Windows Event Viewer showing system event logs and backup file management on a monitoring dashboard

Event ID 1085InformationEventLogWindows

ID d'événement Windows 1085 – EventLog : Sauvegarde automatique du service de journal des événements

L'ID d'événement 1085 indique que le service de journal des événements Windows a automatiquement sauvegardé un fichier journal lorsqu'il a atteint la taille maximale ou les limites de rétention.

Emanuel DE ALMEIDA

18 mars 20269 min de lecture 0

Event ID 1085EventLog 5 méthodes 9 min

Référence événement

Signification de cet événement

L'ID d'événement 1085 représente un composant critique de l'infrastructure de gestion des journaux de Windows. Lorsqu'un journal d'événements atteint sa taille maximale configurée, le service de journal d'événements déclenche automatiquement ce processus de sauvegarde pour maintenir la stabilité du système et assurer une capacité de journalisation continue. L'événement contient des informations détaillées sur le journal sauvegardé, l'emplacement du fichier de sauvegarde et les informations de date et d'heure.

Ce comportement de sauvegarde automatique est contrôlé par les paramètres de politique de rétention de chaque journal, qui peuvent être configurés pour écraser les événements si nécessaire, archiver lorsqu'il est plein, ou ne jamais écraser les événements. Lorsqu'il est réglé en mode archive, le système génère l'ID d'événement 1085 chaque fois qu'une sauvegarde se produit. Le processus de sauvegarde est atomique et non perturbateur, permettant au journal original de continuer à accepter de nouvelles entrées immédiatement après la fin de la sauvegarde.

Les fichiers sauvegardés conservent les mêmes autorisations de sécurité que les journaux originaux, garantissant que les contrôles d'accès restent cohérents. Ces fichiers de sauvegarde peuvent être ouverts directement dans le Visualiseur d'événements, importés dans des outils d'analyse de journaux, ou traités de manière programmatique à l'aide de la cmdlet Get-WinEvent de PowerShell. À des fins de conformité et d'enquête, ces sauvegardes fournissent un enregistrement historique complet de l'activité du système qui serait autrement perdu lorsque les journaux se renouvellent.

Dans les environnements d'entreprise, l'ID d'événement 1085 sert d'indicateur important du volume de journaux et des niveaux d'activité du système. Des occurrences fréquentes pourraient suggérer la nécessité d'ajustements de la taille des journaux, d'un filtrage plus agressif, ou de la mise en œuvre de solutions de journalisation centralisées pour gérer les données plus efficacement.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025

Analyse

Causes possibles

Journal des événements atteignant sa taille maximale configurée
Politique de rétention des journaux définie sur 'Archiver le journal lorsqu'il est plein, ne pas écraser les événements'
Application à fort volume ou activité système générant un nombre excessif d'entrées de journal
Politiques d'audit de sécurité créant un grand nombre d'événements d'audit
Applications personnalisées écrivant des informations de diagnostic étendues dans les journaux d'événements Windows
Services système générant des sorties de journalisation de débogage ou détaillées
Événements d'authentification réseau dans les environnements de domaine créant de grands journaux de sécurité

Méthodes de résolution

Étapes de dépannage

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner l'entrée spécifique de l'ID d'événement 1085 pour comprendre quel journal a été sauvegardé et quand.

Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
Accédez à Journaux Windows → Système
Filtrez le journal actuel en cliquant sur Filtrer le journal actuel dans le volet Actions
Entrez 1085 dans le champ ID d'événements et cliquez sur OK
Double-cliquez sur l'entrée la plus récente de l'ID d'événement 1085 pour voir les détails
Notez le nom du journal et le chemin du fichier de sauvegarde indiqués dans la description de l'événement
Vérifiez l'emplacement du fichier de sauvegarde, généralement C:\Windows\System32\winevt\Logs\Archive-[LogName]-[Timestamp].evtx

Utilisez PowerShell pour obtenir des informations détaillées sur les événements de sauvegarde récents :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=1085} -MaxEvents 10 | Select-Object TimeCreated, Id, LevelDisplayName, Message | Format-Table -Wrap

Vérifier la configuration de la taille des journaux et ajuster les limites

Examinez les paramètres actuels de taille de journal et modifiez-les si les sauvegardes se produisent trop fréquemment.

