L'Observateur d'événements. Sommaire du dossier : * Introduction. * Exécuter l'Observateur d'évènements. * Comprendre un évènement. * Plus d'informations sur votre problème. * Augmenter la taille des journaux. * Enregistrer les journaux. ** Introduction. Lorsqu'un problème ou un avertissement lié à votre matériel, à vos logiciels ou à votre système survient, Windows enregistre des informations sous la forme d'évènements dans des journaux. Trois types de journaux existent : le journal application, le journal sécurité et le journal système. Le journal Application contient les événements enregistrés par les applications ou les programmes. Par exemple, votre traitement de texte peut enregistrer dans le journal des applications les informations sur une erreur apparue à la fermeture d'un fichier. Le journal Sécurité enregistre les événements tels que les tentatives valides et non valides d'ouverture de session ainsi que les événements liés à l'utilisation d'une ressource, comme la création, l'ouverture ou la suppression de fichiers ou autres objets. Vous pouvez spécifier les types d'événement à enregistrer dans ce journal en mettant en place des audits. Le journal Système contient les événements enregistrés par les composants système de Windows XP : l'échec du chargement d'un pilote par exemple. A chaque fois que vous rencontrez un problème sous Windows, ouvrez l'Observateur d'événements pour avoir plus d'informations sur ce qui s'est passé. ** Exécuter l'Observateur d'évènements. Pour exécuter l'Observateur d'événements, cliquez sur le bouton Démarrer puis sur Panneau de configuration. Basculez vers l'affichage classique en cliquant sur le lien approprié puis double-cliquez sur l'icône Outils d'administration. Double-cliquez enfin sur l'icône Observateur d'événements. La console de l'observateur d'événements s'ouvre alors. Dans le cadre gauche de la fenêtre, cliquez sur le journal que vous souhaitez afficher, Application par exemple. Les événements contenus dans ce journal s'affichent alors dans la partie droite de la fenêtre. Etape suivante : Comprendre un évènement. ** Comprendre un évènement. Il existe différents types d'évènements enregistrés dans l'observateur d'évènements. Type d'événement Description Erreur Symbolisé par une croix rouge, les événements de type Erreur concernent les problèmes importants tels qu'une perte de données ou une perte de fonctions. Par exemple, si un service n'a pas pu être chargé au démarrage, un événement de type Erreur est enregistré. Avertissement Les événements de type Avertissement sont représentés par un point d'exclamation noir sur un triangle jaune. Un Avertissement n'est pas nécessairement significatif mais peut annoncer des problèmes qui surviendront ultérieurement. Par exemple, lors d'une baisse importante de l'espace disque disponible, un événement de type Avertissement est enregistré. Information Les événements de type Information décrivent la réussite de l'opération pour une application, un pilote ou un service. Par exemple, lorsqu'un pilote réseau est chargé correctement, ou alors qu'un service a démarré avec succès. Audit des succèsAffiche les tentatives d'accès de sécurité réussies lors de la mise en place d'une stratégie d'audit. Par exemple, l'ouverture d'une session par un utilisateur est enregistrée. Audit des échecsAffiche les tentatives d'accès de sécurité qui ont échoué lors de la mise en place d'une stratégie d'audit. Par exemple si un utilisateur essaye d'ouvrir une session sans y parvenir, la tentative est enregistrée en tant qu'événement de type Audit des échecs. Les évènements sont classés par ordre chronologique tout en indiquant la date et l'heure auxquelles ils ont eu lieu. Vous pouvez ainsi identifier rapidement l'évènement correspondant à un problème survenu sur votre ordinateur. Pour avoir plus d'information sur un événement, double-cliquez simplement dessus. Une boîte de dialogue Propriétés de l'événement s'ouvre alors. Chaque événement est caractérisé par un numéro d'identification : id évèn. Notez bien ce numéro, il pourra vous être utile pour avoir plus d'informations sur les problèmes liés à chaque événement. Notez également l'élément Source qui indique l'application ou le service qui a décelé un problème. La zone de texte Description vous donne une petite explication de l'événement qui s'est produit. C'est une information importante puisqu'elle vous permet généralement de savoir ce qui s'est passé. ** Plus d'informations sur votre problème. Si l'information donnée par l'Observateur d'événement ne vous éclaire pas vraiment sur la cause de votre problème et les moyens de le résoudre, vous