ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Event Viewer displaying system telemetry logs on a professional IT workstation
Event ID 1101InformationWinlogonWindows

ID d'événement Windows 1101 – Winlogon : Notification de connexion utilisateur pour le programme d'amélioration de l'expérience client

L'ID d'événement 1101 de Winlogon indique les notifications de connexion utilisateur pour le Programme d'amélioration de l'expérience client (CEIP). Cet événement informatif suit les sessions utilisateur à des fins de télémétrie.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 20269 min de lecture 0
Event ID 1101Winlogon 5 méthodes 9 min
Référence événement

Signification de cet événement

L'ID d'événement Windows 1101 représente un composant central de l'infrastructure de télémétrie du programme d'amélioration de l'expérience client de Microsoft. Lorsque les utilisateurs se connectent aux systèmes Windows, le processus Winlogon génère cet événement pour notifier les services de télémétrie de la nouvelle session utilisateur. L'événement sert de point de déclenchement pour divers processus de collecte de télémétrie en arrière-plan qui recueillent des données d'utilisation anonymisées.

La structure de l'événement inclut les champs d'événement standard de Windows ainsi que des éléments de données spécifiques liés à la session utilisateur. Les informations clés capturées incluent l'identifiant de sécurité de l'utilisateur (SID), l'ID de session de connexion, le package d'authentification utilisé et la classification du type de connexion. Ces données aident Microsoft à comprendre comment les utilisateurs interagissent avec les systèmes Windows tout en maintenant la confidentialité grâce à des techniques d'anonymisation des données.

Du point de vue de l'administration système, l'ID d'événement 1101 fournit des informations précieuses sur les modèles de connexion des utilisateurs et l'utilisation du système. Les environnements à haute fréquence comme les serveurs terminaux ou les postes de travail partagés généreront de nombreuses instances de cet événement tout au long de la journée. Le timing de l'événement peut aider les administrateurs à corréler l'activité des utilisateurs avec les métriques de performance du système et à identifier les goulets d'étranglement potentiels en matière d'authentification.

Les versions modernes de Windows en 2026 ont amélioré le cadre de télémétrie pour être plus transparent et configurable. Les administrateurs peuvent contrôler les niveaux de télémétrie via la stratégie de groupe, les paramètres du registre ou l'interface des paramètres Windows. Cependant, désactiver complètement la télémétrie peut empêcher certaines fonctionnalités de Windows de fonctionner de manière optimale, rendant la surveillance de l'ID d'événement 1101 importante pour maintenir la visibilité de la santé du système.

S'applique à

Windows 10Windows 11Windows Server 2019/2022
Analyse

Causes possibles

  • Connexion utilisateur normale aux systèmes de bureau ou serveur Windows
  • Activation du service du Programme d'amélioration de l'expérience client (CEIP) lors de la connexion
  • Établissement de session des Services Terminal ou du Protocole de Bureau à Distance (RDP)
  • Changement rapide d'utilisateur entre plusieurs comptes utilisateurs
  • Connexions de compte de service lorsque le CEIP est activé pour les contextes de service
  • Exécution de tâche planifiée sous le contexte utilisateur avec la télémétrie activée
  • Achèvement de l'authentification Windows Hello ou biométrique
Méthodes de résolution

Étapes de dépannage

01

Vérifier les détails de l'événement dans le Visualiseur d'événements

Ouvrez l'Observateur d'événements pour examiner les détails spécifiques des occurrences de l'ID d'événement 1101 :

  1. Appuyez sur Windows + R, tapez eventvwr.msc, et appuyez sur Entrée
  2. Accédez à Journaux WindowsApplication
  3. Dans le volet Actions, cliquez sur Filtrer le journal actuel
  4. Entrez 1101 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur n'importe quelle entrée d'ID d'événement 1101 pour voir les informations détaillées
  6. Consultez l'onglet Général pour la description de l'événement et l'onglet Détails pour les données XML
  7. Notez le SID de l'utilisateur, l'ID de processus, et toute information contextuelle supplémentaire

Utilisez PowerShell pour interroger plusieurs événements efficacement :

Get-WinEvent -FilterHashtable @{LogName='Application'; Id=1101} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap
Astuce pro : Exportez les événements en CSV pour analyse : Get-WinEvent -FilterHashtable @{LogName='Application'; Id=1101} | Export-Csv -Path C:\temp\event1101.csv -NoTypeInformation
02

Surveiller les modèles de connexion des utilisateurs

Analyser les modèles d'ID d'événement 1101 pour comprendre le comportement des utilisateurs et l'utilisation du système :