Ouvrez Observateur d'événements et accédez au journal mentionné dans le message de l'ID d'événement 1085
Cliquez avec le bouton droit sur le nom du journal et sélectionnez Propriétés
Examinez le paramètre Taille maximale du journal (Ko)
Vérifiez l'option actuelle Lorsque la taille maximale du journal d'événements est atteinte
Pour augmenter la taille du journal, modifiez la valeur (recommandé : 20480 Ko pour les journaux Application/Système)
Envisagez de changer la politique de rétention en Écraser les événements si nécessaire si les données historiques ne sont pas critiques

Utilisez PowerShell pour vérifier les configurations de journal sur plusieurs journaux :

Get-WinEvent -ListLog * | Where-Object {$_.RecordCount -gt 0} | Select-Object LogName, MaximumSizeInBytes, LogMode | Sort-Object LogName

Modifiez la taille du journal par programmation :

# Définir le journal Application à 50 Mo
Limit-EventLog -LogName Application -MaximumSize 52428800

# Vérifier les paramètres actuels
Get-EventLog -List

Analyser les modèles de croissance des journaux et leurs sources

Identifiez ce qui cause la croissance rapide des journaux pour traiter la cause profonde plutôt que de simplement gérer les symptômes.

Ouvrez le fichier journal sauvegardé mentionné dans l'ID d'événement 1085
Dans Observateur d'événements, cliquez sur Action → Ouvrir le journal enregistré
Parcourez l'emplacement du fichier de sauvegarde et ouvrez le fichier .evtx archivé
Analysez les sources d'événements et les modèles de fréquence
Cherchez des événements répétitifs ou une journalisation détaillée de certaines applications

Utilisez PowerShell pour analyser la fréquence des événements par source :

# Analyser les sources d'événements du journal des applications
Get-WinEvent -LogName Application -MaxEvents 10000 | Group-Object ProviderName | Sort-Object Count -Descending | Select-Object Name, Count

# Vérifier les événements à haute fréquence au cours des dernières 24 heures
$StartTime = (Get-Date).AddDays(-1)
Get-WinEvent -FilterHashtable @{LogName='Application'; StartTime=$StartTime} | Group-Object Id | Sort-Object Count -Descending | Select-Object Name, Count -First 10

Pour l'analyse du journal de sécurité :

# Identifier les principaux types d'événements de sécurité
Get-WinEvent -LogName Security -MaxEvents 5000 | Group-Object Id | Sort-Object Count -Descending | Select-Object Name, Count -First 15

Configurer des politiques avancées de gestion des journaux

Implémentez une gestion des journaux plus sophistiquée via la stratégie de groupe ou des modifications du registre.

Ouvrez l'Éditeur de stratégie de groupe en exécutant gpedit.msc
Accédez à Configuration de l'ordinateur → Modèles d'administration → Composants Windows → Service de journal des événements
Configurez les stratégies pour des journaux spécifiques dans le sous-dossier approprié (Application, Sécurité, Système)
Définissez les stratégies de Taille maximale du journal et de Méthode de rétention du journal
Activez Contrôler le comportement du journal des événements lorsque le fichier journal atteint sa taille maximale

Configuration basée sur le registre pour des scénarios avancés :

# Vérifiez les paramètres actuels du registre pour le journal des applications
Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\Application" -Name MaxSize, Retention

# Définissez le journal des applications à 100 Mo avec une politique de réécriture
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\Application" -Name MaxSize -Value 104857600
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\Application" -Name Retention -Value 0

Configurez une rétention personnalisée pour des journaux spécifiques :

# Créez une politique de rétention personnalisée
$LogName = "Application"
wevtutil sl $LogName /ms:104857600 /rt:false

Avertissement : Les modifications du registre nécessitent des privilèges administrateur et doivent être testées d'abord dans des environnements non productifs.

Mettre en œuvre la journalisation et la surveillance centralisées

Déployez des solutions de niveau entreprise pour gérer les données de journal plus efficacement et réduire la pression sur le stockage local.

