ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Event Viewer displaying Event ID 1104 system shutdown events on a monitoring dashboard
Event ID 1104InformationMicrosoft-Windows-EventlogWindows

ID d'événement Windows 1104 – Microsoft-Windows-Eventlog : Arrêt du service de journalisation des événements

L'ID d'événement 1104 indique que le service de journal des événements Windows est en cours d'arrêt, généralement lors de l'arrêt du système, du redémarrage ou des opérations de maintenance du service.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 20267 min de lecture 0
Event ID 1104Microsoft-Windows-Eventlog 5 méthodes 7 min
Référence événement

Signification de cet événement

L'ID d'événement 1104 représente la notification d'arrêt en douceur du service de journal des événements Windows. Lorsque Windows initie une séquence d'arrêt, le service de journal des événements reçoit un signal d'arrêt et enregistre ce dernier message d'information avant de terminer ses processus. Cet événement sert de dernière entrée enregistrée dans le journal système avant que les capacités de journalisation ne deviennent indisponibles.

Le service de journal des événements (EventLog) gère toutes les fonctionnalités de journalisation des événements Windows, y compris l'écriture des événements dans les fichiers journaux, la gestion des politiques de rétention des journaux et la fourniture d'interfaces de requête d'événements. Lorsque ce service s'arrête, toute la journalisation des événements cesse jusqu'à ce que le service redémarre lors du prochain cycle de démarrage. L'ID d'événement 1104 fournit aux administrateurs un horodatage définitif marquant l'arrêt de la journalisation des événements.

Cet événement devient particulièrement important dans les environnements d'entreprise où une surveillance continue et des pistes d'audit sont requises. Les équipes de sécurité s'appuient sur l'ID d'événement 1104 pour identifier les lacunes dans la couverture de journalisation et garantir la conformité aux exigences réglementaires. L'événement aide également à résoudre les scénarios où les applications signalent des entrées de journal manquantes ou lors de l'enquête sur des incidents de sécurité potentiels survenus lors des transitions système.

Dans Windows Server 2025 et Windows 11 24H2, Microsoft a amélioré le service de journal des événements avec une meilleure gestion de l'arrêt et une meilleure intégration avec les fonctionnalités modernes de gestion de l'alimentation. Ces améliorations garantissent que l'ID d'événement 1104 apparaît de manière cohérente même lors de scénarios de démarrage rapide et d'opérations d'arrêt hybride.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Opérations normales d'arrêt ou de redémarrage du système initiées par les utilisateurs ou les administrateurs
  • Tâches de maintenance planifiées nécessitant des redémarrages du système
  • Installations de Windows Update nécessitant des redémarrages du système
  • Arrêt manuel du service Journal des événements Windows via la console Services ou PowerShell
  • Arrêts ou redémarrages du système imposés par la stratégie de groupe
  • Événements de gestion de l'alimentation déclenchant l'hibernation ou l'arrêt du système
  • Erreurs système critiques forçant des arrêts d'urgence
  • Modifications de dépendance de service nécessitant le redémarrage du service Journal des événements
Méthodes de résolution

Étapes de dépannage

01

Vérifier les détails de l'événement dans le Visualiseur d'événements

Ouvrez le Visualiseur d'événements pour examiner les détails de l'ID d'événement 1104 et les événements environnants :

  1. Appuyez sur Windows + R, tapez eventvwr.msc, et appuyez sur Entrée
  2. Accédez à Journaux WindowsSystème
  3. Filtrez le journal en cliquant sur Filtrer le journal actuel dans le volet Actions
  4. Entrez 1104 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur l'entrée de l'ID d'événement 1104 pour voir les détails
  6. Vérifiez l'horodatage et corrélez avec d'autres événements d'arrêt (1074, 6006, 6008)
  7. Consultez l'onglet Général pour des informations de base et l'onglet Détails pour les données XML

Cherchez des motifs dans la fréquence et le timing des arrêts. Plusieurs entrées d'ID d'événement 1104 en succession rapide peuvent indiquer une instabilité du système ou des redémarrages forcés.

02

Interroger les journaux d'événements avec PowerShell

Utilisez PowerShell pour analyser les occurrences de l'ID d'événement 1104 et les corréler avec d'autres événements système :

# Obtenez les entrées récentes de l'ID d'événement 1104
Get-WinEvent -FilterHashtable @{LogName='System'; Id=1104} -MaxEvents 20 | Format-Table TimeCreated, Id, LevelDisplayName, Message -AutoSize

# Corréler avec les événements d'arrêt
$shutdownEvents = Get-WinEvent -FilterHashtable @{LogName='System'; Id=1074,1104,6006,6008} -MaxEvents 50
$shutdownEvents | Sort-Object TimeCreated -Descending | Format-Table TimeCreated, Id, LevelDisplayName, Message -AutoSize

# Exporter la chronologie des arrêts pour analyse
$shutdownEvents | Export-Csv -Path "C:\temp\shutdown_timeline.csv" -NoTypeInformation

Cette méthode fournit une corrélation complète des événements d'arrêt et aide à identifier les modèles de comportement du système.