  1. Créer un script PowerShell pour suivre la fréquence des connexions :
$StartTime = (Get-Date).AddDays(-7)
$Events = Get-WinEvent -FilterHashtable @{LogName='Application'; Id=1101; StartTime=$StartTime}
$GroupedEvents = $Events | Group-Object {$_.TimeCreated.Date} | Sort-Object Name
$GroupedEvents | Select-Object Name, Count | Format-Table -AutoSize
  1. Configurer une tâche planifiée pour exécuter cette analyse chaque semaine
  2. Comparer les modèles avec les journaux de sécurité pour corréler les événements d'authentification
  3. Utiliser les vues personnalisées de l'Observateur d'événements pour créer une vue de surveillance dédiée à 1101 :
  4. Cliquez avec le bouton droit sur Vues personnaliséesCréer une vue personnalisée
  5. Sélectionnez Par journalApplication
  6. Entrez 1101 dans le champ ID d'événement
  7. Nommer la vue "Notifications de connexion CEIP" et enregistrer
Astuce pro : Corréler l'ID d'événement 1101 avec l'ID d'événement 4624 (connexion réussie) dans les journaux de sécurité pour un suivi complet des sessions utilisateur.
03

Configurer les paramètres de télémétrie

Ajustez les paramètres de télémétrie de Windows pour contrôler la génération de l'ID d'événement 1101 :

  1. Ouvrez l'Éditeur de stratégie de groupe (gpedit.msc) pour les modifications de stratégie locale
  2. Accédez à Configuration de l'ordinateurModèles d'administrationComposants WindowsCollecte de données et versions d'évaluation
  3. Double-cliquez sur la stratégie Autoriser la télémétrie
  4. Configurez le niveau de télémétrie (0=Sécurité, 1=Basique, 2=Amélioré, 3=Complet)
  5. Appliquez les modifications et exécutez gpupdate /force

Pour la configuration basée sur le registre :

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\DataCollection" -Name "AllowTelemetry" -Value 1 -Type DWord

Vérifiez les paramètres de télémétrie actuels :

Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\DataCollection" -Name "AllowTelemetry" -ErrorAction SilentlyContinue
  1. Redémarrez le système ou redémarrez le service de stratégie de diagnostic :
Restart-Service -Name "DPS" -Force
Avertissement : Régler la télémétrie au niveau de sécurité (0) peut désactiver certaines fonctionnalités de Windows et empêcher les mises à jour automatiques des pilotes.
04

Analyser les dépendances du service de télémétrie

Enquêter sur les services et processus responsables de la génération de l'ID d'événement 1101 :

  1. Vérifier l'état du service de politique de diagnostic :
Get-Service -Name "DPS" | Format-List Name, Status, StartType, ServiceType
  1. Examiner le service Expériences Utilisateur Connectées et Télémétrie :
Get-Service -Name "DiagTrack" | Format-List *
  1. Examiner les dépendances de service et les processus associés :
Get-WmiObject -Class Win32_Service -Filter "Name='DiagTrack'" | Select-Object Name, State, StartMode, ProcessId
  1. Surveiller l'activité de télémétrie en temps réel à l'aide de Process Monitor :
  2. Télécharger et exécuter ProcMon de Microsoft Sysinternals
  3. Définir des filtres pour que le nom du processus contienne "svchost" et le chemin contienne "telemetry"
  4. Observer les modèles d'accès aux fichiers et au registre lors de la connexion de l'utilisateur
  5. Vérifier la configuration du transfert d'événements Windows si dans un environnement d'entreprise :
wecutil es | ForEach-Object { wecutil gs $_ }
Astuce pro : Utilisez sc query DiagTrack pour vérifier rapidement l'état du service de télémétrie depuis la ligne de commande.
05

Configuration de la surveillance et des alertes d'entreprise

Mettre en œuvre une surveillance complète pour l'ID d'événement 1101 dans les environnements d'entreprise :

  1. Créer un script de surveillance PowerShell pour une analyse automatisée :
$LogName = "Application"
$EventID = 1101
$Hours = 24
$StartTime = (Get-Date).AddHours(-$Hours)

$Events = Get-WinEvent -FilterHashtable @{
    LogName = $LogName
    Id = $EventID
    StartTime = $StartTime
} -ErrorAction SilentlyContinue

if ($Events) {
    $EventCount = $Events.Count
    $UniqueUsers = ($Events | ForEach-Object { $_.UserId } | Sort-Object -Unique).Count
    
    Write-Output "Résumé de l'ID d'événement 1101 (Dernières $Hours heures) :"
    Write-Output "Événements totaux : $EventCount"
    Write-Output "Utilisateurs uniques : $UniqueUsers"
    Write-Output "Événements moyens par heure : $([math]::Round($EventCount/$Hours, 2))"
}
  1. Configurer le transfert d'événements Windows pour une collecte centralisée :
  2. Configurer les ordinateurs sources avec : winrm quickconfig
  3. Sur le serveur collecteur, exécuter : wecutil cs subscription.xml
  4. Créer un fichier XML d'abonnement ciblant l'ID d'événement 1101
  5. Mettre en œuvre l'intégration SIEM en utilisant l'API du journal des événements Windows
  6. Configurer des seuils d'alerte pour des modèles de connexion inhabituels
  7. Créer des visualisations de tableau de bord pour les tendances des événements de télémétrie
Conseil pro : Utilisez le Planificateur de tâches pour exécuter les scripts de surveillance toutes les heures et envoyer les résultats par e-mail aux administrateurs.

