Gestion de l' observateur d'événements

Consultation des Journaux d'événements
Accés normal :

1. Cliquez sur le Menu Démarrer Panneau de configuration
2. Double-cliquez sur l'icône Outils d'administration Observateur d'événements

Accés rapide :

1. Cliquez sur le Menu Démarrer Exécuter
2. Tapez la commande eventvwr
3. Cliquez sur le bouton OK afin de valider votre choix

Autre possibilité via la Gestion de l'ordinateur :

1. Cliquez sur le Menu Démarrer Exécuter
2. Tapez la commande compmgmt.msc
3. Cliquez sur le bouton OK afin de valider votre choix
4. Cliquez sur l'option Outils système
   

   
   

5. Cliquez sur l'option Observateur d'événements dans la partie droite
   

Affichage des événements :

1. Cliquez sur le journal souhaité dans l'arborescence
   

   
   

2. Les évènements en Erreur sont signalés avec une croix rouge
   

   
   

3. Double-cliquez sur l'événement concerné afin d'obtenir davantage d'informations
4. Récupérez les informations Source et ID événement
   

   
   

5. Effectuez une recherche sur le Site Microsoft en tapant event NuméroID Source dans la zone Rechercher Exemple : event ID 1001 MsiInstaller
   

Actualiser l'Affichage :

1. Cliquez sur le Menu Action Actualiser

Exporter la liste des événements :

1. Cliquez sur le journal souhaité dans l'arborescence
   

   
   

2. Cliquez sur le Menu Action Exporter la liste...
   

   
   

3. Indiquez le chemin souhaité et un nom de fichier [Il est possible de sélectionner le format .txt, ou .csv]

Noms de Logs et lieux de stockages
Les Logs évenements sont stockées sous c:\windows\system32\config

%SystemRoot%\System32\Config\AppEvent.evt	Log Applications : Applications installées sur le PC
%SystemRoot%\System32\Config\SecEvent.evt	Log Sécurité
%SystemRoot%\System32\Config\SysEvent.evt	Log Système : Drivers - process etc....

Paramétrages des Journaux

1. Activez l'observateur d'événements [Démarrer Exécuter Tapez la commande : eventvwr OK]
2. Cliquez sur le journal souhaité dans l'arborescence Propriétés
3. Cochez l'option Remplacer les événements si nécessaire afin d'éviter la saturation du journal concerné
   

   
   

4. A NOTER : La taille du journal est fixée à 512 Ko par défaut, elle est modifiable
   

   
   

Effacement des Journaux

1. Cliquez-droit sur le Journal concerné Effacer tous les événements Le système offre la possibilité de sauvegarder le journal avant effacement
   
2. Redémarrez le PC

Se connecter à un autre ordinateur via l'observateur d'événements

1. Activez l'observateur d'événements [Démarrer Exécuter Tapez la commande : eventvwr OK]
2. Cliquez-droit sur l'option Observateur d'événements (local) Se connecter à un autre ordinateur



3. Sélectionnez l'option Un autre ordinateur
4. Tapez le nom du PC concerné
5. A NOTER : Il faut être membre du groupe Administrateurs sur l'ordinateur local pour que cette fonctionnalité soit opérationnelle