Configurer Windows Event Forwarding (WEF) pour centraliser les journaux
Configurer un serveur collecteur pour recevoir les événements transférés
Créer des abonnements d'événements personnalisés pour les événements critiques
Mettre en œuvre des politiques de rotation et d'archivage des journaux sur le collecteur

Configurer le transfert d'événements sur les ordinateurs sources :

# Activer WinRM pour le transfert d'événements
winrm quickconfig -q

# Configurer le service de transfert
wecutil qc /q

# Créer un abonnement (exécuter sur le serveur collecteur)
wecutil cs subscription.xml

Exemple de configuration XML d'abonnement :

<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
    <SubscriptionId>SystemEvents</SubscriptionId>
    <SubscriptionType>SourceInitiated</SubscriptionType>
    <Description>Transférer les événements système</Description>
    <Enabled>true</Enabled>
    <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>
    <ConfigurationMode>Custom</ConfigurationMode>
    <Query><![CDATA[
        <QueryList>
            <Query Id="0">
                <Select Path="System">*[System[Level=1 or Level=2 or Level=3]]</Select>
            </Query>
        </QueryList>
    ]]></Query>
</Subscription>

Surveiller l'état du transfert :

# Vérifier l'état de l'abonnement
wecutil gr SystemEvents

# Voir les événements transférés
Get-WinEvent -LogName "ForwardedEvents" -MaxEvents 50

Astuce pro : Combinez la journalisation centralisée avec des outils d'analyse de journaux automatisés comme Microsoft Sentinel ou des solutions SIEM tierces pour une surveillance complète.

Aperçu

L'ID d'événement 1085 se déclenche lorsque le service de journal des événements Windows crée automatiquement une sauvegarde d'un journal des événements qui a atteint sa taille maximale configurée ou les limites de sa politique de rétention. Il s'agit d'une opération de maintenance normale qui empêche les fichiers journaux de consommer un espace disque excessif tout en préservant les données historiques des événements. L'événement apparaît dans le journal Système et indique quel journal spécifique a été sauvegardé et où le fichier de sauvegarde a été créé.

Cet événement est particulièrement courant dans les environnements chargés où les applications génèrent de grands volumes d'entrées de journal, provoquant ainsi que des journaux comme Application, Sécurité ou des journaux d'application personnalisés atteignent rapidement leurs seuils de taille. Le mécanisme de sauvegarde automatique assure des opérations de journalisation continues tout en maintenant les performances du système. Comprendre cet événement aide les administrateurs à surveiller les politiques de gestion des journaux et à résoudre les scénarios où des entrées de journal attendues pourraient avoir été archivées.

Les fichiers de sauvegarde créés au cours de ce processus utilisent le format .evtx et sont généralement stockés dans le même répertoire que les fichiers journaux originaux, généralement C:\Windows\System32\winevt\Logs\. Ces journaux archivés restent accessibles via l'Observateur d'événements ou les commandes PowerShell pour l'analyse historique et les exigences de conformité.

Questions Fréquentes

Que signifie l'ID d'événement 1085 et est-ce quelque chose dont il faut s'inquiéter ?+

L'ID d'événement 1085 est un événement informatif indiquant que Windows a automatiquement sauvegardé un journal d'événements ayant atteint sa taille maximale. C'est un comportement normal et non une source d'inquiétude. Cela montre que vos politiques de gestion des journaux fonctionnent correctement pour empêcher les journaux de consommer un espace disque excessif. Cependant, des occurrences fréquentes pourraient indiquer une activité système élevée ou la nécessité d'ajuster les limites de taille des journaux.

Où sont stockés les fichiers de sauvegarde créés par l'ID d'événement 1085 ?+

Les fichiers de sauvegarde sont généralement stockés dans le même répertoire que les journaux d'événements originaux, généralement C:\Windows\System32\winevt\Logs\. Les fichiers de sauvegarde suivent la convention de nommage Archive-[LogName]-[Timestamp].evtx. Par exemple, un journal d'application sauvegardé pourrait être nommé Archive-Application-2026-03-18-14-30-15-123.evtx. Ces fichiers peuvent être ouverts directement dans le Visualiseur d'événements ou accessibles par programmation en utilisant PowerShell.