Aperçu

L'ID d'événement 1101 de la source Winlogon se déclenche lors des processus de connexion utilisateur dans le cadre de la collecte de télémétrie du programme d'amélioration de l'expérience client de Windows (CEIP). Cet événement apparaît dans le journal des applications chaque fois qu'un utilisateur se connecte avec succès à un système Windows et que le service CEIP est actif. L'événement contient des données minimales mais sert de marqueur pour les systèmes de télémétrie de Microsoft afin de suivre les modèles d'engagement des utilisateurs.

Cet événement est tout à fait normal et indique un fonctionnement sain du système. Il se déclenche une fois par session de connexion utilisateur et est directement lié aux services de télémétrie de Windows. L'événement contient généralement des informations de session de base, y compris le SID de l'utilisateur, le type de connexion et les données de l'horodatage. Les administrateurs système voient souvent cet événement dans des environnements à fort volume où plusieurs utilisateurs se connectent tout au long de la journée.

L'événement fait partie du cadre de collecte de données plus large de Microsoft introduit dans Windows 10 et affiné à travers les mises à jour de 2026. Il fonctionne aux côtés d'autres événements de télémétrie pour fournir à Microsoft des statistiques d'utilisation tout en maintenant la confidentialité des utilisateurs grâce à la collecte de données anonymisées. Comprendre cet événement aide les administrateurs à distinguer entre les opérations de télémétrie normales et les problèmes réels du système.

Questions Fréquentes

Que signifie l'ID d'événement Windows 1101 et devrais-je m'en inquiéter ?+
L'ID d'événement 1101 de Winlogon est un événement informatif normal qui indique les notifications de connexion utilisateur pour le Programme d'amélioration de l'expérience client de Microsoft (CEIP). Cet événement est complètement bénin et montre que les services de télémétrie de Windows fonctionnent correctement. Vous ne devriez pas vous inquiéter de cet événement car il représente le fonctionnement normal du système. L'événement se déclenche une fois par session de connexion utilisateur et aide Microsoft à collecter des statistiques d'utilisation anonymisées pour améliorer Windows. Si vous voyez cet événement fréquemment, cela signifie simplement que les utilisateurs se connectent régulièrement à votre système, ce qui est un comportement attendu.
Puis-je désactiver l'ID d'événement 1101 pour qu'il n'apparaisse pas dans mes journaux d'événements ?+
Bien que vous ne puissiez pas désactiver complètement l'ID d'événement 1101 sans affecter la fonctionnalité de Windows, vous pouvez réduire sa fréquence en ajustant les paramètres de télémétrie. Accédez à Paramètres → Confidentialité et sécurité → Diagnostics et commentaires et réglez la télémétrie sur 'Données de diagnostic requises' (niveau minimum). Alternativement, utilisez la stratégie de groupe pour configurer 'Autoriser la télémétrie' au niveau 1 (Basique). Cependant, désactiver complètement la télémétrie peut empêcher Windows Update, Microsoft Defender et d'autres services de fonctionner de manière optimale. Pour les environnements d'entreprise, envisagez d'utiliser le filtrage des journaux d'événements ou des règles SIEM pour exclure ces événements informatifs des alertes critiques tout en maintenant la fonctionnalité du système.
Comment puis-je utiliser l'ID d'événement 1101 pour la surveillance de l'activité des utilisateurs ?+
L'ID d'événement 1101 fournit des informations précieuses pour la surveillance de l'activité des utilisateurs lorsqu'il est combiné avec d'autres événements de connexion. Utilisez PowerShell pour corréler ces événements avec l'ID d'événement de sécurité 4624 (connexion réussie) afin de créer un suivi complet des sessions utilisateur. Créez des filtres personnalisés dans l'Observateur d'événements ou des scripts PowerShell pour analyser les modèles de connexion, identifier les heures de pointe et détecter les activités inhabituelles. L'horodatage de l'événement et les informations SID de l'utilisateur aident les administrateurs à comprendre les modèles d'utilisation du système. Pour une surveillance automatisée, configurez des tâches planifiées qui interrogent ces événements et génèrent des rapports montrant les tendances de connexion quotidiennes/hebdomadaires, ce qui est particulièrement utile pour la planification de la capacité et l'audit de sécurité.
Pourquoi est-ce que je vois plusieurs entrées d'ID d'événement 1101 pour le même utilisateur ?+
Plusieurs entrées d'ID d'événement 1101 pour le même utilisateur peuvent survenir en raison de plusieurs scénarios légitimes. Le changement rapide d'utilisateur génère des événements distincts pour chaque changement, les sessions de bureau à distance créent des événements individuels par connexion, et certaines applications peuvent déclencher des notifications de télémétrie supplémentaires pendant la session. Les comptes de service fonctionnant sous le contexte utilisateur génèrent également ces événements lorsque la télémétrie est activée. Les environnements de serveur terminal montrent couramment de nombreux événements 1101 à mesure que les utilisateurs se connectent et se déconnectent tout au long de la journée. C'est un comportement normal et indique une interaction active des utilisateurs avec le système. Pour analyser les modèles, utilisez PowerShell pour regrouper les événements par SID utilisateur et horodatage afin de comprendre les scénarios de connexion spécifiques dans votre environnement.
Comment l'ID d'événement 1101 est-il lié à la confidentialité et à la collecte de données de Windows ?+
L'ID d'événement 1101 est directement lié à la télémétrie de Windows et aux paramètres de confidentialité configurés via le Programme d'amélioration de l'expérience client. L'événement représente le cadre de collecte de données de Microsoft qui recueille des statistiques d'utilisation anonymisées pour améliorer la fonctionnalité de Windows. Les utilisateurs peuvent contrôler cela via les paramètres de confidentialité, en choisissant entre les niveaux de données de diagnostic Requis, Optionnel ou Amélioré. L'événement lui-même contient des informations personnelles identifiables minimales, principalement des métadonnées de session et des données de synchronisation. En 2026, Microsoft a amélioré la transparence autour de la collecte de télémétrie, offrant des contrôles et une documentation plus clairs sur les données collectées. Les administrateurs d'entreprise peuvent utiliser la stratégie de groupe pour standardiser les niveaux de télémétrie dans leur organisation tout en respectant les réglementations sur la confidentialité.
Documentation

