ID d'événement Windows 1100 – EventLog : Arrêt du service de journalisation des événements

Commencez par examiner le contexte autour de l'ID d'événement 1100 pour comprendre pourquoi le service s'est arrêté.

1. Ouvrez Observateur d'événements en appuyant sur Windows + R, en tapant eventvwr.msc, et en appuyant sur Entrée
2. Accédez à Journaux Windows → Système
3. Filtrez pour l'ID d'événement 1100 en cliquant avec le bouton droit sur le journal Système et en sélectionnant Filtrer le journal actuel
4. Entrez 1100 dans le champ ID d'événements et cliquez sur OK
5. Examinez l'horodatage et recherchez les événements immédiatement avant et après l'ID d'événement 1100
6. Vérifiez les événements d'arrêt (ID d'événement 1074), les événements de contrôle de service, ou les messages d'erreur qui pourraient expliquer l'arrêt du service

Utilisez PowerShell pour analyser les modèles d'ID d'événement 1100 et les corréler avec d'autres événements système.

1. Ouvrez PowerShell en tant qu'administrateur
2. Interrogez les occurrences récentes de l'ID d'événement 1100 :

   Get-WinEvent -FilterHashtable @{LogName='System'; Id=1100} -MaxEvents 20 | Format-Table TimeCreated, Id, LevelDisplayName, Message -AutoSize

3. Corrélez avec les événements d'arrêt :

   $StartTime = (Get-Date).AddDays(-7)
   $Events = Get-WinEvent -FilterHashtable @{LogName='System'; Id=1100,1074,1102; StartTime=$StartTime}
   $Events | Sort-Object TimeCreated | Format-Table TimeCreated, Id, LevelDisplayName, Message -AutoSize

4. Vérifiez les événements liés aux services autour de la même heure :

   $EventTime = (Get-WinEvent -FilterHashtable @{LogName='System'; Id=1100} -MaxEvents 1).TimeCreated
   Get-WinEvent -FilterHashtable @{LogName='System'; StartTime=$EventTime.AddMinutes(-5); EndTime=$EventTime.AddMinutes(5)} | Where-Object {$_.Id -in @(7034,7035,7036)} | Format-Table TimeCreated, Id, ProviderName, Message

Vérifiez la configuration et l'état actuel du service EventLog pour assurer un bon fonctionnement.

1. Vérifiez l'état actuel du service :

   Get-Service -Name EventLog | Format-List Name, Status, StartType, ServiceType

2. Examinez la configuration du service dans le registre :

   Get-ItemProperty -Path "HKLM\SYSTEM\CurrentControlSet\Services\EventLog" | Select-Object Start, Type, ErrorControl

3. Ouvrez Services.msc et localisez Journal des événements Windows
4. Cliquez avec le bouton droit sur le service et sélectionnez Propriétés
5. Vérifiez que le Type de démarrage est réglé sur Automatique
6. Vérifiez l'onglet Dépendances pour vous assurer que les services requis sont en cours d'exécution
7. Examinez le compte de service sous l'onglet Connexion (devrait être Système local)

Enquêter pour savoir si l'ID d'événement 1100 est corrélé avec des arrêts inattendus ou des problèmes système.

1. Interroger les événements d'arrêt avec des informations détaillées :

   Get-WinEvent -FilterHashtable @{LogName='System'; Id=1074} -MaxEvents 10 | ForEach-Object {
       $Message = $_.Message
       $TimeCreated = $_.TimeCreated
       [PSCustomObject]@{
           Time = $TimeCreated
           User = ($Message -split '\n')[1] -replace 'User: ', ''
           Reason = ($Message -split '\n')[4] -replace 'Reason: ', ''
           Type = ($Message -split '\n')[2] -replace 'Process: ', ''
       }
   } | Format-Table -AutoSize

2. Vérifier les arrêts inattendus (événements de démarrage sale) :

   Get-WinEvent -FilterHashtable @{LogName='System'; Id=6008} -MaxEvents 5 | Format-Table TimeCreated, Message -Wrap

3. Examiner les modèles de disponibilité du système :

   $BootTime = (Get-CimInstance -ClassName Win32_OperatingSystem).LastBootUpTime
   $Uptime = (Get-Date) - $BootTime
   Write-Host "System uptime: $($Uptime.Days) days, $($Uptime.Hours) hours, $($Uptime.Minutes) minutes"

4. Vérifier l'historique des mises à jour Windows pour la corrélation :

   Get-HotFix | Sort-Object InstalledOn -Descending | Select-Object -First 10 | Format-Table HotFixID, Description, InstalledOn -AutoSize

Implémentez une surveillance pour suivre le comportement du service EventLog et prévenir les arrêts inattendus.

1. Créez un script de surveillance PowerShell :

   # Enregistrer sous Monitor-EventLogService.ps1
   while ($true) {
       $Service = Get-Service -Name EventLog
       $Timestamp = Get-Date -Format "yyyy-MM-dd HH:mm:ss"
       
       if ($Service.Status -ne 'Running') {
           Write-Warning "$Timestamp - Le service EventLog est $($Service.Status)"
           # Envoyer une alerte ou redémarrer le service si nécessaire
       } else {
           Write-Host "$Timestamp - Le service EventLog fonctionne normalement"
       }
       
       Start-Sleep -Seconds 300  # Vérifier toutes les 5 minutes
   }

2. Configurez la surveillance du journal des événements avec Windows Performance Toolkit :

   wevtutil sl System /ms:1048576000  # Augmenter la taille du journal système à 1 Go
   wevtutil sl Application /ms:1048576000
   wevtutil sl Security /ms:1048576000

3. Configurez la récupération automatique du service dans Services.msc :
4. Ouvrez Services.msc → Journal des événements Windows → Propriétés
5. Allez à l'onglet Récupération et définissez :
6. Première défaillance : Redémarrer le service
7. Deuxième défaillance : Redémarrer le service
8. Défaillances suivantes : Redémarrer le service
9. Créez une tâche planifiée pour surveiller la santé du service :

   $Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\Monitor-EventLogService.ps1"
   $Trigger = New-ScheduledTaskTrigger -AtStartup
   $Principal = New-ScheduledTaskPrincipal -UserID "SYSTEM" -LogonType ServiceAccount
   Register-ScheduledTask -TaskName "EventLog Service Monitor" -Action $Action -Trigger $Trigger -Principal $Principal