Windows 7 : Les journaux d’évènement



Pat842Bonsoir à tous,

Pas trop froid ? Je pense que pour certains d’entre vous, la vie de tous les jours ne doit pas être simple avec ce temps “sibérien”… Courage Triste cela ne devrait pas durer. Faut penser à protéger les compteurs d’eau, les lave-linges situés dans les garages…

Bon, passons maintenant à l’informatique; parce que nous avons bien un métier ou une passion, quand même !

L’observateur d’évènements est un composant logiciel enfichable de la console MMC – Microsoft Management Console – indispensable au contrôle du système d’exploitation et permettant de régler les problèmes y survenant.
Il existe 2 catégories de journaux des évènements :
- Windows,
- Applications set services.

Journaux Windows
Ils sont conçu pour le stockage des évènements liés aux applications Get Microsoft Silverlighthéritées et au système d’exploitation.
- Application : Il contient les évènements enregistrés par les applications ou les programmes.
- Sécurité : il contient les évènements tels que les tentatives valides et non valides d’ouverture de session ainsi que les évènements liés à l’utilisation d’une ressource.
- Programme d’installation : Il contient les évènements relatifs à l’installation des applications.
- Système : Il contient les évènements enregistrés par les composants système de Windows.
- Evènements transférés : Il est utilisé pour stocker les évènements collectés depuis des ordinateurs distants.

Journaux Applications et Services
Ces journaux stockent des évènements provenant d’une application ou d’un composant isolé, plutôt que des évènements qui peuvent avoir un impact sur l’ensemble du système.
Cette catégorie de journaux en comprend 4 types : Administration, Opérationnel, Analyse et débogage.
Les évènements des journaux d’administration intéressent particulièrement les techniciens du service informatique qui utilisent l’observateur d’évènements pour résoudre des problèmes. Les évènements du journal d’administration devraient vous aider à y répondre. Les évènements du journal opérationnel sont également utiles aux techniciens du service informatique, mais ils nécessitent probablement davantage d’interprétation.

toute cette infrastructure est basée sur un schéma XML.

Utilisation de WEVTUTIL.EXE
C:\Windows\system32>wevtutil
La commande n’est pas spécifiée.
Utilitaire de ligne de commande des évènements Windows.

Wevtutil vous permet de récupérer des informations sur les journaux des évènements et les éditeurs, d’installer et de désinstaller des manifestes évènements , d’exécuter des requêtes, d’exporter, d’archiver et d’effacer des journaux.

Utilisation :

Utilisez la version courte (ep /uni) ou longue (enum-publishers /unicode)
des noms de commandes et d’options. Les commandes, les options et les
valeurs des options ne respectent pas la casse.

Les variables sont écrites en majuscules.

wevtutil COMMANDE [ARGUMENT [ARGUMENT] …] [/OPTION:
VALEUR [/OPTION:VALEUR] …]

Commandes:

el | enum-logs          Répertorie les noms des journaux.
gl | get-log            Obtient les informations de configuration des journaux.
sl | set-log            Modifie la configuration d’un journal.
ep | enum-publishers    Répertorie les éditeurs d’évènements .
gp | get-publisher      Obtient les informations de configuration des éditeurs.
im | install-manifest   Installe les éditeurs et les journaux des évènements à p
artir d’un manifeste.
um | uninstall-manifest Désinstalle les éditeurs et les journaux des évènements
à partir d’un manifeste.
qe | query-events       Interroge les évènements à partir d’un journal ou d’un f
ichier journal.
gli | get-log-info      Obtient les informations d’état d’un journal.
epl | export-log        Exporte un journal.
al | archive-log        Archive un journal exporté.
cl | clear-log          Efface un journal.

Options communes :

/{r | remote}:VALEUR
Si cette option est spécifiée, exécute la commande sur un ordinateur distant. VALEUR est le nom de l’ordinateur distant. Les options /im et /um ne prennent pas en charge les opérations distantes.

/{u | username}:VALEUR
Spécifie la connexion d’un autre utilisateur à l’ordinateur distant. VALEUR
est un nom d’utilisateur sous la forme domaine\utilisateur ou utilisateur. Applicable uniquement si l’option /r est spécifiée.

/{p | password}:VALEUR
Mot de passe de l’utilisateur spécifié. S’il n’est pas spécifié ou que VALEUR
correspond à « * », l’utilisateur est invité à entrer un mot de passe. Applicable uniquement si l’option /u est spécifiée.

/{a | authentication}:[Default|Negotiate|Kerberos|NTLM]
Type d’authentification pour la connexion à l’ordinateur distant. La valeur par défaut est Negotiate.

/{uni | unicode}:[true|false]
Affiche la sortie au format Unicode. Si la valeur est true, la sortie est au for
mat Unicode.

Pour en savoir plus sur une commande spécifique, tapez ce qui suit :

wevtutil COMMANDE /?

En savoir plus sur les journaux d’évènement : http://technet.microsoft.com/fr-fr/library/cc722404(WS.10).aspx

  1. No comments yet.
(will not be published)
*


(c) 2014 - Patrice A. BONNEFOY - Microsoft MVP Windows Expert IT-Pro since 2005.