Références (2)

1
Configure Windows diagnostic data in your organizationOfficial Microsoft documentation on configuring telemetry and diagnostic data collection settings in enterprise environments.https://docs.microsoft.com/en-us/windows/privacy/configure-windows-diagnostic-data-in-your-organization
2
Windows Event Log ReferenceComprehensive reference for Windows Event Logging API and event structure documentation.https://docs.microsoft.com/en-us/windows/win32/eventlog/event-logging-reference
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#event-id-1101#windows-telemetry#user-logon

Événements Windows associés

Windows security monitoring dashboard displaying session management events in a professional SOC environment
Event 6279
WinLogon
Windows EventInformation

ID d'événement Windows 6279 – WinLogon : Session de connexion utilisateur détruite

L'ID d'événement 6279 indique qu'une session de connexion utilisateur a été détruite dans Windows. Cet événement informatif se déclenche lorsqu'un utilisateur se déconnecte, se déconnecte d'une session à distance, ou lorsque le système termine une session en raison d'un délai d'attente ou de l'application d'une politique.

18 mars12 min
Windows Event Viewer showing system event logs on a monitoring dashboard
Event 6145
WinLogon
Windows EventInformation

ID d'événement Windows 6145 – WinLogon : Session de connexion utilisateur détruite

L'ID d'événement 6145 indique qu'une session de connexion utilisateur a été détruite par le service de connexion Windows, se produisant généralement lors d'une déconnexion normale, d'un arrêt du système ou d'une terminaison forcée de session.

18 mars9 min
Windows Event Viewer displaying Event ID 1502 user profile service errors on an administrator's monitoring workstation
Event 1502
WinLogon
Windows EventError

ID d'événement Windows 1502 – WinLogon : Échec du chargement du profil utilisateur par le service de profil utilisateur

L'ID d'événement 1502 indique que le service de profil utilisateur n'a pas pu charger un profil utilisateur lors de la connexion, généralement en raison de données de profil corrompues, de permissions insuffisantes ou de corruption du registre.

18 mars9 min
Windows Event Viewer showing system event logs on a monitoring dashboard
Event 5617
Winlogon
Windows EventInformation

ID d'événement Windows 5617 – Winlogon : Session de connexion utilisateur détruite

L'ID d'événement 5617 indique qu'une session de connexion utilisateur a été détruite par le service Windows Logon, se produisant généralement lors des processus normaux de déconnexion ou de terminaison de session utilisateur.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...