par L’Observateur d’événements (ou Event Viewer) est l’un des outils les plus puissants de Windows pour analyser les erreurs, surveiller le comportement du système et dépanner des problèmes complexes. Trop souvent ignoré, il contient pourtant toutes les informations nécessaires pour comprendre ce qui se passe “sous le capot”.
1. Qu’est-ce que l’Observateur d’événements ?
L’Observateur d’événements est un composant intégré à Windows (toutes versions depuis XP) qui enregistre en permanence les journaux d’activité du système. Ces journaux contiennent :
- Les erreurs et avertissements du système d’exploitation ;
- Les journaux d’applications installées ;
- Les connexions, déconnexions et événements de sécurité ;
- Les messages d’audit et de performances ;
- Les événements liés aux services et pilotes matériels.
Les fichiers journaux sont stockés au format .evtx dans C:\Windows\System32\winevt\Logs.
2. Comment ouvrir l’Observateur d’événements
Il existe plusieurs façons d’accéder à l’Observateur d’événements :
- Appuyer sur Win + R, taper
eventvwr.mscpuis valider ; - Via le menu Démarrer → taper “Observateur d’événements” ;
- Ou via le Panneau de configuration → Outils d’administration → Observateur d’événements.
Une fois ouvert, vous verrez une structure en arborescence sur la gauche : Journaux Windows et Journaux des applications et services.
3. Comprendre la structure des journaux
3.1. Journaux Windows
- Application : événements générés par les logiciels installés.
- Sécurité : journal des connexions, déconnexions et actions sensibles.
- Système : messages du noyau, pilotes et services Windows.
- Installation : logs des mises à jour et composants Windows.
3.2. Journaux des applications et services
Contient des journaux spécifiques à des fonctionnalités ou services particuliers, comme Microsoft Defender, PowerShell ou Windows Update.
4. Filtrer et rechercher des événements précis
Pour diagnostiquer rapidement un problème, utilisez les fonctions de recherche et de filtrage :
4.1. Filtrer par niveau d’importance
- Information : activité normale.
- Avertissement : comportement inhabituel, non bloquant.
- Erreur : problème ayant perturbé le fonctionnement.
- Critique : défaillance majeure (ex. écran bleu, crash système).
4.2. Utiliser le filtre d’événements
- Dans le panneau de droite, cliquez sur Filtrer le journal actuel.
- Choisissez la période, la source, le niveau et le code d’événement.
- Validez pour ne voir que les événements pertinents.
4.3. Rechercher un événement spécifique
Clic droit → Rechercher → entrez un mot-clé ou un ID (par exemple : 41 pour les redémarrages inattendus).
5. Analyser un événement en détail
Double-cliquez sur un événement pour afficher :
- L’ID d’événement : code numérique unique (utile pour les recherches en ligne).
- La Source : service ou application à l’origine de l’événement.
- La Description : explication détaillée du problème.
- L’Heure : moment exact de l’occurrence.
Par exemple : un événement 1000 indique un crash d’application ; un événement 41 Kernel-Power correspond à un arrêt brutal.
6. Exporter et sauvegarder les journaux
Pour archiver ou envoyer un journal à un support technique :
- Sélectionnez le journal voulu (ex. Système).
- Cliquez sur Enregistrer les événements sous….
- Choisissez le format :
.evtx(complet),.txtou.csv.
Ces fichiers peuvent ensuite être ouverts sur un autre poste avec Event Viewer ou analysés par des outils SIEM (Splunk, Graylog, etc.).
7. Utiliser les journaux pour dépanner
7.1. Dépannage des services
Consultez le journal Système et cherchez les événements de type Service Control Manager pour identifier les services échoués au démarrage.
7.2. Identifier les erreurs d’application
Dans le journal Application, recherchez les événements avec “Application Error” pour comprendre les crashs logiciels (nom du module, code d’erreur, etc.).
7.3. Problèmes de sécurité et connexions suspectes
Le journal Sécurité vous permet de suivre les connexions réussies et échouées, et les élévations de privilèges.
8. Outils complémentaires pour l’analyse avancée
- Event Log Explorer – Interface améliorée pour explorer les logs Windows.
- ManageEngine EventLog Analyzer – Outil SIEM complet pour la corrélation d’événements.
- Microsoft Message Analyzer – Pour décoder les événements réseau et système.
- PowerShell : utilisez
Get-EventLogouGet-WinEventpour automatiser l’extraction et l’analyse.
Ces outils sont particulièrement utiles pour les administrateurs, analystes SOC et experts en cybersécurité.
9. Bonnes pratiques et conseils
- Consultez régulièrement vos journaux système, surtout après des mises à jour ou pannes.
- Nettoyez ou archivez les journaux trop volumineux pour éviter la saturation du disque.
- Automatisez l’analyse avec PowerShell ou un agent de supervision (Zabbix, Nagios, etc.).
- Utilisez l’ID d’événement pour rechercher des solutions précises sur Microsoft Learn.
10. Conclusion
L’Observateur d’événements est un outil incontournable pour comprendre ce qui se passe dans Windows. En apprenant à filtrer, interpréter et exporter les logs, vous gagnez en autonomie pour résoudre des problèmes complexes, améliorer la stabilité du système et renforcer la sécurité.
Que vous soyez administrateur système, développeur ou utilisateur avancé, maîtriser Event Viewer est une compétence précieuse pour tout environnement Windows moderne.