03

Surveiller l'état du service de journal des événements

Vérifiez la configuration et l'état du service Journal des événements pour assurer un bon fonctionnement :

# Vérifier l'état du service Journal des événements
Get-Service -Name EventLog | Format-List Name, Status, StartType, ServiceType

# Voir les dépendances du service
Get-Service -Name EventLog -DependentServices
Get-Service -Name EventLog -RequiredServices

# Vérifier la configuration du service dans le registre
Get-ItemProperty -Path "HKLM\SYSTEM\CurrentControlSet\Services\EventLog" | Select-Object Start, Type, ErrorControl

Vérifiez que le service est configuré pour un démarrage automatique et examinez tout problème de dépendance pouvant affecter le comportement à l'arrêt. Le service Journal des événements doit avoir une valeur de démarrage de 2 (automatique) dans le registre.

04

Analyser les schémas d'arrêt du système

Créer des rapports complets pour identifier les modèles d'arrêt et les problèmes potentiels :

# Générer un rapport de fréquence d'arrêt
$last30Days = (Get-Date).AddDays(-30)
$shutdowns = Get-WinEvent -FilterHashtable @{LogName='System'; Id=1104; StartTime=$last30Days}

# Grouper par date pour identifier la fréquence des arrêts
$shutdowns | Group-Object {$_.TimeCreated.Date} | Sort-Object Name | Format-Table Name, Count -AutoSize

# Vérifier les arrêts inattendus (ID d'événement 6008)
$unexpectedShutdowns = Get-WinEvent -FilterHashtable @{LogName='System'; Id=6008; StartTime=$last30Days} -ErrorAction SilentlyContinue
if ($unexpectedShutdowns) {
    Write-Host "Arrêts inattendus détectés :" -ForegroundColor Yellow
    $unexpectedShutdowns | Format-Table TimeCreated, Message -AutoSize
}

Cette analyse aide à identifier si les arrêts sont planifiés ou inattendus, et peut révéler des problèmes de stabilité du système nécessitant une attention.

05

Configurer la surveillance avancée des journaux d'événements

Configurez la surveillance proactive pour les arrêts du service Event Log et les événements système :

# Créer une vue de journal d'événements personnalisée pour la surveillance des arrêts
$filterXML = @"

  
    
  

"@

# Interroger en utilisant le filtre personnalisé
Get-WinEvent -FilterXml $filterXML -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -AutoSize

Pour la surveillance d'entreprise, configurez le Windows Event Forwarding (WEF) pour centraliser la collecte de l'Event ID 1104 :

  1. Ouvrez la console de gestion des stratégies de groupe
  2. Accédez à Configuration de l'ordinateurModèles d'administrationComposants WindowsTransfert d'événements
  3. Activez Configurer le gestionnaire de souscription cible
  4. Définissez l'URL du serveur collecteur : Server=http://collector.domain.com:5985/wsman/SubscriptionManager/WEC

Créez des filtres de souscription pour collecter les événements d'arrêt à travers votre infrastructure pour une analyse centralisée et des alertes.

Aperçu

L'ID d'événement 1104 se déclenche lorsque le service Windows Event Log (EventLog) commence son processus d'arrêt. Cet événement informatif apparaît dans le journal Système chaque fois que le service se termine, que ce soit lors d'un arrêt normal du système, d'opérations de redémarrage ou d'arrêts manuels du service. L'événement marque la dernière entrée avant que le service Event Log ne devienne indisponible, ce qui en fait un horodatage critique pour l'analyse judiciaire et le dépannage du système.

Cet événement apparaît généralement aux côtés d'autres événements liés à l'arrêt, comme l'ID d'événement 1074 (arrêt du système initié) et l'ID d'événement 6006 (service Event Log arrêté). Les administrateurs système utilisent l'ID d'événement 1104 pour vérifier la bonne terminaison du service Event Log et identifier les interruptions inattendues du service. L'événement contient peu de données mais sert d'indicateur fiable du moment où les capacités de journalisation ont cessé sur le système.

Comprendre l'ID d'événement 1104 aide les administrateurs à distinguer entre les arrêts de maintenance planifiés et les défaillances système inattendues. L'horodatage de l'événement devient particulièrement précieux lors de la corrélation des événements système sur plusieurs serveurs ou lors de l'enquête sur des incidents survenus à proximité des périodes d'arrêt.

