Le journal d’événements de Windows est la première piste lors d’un incident système. Ces fichiers consignent des erreurs système, des alertes et des informations utiles au diagnostic.
Accéder et lire ces logs permet de comprendre la chronologie des pannes et des interventions. La suite présente points clés, méthodes d’accès et actions pratiques pour la maintenance.
A retenir :
- Repérer les événements critiques par ID et source
- Utiliser PowerShell pour filtrer rapidement les logs
- Conserver les fichiers .evtx sur un volume sécurisé
- Exporter les journaux avant toute maintenance majeure
Comment le journal d’événements Windows enregistre les erreurs système
Après une panne, l’examen des enregistrements explique la chronologie des erreurs et des services affectés. Selon Microsoft, les événements incluent un identifiant, une source et un niveau de gravité.
Le journal des applications enregistre des événements 1001 liés aux échecs d’installation, notamment l’événement WinSetupDiag02. Selon Microsoft, cet événement fournit dix paramètres codés et des liens vers des fichiers journaux.
Ces paramètres P1 à P10 décrivent scénario, mode, architecture, résultat, codes d’erreur et builds impliqués. Comprendre ces champs facilite le diagnostic et prépare le filtrage avancé.
Clarté sur les paramètres et exemples pratiques dans le tableau ci-dessous pour accélérer l’analyse et l’intervention. Cette lecture prépare l’usage combiné de l’Observateur d’événements et de PowerShell.
Paramètre
Description
Exemple
P1
Scénario d’installation indiquant l’origine du média ou mise à jour
1 = Media
P2
Mode d’installation, rollback ou installation classique
5 = Rollback
P3
Architecture cible du système d’exploitation
9 = AMD64
P4
Résultat global de l’installation, succès ou échec
1 = Failure
P5
Code d’erreur principal associé au résultat
0xc1900101
P6
Extension du code d’erreur pour précision
0x20017
P7
Build du système d’exploitation source
9600
P9
Nouvelle build cible après la mise à niveau
16299
Paramètres interprétés correctement, il devient possible d’ouvrir les fichiers journaux détaillés liés à l’événement. L’utilisation conjointe des fichiers .evtx et des extraits XML accélère le ciblage des causes.
Préparer l’enchaînement vers l’outil d’affichage et vers les scripts d’extraction pour automatiser la réponse. Le paragraphe suivant détaille l’Observateur d’événements et PowerShell pour l’analyse.
Identifier l’événement WinSetupDiag02 dans les logs
Ce sous-chapitre explique l’usage ciblé du journal des applications pour retrouver WinSetupDiag02 rapidement. Selon malekal.com, l’identification passe par le filtre ID et le champ Data pour « WinSetupDiag02 ».
Pour les administrateurs, une commande PowerShell élevée permet d’extraire directement les données XML et les dix paramètres. Par exemple, la récupération s’effectue via Get-WinEvent filtré sur l’ID et la donnée.
Accéder aux fichiers journaux associés et aux chemins
Les journaux système et application se trouvent par défaut dans le dossier système de Windows. Le chemin classique est C:WindowsSystem32winevtLogs et contient les fichiers .evtx consultables.
Fichier journal
Usage principal
Accès
Application.evtx
Erreurs et informations des applications
Observateur d’événements ou PowerShell
System.evtx
Événements liés aux pilotes et services systèmes
wevtutil ou Observateur
Security.evtx
Audits de connexion et sécurité
Accès restreint aux administrateurs
Setup.evtx
Historique des installations et mises à niveau
Consultation pour diagnostics d’installation
Accéder directement à ces fichiers permet de les exporter et d’en garder une copie avant toute opération invasive. La section suivante montre comment filtrer et automatiser ces extractions de logs.
« J’ai retrouvé la cause d’un échec d’installation en cinq minutes grâce au WinSetupDiag02 »
Marc N.
Utiliser l’Observateur d’événements et PowerShell pour le diagnostic
Ayant extrait les paramètres et localisé les fichiers, l’outil d’affichage permet un tri et une inspection précis des erreurs. Selon Microsoft, l’Observateur d’événements reste l’interface la plus accessible pour cette lecture.
PowerShell complète l’interface en automatisant les recherches sur plusieurs machines et en exportant les résultats. Selon Microsoft, Get-WinEvent et les filtres Hashtable permettent des sélections par ID et par date.
Actions rapides et scripts adaptés présentés ci-dessous pour rendre l’analyse reproductible et mesurable. Ces méthodes facilitent le passage vers l’étape de stockage et sécurité des logs.
Actions rapides de diagnostic :
- Filtrer par ID d’événement pour isoler les erreurs pertinentes
- Exporter les événements en .evtx pour analyse hors ligne
- Utiliser Get-WinEvent pour convertir vers XML lisible
- Comparer les builds sources et cibles pour détecter incompatibilités
La combinaison Observateur et PowerShell permet de passer du constat à la preuve exploitable pour un correctif. La partie suivante explique comment stocker, déplacer et sécuriser ces journaux pour maintenance continue.
« J’administre vingt postes et les scripts ont réduit nos interventions manuelles de moitié »
Aline N.
Maintenance et stockage des logs pour la résilience du PC
Une fois collectés, les logs doivent être sécurisés et éventuellement déplacés vers un emplacement dédié. Selon Microsoft, la modification du registre ou l’usage de PowerShell permet de rediriger les fichiers .evtx.
Le déplacement vers un volume dédié évite la perte en cas d’incident disque et simplifie les audits. Voici une checklist d’opérations recommandées pour la conservation et la sécurité.
Checklist de conservation des journaux :
- Sauvegarde régulière des fichiers .evtx sur un stockage externe
- Restreindre les permissions pour limiter les manipulations non autorisées
- Conserver les journaux de mise à niveau au moins plusieurs mois
- Automatiser l’archivage via des scripts planifiés
L’automatisation passe par des tâches planifiées et des alertes basées sur des critères d’erreur. Un système d’alerte réduit le temps moyen de réparation et améliore la disponibilité des machines.
« Le suivi automatisé m’a permis d’anticiper une panne matérielle avant l’arrêt complet »
Julien N.
Pour les équipes, documenter les procédures de collecte et d’analyse améliore la réactivité et la traçabilité des interventions. À présent, une courte opinion d’expert synthétise l’enjeu stratégique.
« Les journaux bien gérés sont souvent la clé pour résoudre les incidents complexes rapidement »
Luc N.
Source : Microsoft, « Event logging and WinSetupDiag », Microsoft Docs, 2021 ; malekal, « Voir les erreurs et plantages de Windows 10/11 », malekal.com, 2020 ; Microsoft, « Get-WinEvent », Microsoft Learn, 2020.
