus pour agrandir.

Définir toutes les colonnes de la table n'a pas de sens car les propriétés de clé sont affichées dans la fenêtre. Si ce dernier ne s'affiche pas pour vous, un double clic gauche de la souris sur l'événement dans une fenêtre séparée verra ses propriétés

L'onglet Général contient une description de cette erreur et parfois un moyen de la corriger. Toutes les propriétés de l'événement sont rassemblées ci-dessous et dans la section Détails, il y a un lien vers l'aide Web, qui peut contenir des informations sur la résolution de l'erreur.

3. Journaux des événements

Service de gestion des clés - Les événements du service de gestion des clés sont enregistrés. Conçu pour gérer les activations des versions d'entreprise des systèmes d'exploitation. Le magazine est vide car vous pouvez vous en passer.

Les journaux ont également leurs propres propriétés. Pour les afficher, cliquez avec le bouton droit sur le journal et sélectionnez Propriétés dans le menu contextuel.

Dans les propriétés qui s'ouvrent, vous voyez le nom complet du journal, le chemin d'accès au fichier journal, sa taille et ses dates de création, de modification et sa date d'ouverture

La case Activer la journalisation est également cochée. Il est inactif et ne peut pas être supprimé. J'ai regardé cette option dans les propriétés des autres journaux, elle y est également activée et inactive. Pour le journal des événements matériels, il se trouve exactement à la même position et n'est pas enregistré.

Dans les propriétés, vous pouvez définir la Taille maximale du journal (Ko) et sélectionner une action lorsque la taille maximale est atteinte. Pour les serveurs et autres postes de travail importants, augmentez probablement la taille des journaux et sélectionnez Archiver le journal lorsqu'il est plein, afin qu'en cas d'urgence, vous puissiez savoir quand le dysfonctionnement a commencé.

4. Travailler avec les journaux d'événements de Windows 7

Le travail consiste à trier, regrouper, effacer les journaux et créer des vues personnalisées pour faciliter la recherche de certains événements.

Tri des événements

Choisissez n'importe quel magazine. Par exemple, Application et dans le tableau au centre, cliquez sur l'en-tête de n'importe quelle colonne avec le bouton gauche de la souris. Les événements seront triés par cette colonne

Si vous cliquez à nouveau, vous serez trié dans la direction opposée. Les principes de tri sont les mêmes que pour l'Explorateur Windows. La limitation est que vous ne pouvez pas trier sur plus d'une colonne.

Regroupement d'événements

Pour regrouper les événements par une colonne spécifique, cliquez avec le bouton droit sur son en-tête et sélectionnez Regrouper les événements par cette colonne. Dans l'exemple, les événements sont regroupés par la colonne Niveau

Dans ce cas, il est pratique de travailler avec un groupe spécifique d'événements. Par exemple avec des erreurs. Après avoir regroupé les événements, vous pourrez réduire et développer les groupes. Cela peut également être fait dans la table des événements elle-même en double-cliquant sur le nom du groupe. Par exemple, Niveau : Avertissement (74).

Pour supprimer un groupement, cliquez à nouveau avec le bouton droit sur l'en-tête de la colonne et sélectionnez Supprimer le groupement d'événements.

Effacement du journal

Si vous avez corrigé des erreurs système qui ont entraîné l'écriture d'événements dans le journal, vous souhaiterez probablement effacer le journal afin que les anciennes entrées n'interfèrent pas avec le diagnostic des nouvelles conditions de l'ordinateur. Pour ce faire, cliquez avec le bouton droit sur le journal que vous souhaitez effacer et sélectionnez Effacer le journal...

Dans la fenêtre qui s'ouvre, nous pouvons simplement effacer le journal et nous pouvons l'enregistrer dans un fichier avant d'effacer

Affichages personnalisés

Le tri et les regroupements configurés disparaissent lorsque vous fermez la fenêtre de l'Observateur d'événements. Si vous devez souvent travailler avec des événements, vous pouvez créer des vues personnalisées. Ce sont certains filtres qui sont enregistrés dans la section correspondante de l'arborescence de la console et qui ne disparaissent pas lorsque l'Observateur d'événements est fermé.

Pour créer une vue personnalisée, cliquez avec le bouton droit sur n'importe quel récit et sélectionnez Créer une vue personnalisée...

Dans la fenêtre qui s'ouvre, dans la section Date, sélectionnez dans la liste déroulante la plage horaire pour laquelle nous devons sélectionner des événements

Dans la section Niveau d'événement, cochez les cases pour sélectionner l'importance des événements.

Nous pouvons échantillonner une revue ou des revues particulières, ou la source. Basculez la radiobox dans la position souhaitée et cochez les cases nécessaires dans la liste déroulante

Vous pouvez sélectionner certains codes d'événement à afficher ou non dans la vue que vous avez créée.

Lorsque toutes les options d'affichage sont sélectionnées, cliquez sur OK.

Dans la fenêtre qui apparaît, indiquez le nom et la description de la vue personnalisée et cliquez sur OK

Par exemple, j'ai créé une vue personnalisée pour les erreurs et les événements critiques à partir des journaux d'application et de sécurité

Cette vue peut être modifiée ultérieurement et ne disparaîtra pas lorsque vous fermerez l'utilitaire Observateur d'événements. Pour modifier, cliquez avec le bouton droit sur la vue et sélectionnez Filtre de vue personnalisé actuel...

Dans la fenêtre qui s'ouvre, effectuez des réglages supplémentaires dans la vue.

Vous pouvez établir une analogie avec une vue personnalisée avec des conditions stockées dans Windows Explorer 7.

Conclusion

Dans cet article, nous avons examiné le journal des événements de Windows 7. Nous avons parlé de presque toutes les opérations principales avec celui-ci pour faciliter la recherche d'erreurs et d'événements critiques. Et puis une question naturelle se pose - "Mais comment corriger ces erreurs dans le système." Tout est beaucoup plus compliqué ici. Il y a peu d'informations sur le réseau et vous devrez donc peut-être y consacrer beaucoup de temps. Par conséquent, si le fonctionnement de l'ordinateur dans son ensemble vous convient, vous ne pouvez pas le faire. Si vous voulez essayer de le réparer, regardez la vidéo ci-dessous.

Vous pouvez également utiliser le journal des événements pour diagnostiquer le démarrage lent de Windows 7.

Je serai heureux de tous les commentaires et suggestions.

Merci d'avoir partagé l'article dans les réseaux sociaux. Tous mes vœux!