L'Observateur d'événements est un utilitaire graphique natif de Windows qui permet d’exploiter les journaux de Windows où sont enregistrés les différents évènements de l’ordinateur. Ces derniers comprennent les erreurs système, les avertissements, les pannes d’applications, les messages d’informations générés par des processus Windows et des applications tournant sur la machine. L’observateur d’évènements peut ainsi constituer une aide précieuse dans la recherche des causes de dysfonctionnement de Windows ou des applications.
La plupart des évènements sont enregistrés dans des fichiers texte ayant l’extension .log. Avec un éditeur de texte ces fichiers sont difficiles à exploiter. L'Observateur d'événements permet de les exploiter beaucoup plus facilement.
1 - Lancer l’observateur d’évènements
Comme toujours sous Windows il existe plusieurs possibilités et chemins pour exécuter une action, l’observatoire d’évènement n’échappe pas à la règle. Pour lancer l'Observateur d'événements Windows :
1ère possibilité :
- Lancer la boîte de dialogue Exécuter en appuyant sur les touches Windows + R.
- Taper la commande CMD pour ouvrir une invite de commande. Pour que cette invite soit en mode administrateur appuyer sur les touches Ctrl + Maj + Entrée.
- Dans la fenêtre d’invite de commande saisir « eventvwr » et appuyer sur Entrée pour valider et ouvrir la fenêtre de l’Observateur d’événements.
2ème possibilité :
- Dans la zone de recherche de la barre de tâches taper « outils d’administration Windows » sous Windows 10 ou « Outils Windows » sous Windows 11.
- Double-cliquer sur « Observateur d’évènements pour le lancer.
3ème possibilité :
- Taper « Observateur d'événements » dans la zone de recherche de la barre des tâches.
- Cliquer sur « Exécuter en tant qu’administrateur ».
4ème possibilité :
- Aller dans outil d’administration (Windows 10) ou dans outils Windows (Windows 11)
- Cliquer sur Observatoire d’évènements.
La fenêtre de l'Observateur d'événements affiche dans sa partie gauche la liste des évènements répartis dans des catégories et sous-catégories.
Tous ces évènements révèlent des problèmes ou des informations concernant le système, des pilotes, des applications, des réglages et paramètres, leur exploitation facilite les analyses des problèmes rencontrés et leur résolution.
Chaque évènement est identifié par un numéro d’identification ID.
2 - L’interface de l’observateur d’évènements
2.2 - Description
- Dans le panneau de gauche (repère 1) on trouve les journaux de Windows répartis en plusieurs catégories (applications, sécurité, installations, système) ainsi que les journaux d’applications et services installés ou tournant sur le système.
- Dans la partie centrale (repère 2) se situent la liste des évènements du journal sélectionné dans le volet de gauche.
- Dans le panneau de droite (repère 3) on trouve un certain nombre d’actions liées au journal sélectionné dans le panneau de gauche.
- Dans la partie inférieure (repère 4) sont affichées les détails de l’évènement sélectionné dans la zone 2.
Le contenu d’un événement sélectionné se trouve dans la partie basse de la fenêtre.
Les évènements possèdent plusieurs attributs dont le niveau, la date et l’heure, la source, l’identifiant ID et la catégorie de la tâche.
- L’attribut niveau comporte 4 items :
- Audit : concerne des évènements de sécurité, ils sont repérés par une icône représentant une clé jaune.
- Information : fournit une information relative à Windows ou une application. Ces évènements sont repérés par une icône représentant un cercle blanc avec une lettre i à l’intérieur.
- Avertissement : signale une erreur non critique. Ces types d’événements sont repérés par une icône en forme de triangle jaune avec un point d’exclamation à l’intérieur.
- Erreur : signale une erreur grave ou critique. Ces types événements sont repérés par une icône représentant un cercle rouge avec un point d’exclamation à l’intérieur.
- L’attribut Date correspond à la date de l’événement.
- L’attribut Heure correspond à l’heure de l’événement.
- L’attribut Source est le nom de l’application, du composant ou du pilote à l’origine de l’événement.