pouvez consulter le Centre d'aide et support. Pour cela, cliquez sur le lien http://go.microsoft.com/fwlink/events.asp qui se trouve à la fin de la zone de texte Description des propriétés de chaque événement. Après avoir cliqué sur le lien, une boîte de dialogue apparaît. Cliquez sur le bouton Oui afin d'autoriser le programme à envoyer des d'informations relatives à l'événement à Microsoft. Le Centre d'aide et support s'ouvre alors et affiche le résultat de la recherche concernant votre problème dans la base de connaissance de Microsoft. Il peut toutefois arriver que Microsoft n'ait pas plus d'informations à ce sujet. Le problème touche un logiciel précis Si vous mettez en évidence la responsabilité d'une application dans les problèmes que vous rencontrez, rendez-vous sur le site web de son éditeur afin de rechercher et d'installer les dernières mises à jour du programme. L'erreur que vous avez rencontrée est certainement connue par l'éditeur qui l'a corrigée. ** Augmenter la taille des journaux. Par défaut, la taille maximale de chaque journal est de 512 Ko, ce qui permet de stocker un millier d'évènements. Lorsque cette taille est atteinte, tous les évènements datant de plus de 7 jours sont remplacés. Or pour suivre précisément les problèmes qui pourraient survenir, mieux vaut pouvoir conserver un historique des évènements courant une période plus large. Pour cela, dans l'Observateur d'évènements, cliquz avec le bouton droit de la souris sur un journal, Application par exemple puis choisissez la commande Propriétés du menu contextuel qui apparait. Ouvrez alors l'onglet Général de la fenêtre Propriétés de Application. Dans la zone Taille de journal, saisissez la taille maximale du journal en Ko, 2048 par exemple (= 2 Mo). Validez enfin par OK. Vous pouvez alors recommencer l'opération pour les journaux Sécurité et Système. ** Enregistrer les journaux. Pour analyser ultérieurement vos journaux d'événements, vous pouvez les enregistrer. Pour cela, l'observateur d'évènements, cliquez avec le bouton droit de la souris sur le journal à sauvegarder puis choisissez la commande Enregistrer le fichier journal sous. Naviguez ensuite jusqu'au dossier dans lequel vous souhaitez enregistrer votre fichier journal puis saisissez le nom du fichier : Journal Application - 21-06-06, par exemple. Validez en cliquant sur le bouton Enregistrer. Par la suite, pour ouvrir un fichier journal, rendez-vous dans l'Observateur d'événements. Cliquez avec le bouton droit de la souris sur l'élément Observateur d'événements (local) puis cliquez sur Ouvrir un fichier journal. Sélectionnez alors le fichier journal à ouvrir, sélectionnez son type dans la liste Type de journal : Application, Sécurité, ou bien Système, puis cliquez sur le bouton Ouvrir. Votre journal enregistré apparaît alors dans l'arborescence de la console. Il vous suffit simplement de cliquer dessus pour afficher les événements qu'il contient. ** Travailler plus efficacement avec les évènements. Deux outils vont vous permettre de travailler plus efficacement avec les événements et de trouver facilement l'information que vous cherchez. Mettre en place un filtre Vous pouvez tout d'abord mettre un place un filtre, afin de limiter le type d'informations à afficher dans l'Observateur d'événements. Dans l'observateur d'évènements, cliquez avec le bouton droit de la souris sur le journal dont vous souhaitez filtrer les événements, puis choisissez la commande Propriétés. Ouvrez ensuite l'onglet Filtrer. Vous pouvez alors choisir d'afficher uniquement les événements de type Erreur en laissant cochée la case Erreur. Les autres options de filtrage vous permettent de spécifier la source de l'événement, sa catégorie, etc. A vous de saisir les informations appropriées à filtrer. Validez enfin par OK pour mettre en place le filtre. Par la suite, pour désactiver le filtrage, retournez dans l'onglet Filtre des Propriétés du journal puis cliquez sur le bouton Paramètres par défaut. Validez par OK Effectuer une recherche. Pour travailler plus efficacement avec des journaux volumineux, l'outil de recherche vous sera d'une grande utilité. Sélectionnez tout d'abord le journal dans lequel vous souhaitez effectuer une recherche. Déroulez ensuite le menu Affichage puis cliquez sur Rechercher. Dans la boîte de dialogue qui s'ouvre, sélectionnez le type d'information à chercher, la source de l'événement, sa catégorie, son Id, etc. Cliquez alors sur le bouton Rechercher le suivant pour mettre en surbrillance le premier élément de la liste qui correspond à vos critères. Cliquez de nouveau sur ce bouton pour passer à l'élément suivant.