Comment puis-je empêcher l'ID d'événement 1085 de se produire si fréquemment ?+

Pour réduire la fréquence de l'ID d'événement 1085, vous pouvez augmenter la taille maximale des journaux concernés, changer la politique de rétention en 'Écraser les événements si nécessaire' au lieu d'archiver, ou identifier et réduire la journalisation détaillée des applications qui génèrent des événements excessifs. Utilisez les propriétés de l'Observateur d'événements ou des commandes PowerShell comme Limit-EventLog -LogName Application -MaximumSize 52428800 pour augmenter la taille des journaux. En outre, envisagez de mettre en œuvre un filtrage des journaux ou des solutions de journalisation centralisée.

Puis-je supprimer en toute sécurité les fichiers de sauvegarde créés par l'ID d'événement 1085 ?+

Oui, vous pouvez supprimer en toute sécurité les fichiers journaux d'événements de sauvegarde si vous n'avez plus besoin des données historiques pour la conformité, le dépannage ou les audits. Cependant, prenez en compte les politiques de rétention de données de votre organisation avant de les supprimer. Ces fichiers de sauvegarde contiennent des informations historiques précieuses qui pourraient être nécessaires pour une analyse judiciaire ou la conformité réglementaire. Si l'espace disque est un problème, envisagez de déplacer les fichiers vers un stockage d'archives plutôt que de les supprimer entièrement.

Comment puis-je ouvrir et analyser les fichiers de sauvegarde mentionnés dans l'ID d'événement 1085 ?+

Vous pouvez ouvrir les fichiers journaux d'événements de sauvegarde (.evtx) de plusieurs manières : 1) Dans l'Observateur d'événements, allez dans Action → Ouvrir le journal enregistré et parcourez l'emplacement du fichier de sauvegarde ; 2) Utilisez PowerShell avec Get-WinEvent -Path 'C:\path\to\backup.evtx' ; 3) Double-cliquez sur le fichier .evtx dans l'Explorateur Windows pour l'ouvrir directement dans l'Observateur d'événements. Une fois ouvert, vous pouvez filtrer, rechercher et analyser les événements archivés comme les journaux actuels. Les fichiers de sauvegarde conservent toutes les propriétés d'événement originales et les autorisations de sécurité.

Documentation

Références (2)

Microsoft Learn - Windows Event LogsOfficial documentation covering Windows Event Logging architecture, APIs, and management practices.https://learn.microsoft.com/en-us/windows/win32/eventlog/event-logging

Microsoft Docs - Event Log ServiceTechnical reference for the Windows Event Log service, including configuration options and programmatic access methods.https://docs.microsoft.com/en-us/windows/win32/eventlog/event-log-service

Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Événements Windows associés

Event 6013

EventLog

Windows EventInformation

ID d'événement Windows 6013 – EventLog : Informations sur le temps de fonctionnement du système

L'ID d'événement 6013 enregistre les informations de disponibilité du système dans le journal Système, indiquant depuis combien de temps Windows fonctionne depuis le dernier démarrage ou redémarrage.

18 mars8 min

Event 6009

EventLog

Windows EventInformation

ID d'événement Windows 6009 – EventLog : Informations de démarrage du noyau Microsoft Windows

L'ID d'événement 6009 enregistre les informations de démarrage du noyau Windows, y compris les détails du processeur, la configuration de la mémoire et l'architecture du système lors du démarrage du système.

18 mars8 min

Windows Event Viewer displaying Event ID 1104 system shutdown events on a monitoring dashboard

Event 1104

Microsoft-Windows-Eventlog

Windows EventInformation

ID d'événement Windows 1104 – Microsoft-Windows-Eventlog : Arrêt du service de journalisation des événements

L'ID d'événement 1104 indique que le service de journal des événements Windows est en cours d'arrêt, généralement lors de l'arrêt du système, du redémarrage ou des opérations de maintenance du service.

18 mars7 min

Event 1100

EventLog

Windows EventInformation

ID d'événement Windows 1100 – EventLog : Arrêt du service de journalisation des événements

L'ID d'événement 1100 indique que le service Windows Event Log s'est arrêté, généralement lors de l'arrêt du système ou du redémarrage du service. Cet événement informatif aide à suivre le cycle de vie du service et les changements d'état du système.

18 mars8 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter

Chargement des commentaires...