- ID de l’événement est un numéro qui identifie l’événement.
La date et l’heure sont des critères qui permettent de retrouver facilement des évènements quand on connait au moins approximativement la date d’un plantage ou d’un problème par exemple.
L’ID d’un évènement et sa source sont utiles lorsque l’on contacte un support d’aide de résolution de problème ou que l’on recherche ce type d’évènement sur Internet.
Le détail d’un évènement (repère 4) comprend 2 onglets (Général et Détails) permettant d’afficher diverses informations sur l’évènement sélectionné.
2.2 - Afficher les événements système
Pour afficher les évènements système aller dans la catégorie Journaux Windows -> Système. Cette rubrique affiche les événements de Windows et de ses composants. Ils peuvent comprendre des erreurs du système, des avertissements (warnings) et des notifications de divers périphériques, pilotes et services ou processus.
2.3 - Afficher les événements des applications
Pour afficher les évènements des applications, aller dans la catégorie Journaux Windows -> Application. Cette rubrique regroupe les événements liés aux logiciels installés sur l’ordinateur. On y retrouvera pour les applications concernées leurs plantages, installations, désinstallations ou mises à jour.
2.4. Afficher les événements de sécurité
Pour afficher les évènements des applications aller dans la catégorie Journaux Windows -> Sécurité. Dans cette catégorie sont rangés les événements relatifs aux opérations liées à la sécurité de l’ordinateur comme les connexions, les audits, les différents comptes et autorisations des utilisateurs, le réseau, ...
3 - Diagnostiquer les problèmes
Le contenu des évènements fournit une aide au diagnostic des problèmes rencontrés sur l’ordinateur. L’observateur des évènements permet également d’évaluer la santé globale de l’ordinateur en obtenant, entre autres, des informations sur l’utilisation et la charge du microprocesseur, de la mémoire RAM, de l’activité des disques durs et ainsi identifier les causes et origines des surcharges. Tout cela dans le but de permettre une meilleure optimisation du système et de mesurer l’efficacité des actions correctives prises.
3.1 - Surveiller l’utilisation du PC
L’Observateur d’événements permet dans le cadre de la détection de menaces potentielles, de surveiller l’utilisation du PC par l’intermédiaire des évènements système liés aux connexions, déconnexions et comportements des utilisateurs.
On peut ainsi consulter les journaux de la rubrique sécurité pour voir les différents utilisateurs qui se sont connectés au PC ainsi que les différents démarrages et arrêts de l’ordinateur.
Ces journaux peuvent être enregistrés et exportés. Pour cela il faut sélectionner les évènements à exporter puis aller dans le menu Action -> « Enregistrer les évènements sélectionnées… ». Un clic droit sur l’évènement permet aussi de copier les éléments dans un tableau ou dans un éditeur de texte.
Pour filtrer les événements enregistrés dans l’Observateur d’événements et trouver rapidement certains évènements selon plusieurs critères tels que les types d’évènement, les dates, les sources, les catégories, …, il faut créer une vue personnalisée dans le panneau de droite. Une fois les critères sélectionnés, la nouvelle vue apparaitra dans le panneau de gauche sous la rubrique « Affichages personnalisés » avec le nom donné lors de l’enregistrement.
4 - Comment effacer les journaux d’évènements
Les journaux peuvent en final prendre de la place. Pour libérer un peu d’espace disque ou supprimer des données anciennes, il est possible d’effacer les évènements des journaux. Pour cela dans le panneau de gauche de l’observatoire d’évènements :
- Ouvrir les arborescences journaux Windows ou Journaux des applications services.
- Sélectionner le journal à effacer (par exemple « Système »
- Sur le panneau de droite, cliquer sur « Effacer le journal » (il faut être en mode administrateur).
5 - Exploitation des évènements
Dans l’Observateur d’événements, plusieurs informations sont particulièrement utiles pour corriger les erreurs :
- ID de l’événement: C’est l’identifiant unique d’un événement. En recherchant cet ID dans un moteur de recherche on peut obtenir plus d’informations sur l’erreur spécifique et trouver des solutions.
- Niveau de l’événement: Il indique la gravité de l’événement (par exemple, Information, Avertissement, Erreur, Succès Audit, Échec Audit).
- Source de l’événement: Elle indique le programme ou le composant qui a déclenché l’événement.
- Catégorie de tâche: Elle fournit une sous-classification plus spécifique pour aider à isoler l’événement et fait référence à une sous-classification des événements qui aide à organiser et à filtrer les événements. Chaque source d’événement peut définir ses propres catégories numérotées et les chaînes de texte auxquelles elles sont mappées. Par exemple, “Catégorie : (1)” signifie que l’événement appartient à la catégorie numéro 1 définie par la source de l’événement. Les événements qui utilisent ces catégories affichent la catégorie 1, la catégorie 2 ou la catégorie 3 dans la colonne Catégorie. D’une façon générale les catégories peuvent aider à filtrer et à analyser les événements mais la signification exacte d’une catégorie peut changer en fonction de la source de l’événement.
- Description de l’événement: Elle fournit des détails supplémentaires sur l’événement.
- Données binaires: Dans certains cas, l’événement peut inclure des données binaires qui peuvent être utiles pour le débogage.
Toutes ces informations constituent des aides pour déterminer des causes d’erreur et guider la recherche de solutions. Pour faciliter leur interprétation elles peuvent être transmises sur des forum d’aide ou à un support technique le cas échéant.
Une fois une erreur identifiée à partir des informations de l’événement, on peut rechercher cette erreur en ligne pour trouver des solutions.
Ainsi, pour rechercher un ID d’événement en ligne :
- Il faut copier l’ID de l’événement. Par exemple dans le volet de détails, noter l’ID de l’événement ou faire un clic droit dessus et choisir “Copier”.
- Dans un moteur de recherche coller l’ID de l’événement dans la barre de recherche. Il est souvent nécessaire d’ajouter des mots clés supplémentaires pour affiner la recherche, par exemple, pour une erreur qui concerne le navigateur Microsoft Edge et d’ID = 256, on peut taper par exemple “Observateur d’évènement EDGE ID : 256”.
- Parcourir ensuite les résultats de recherche pour trouver des solutions. Si plusieurs résultats ne sont pas en français vous pouvez consulter l’article : Comment traduire une page Web dans n'importe quelle langue.
On peut trouver la liste et la description des ID d’événements de l’observatoire d’événement de Windows sur le site Web de Microsoft Learn . Le site fournit notamment une vue d’ensemble des événements WDAC, pour les exécutables, dll et pilotes, les événements de bloc WDAC pour les applications empaquetées, les programmes d’installation MSI, les scripts et les objets COM, les événements d’activation de stratégie WDAC. D’autres sites de Microsoft fournissent des informations sur d’autres types d’évènements liés par exemple à Microsoft Defender ou encore aux évènements de connexion.
L’observateur d’évènements est une application graphique. Il est possible d’obtenir des informations sur les évènements via des commandes.
La commande Get-WinEvent de PowerShell permet d’interroger des journaux particuliers. Le nom du journal interrogé est passé en paramètre via la variable
LogName qui peut donc prendre comme valeur : System, Application ou Security. Par exemple :
- Pour lister les évènements sécurité on tapera : Get-WinEvent -LogName 'Security’. La liste pouvant être très longue on rajoutera le paramètre Out-Host -Paging pour afficher page par page, la commande devient alors : Get-WinEvent -LogName 'Security’ | Out-Host -Paging
- Pour filtrer sur une plage d’ID particulière on tapera : Get-WinEvent -FilterHashTable @{LogName='System';ID='3','25'}
- Pour rechercher un évènement comprenant un mot pris dans sa description, on utilisera : Get-WinEvent -FilterHashTable @{LogName='System';} | Where {$_.message -like "*mot_a _chercher*"} | Format-List. Le mot à rechercher doit être placé entre 2 caractères « *» et tous les évènements comportant le « mot_a _chercher » seront affichés.
De nombreuses autres possibilités existent dans la documentation de Microsoft.