Questions Fréquentes

Que signifie l'ID d'événement 1104 et quand apparaît-il ?+
L'ID d'événement 1104 indique que le service de journal des événements Windows est en cours d'arrêt. Il apparaît chaque fois que le système s'éteint, redémarre ou lorsque le service de journal des événements est arrêté manuellement. Cet événement informatif sert de dernière entrée de journal avant que les capacités de journalisation des événements ne deviennent indisponibles. C'est une partie normale du processus d'arrêt et apparaît généralement aux côtés d'autres événements liés à l'arrêt comme l'ID d'événement 1074 et 6006.
L'ID d'événement 1104 est-il quelque chose dont il faut s'inquiéter ?+
L'ID d'événement 1104 n'est généralement pas une source d'inquiétude car il s'agit d'un événement informatif indiquant l'arrêt normal du service de journal des événements. Cependant, des occurrences fréquentes pourraient indiquer une instabilité du système, des redémarrages inattendus ou des problèmes d'alimentation. Vous devriez enquêter si vous voyez plusieurs entrées d'ID d'événement 1104 en succession rapide sans arrêts planifiés correspondants, ou si elles sont accompagnées d'entrées d'ID d'événement 6008 (arrêt inattendu).
Comment puis-je distinguer les arrêts planifiés des arrêts non planifiés en utilisant l'ID d'événement 1104 ?+
L'ID d'événement 1104 seul n'indique pas si un arrêt était planifié ou non planifié. Vous devez le corréler avec d'autres événements : l'ID d'événement 1074 indique un arrêt planifié avec des informations utilisateur/raison, tandis que l'ID d'événement 6008 indique un arrêt inattendu. Les arrêts planifiés montrent une séquence de 1074 → 1104 → 6006, tandis que les arrêts inattendus montrent généralement 1104 suivi de 6008 au prochain démarrage.
Puis-je empêcher l'ID d'événement 1104 d'apparaître dans mes journaux ?+
Vous ne pouvez pas et ne devez pas empêcher l'apparition de l'ID d'événement 1104, car c'est un événement système critique qui indique l'arrêt du service de journal des événements. Cet événement est essentiel pour les pistes d'audit, l'analyse judiciaire et la surveillance du système. Tenter de le supprimer créerait des lacunes dans vos journaux d'événements et pourrait potentiellement violer les exigences de conformité. Au lieu de cela, concentrez-vous sur la compréhension des raisons des arrêts s'ils semblent excessifs.
Comment utiliser l'ID d'événement 1104 pour dépanner les problèmes système ?+
Utilisez l'ID d'événement 1104 comme marqueur de temps pour identifier quand la journalisation des événements s'est arrêtée. Corrélez-le avec les erreurs d'application, les problèmes de performance ou les événements de sécurité survenus avant l'arrêt. Vérifiez l'écart de temps entre l'ID d'événement 1104 et les événements de démarrage suivants (ID d'événement 6005) pour identifier les temps d'arrêt prolongés. Comparez les modèles d'arrêt sur plusieurs systèmes pour identifier les problèmes d'infrastructure. Utilisez des requêtes PowerShell pour analyser la fréquence des arrêts et identifier les tendances qui pourraient indiquer des problèmes matériels ou des conflits logiciels.
Documentation

Références (2)

1
Microsoft Learn - Windows Event Log ArchitectureOfficial documentation covering Windows Event Log service architecture and event handling mechanisms.https://learn.microsoft.com/en-us/windows/win32/eventlog/event-logging
2
Microsoft Docs - Event Log Service ReferenceTechnical reference for the Windows Event Log service, including service dependencies and shutdown procedures.https://docs.microsoft.com/en-us/windows/win32/eventlog/event-log-service
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#windows-events#system-shutdown#event-id-1104

Événements Windows associés

Windows Event Viewer showing system event logs with error events on a monitoring dashboard
Event 4108
Microsoft-Windows-Eventlog
Windows EventError

ID d'événement Windows 4108 – Microsoft-Windows-Eventlog : Le service du journal des événements a rencontré une erreur

L'ID d'événement 4108 indique que le service de journal des événements Windows a rencontré une erreur lors du traitement des journaux d'événements, souvent liée à la corruption des fichiers journaux, à des problèmes d'espace disque ou à des problèmes de configuration du service.

18 mars9 min
Windows Event Viewer displaying security logs on a professional monitoring workstation in a security operations center
Event 1102
Microsoft-Windows-Eventlog
Windows EventInformation

ID d'événement Windows 1102 – Microsoft-Windows-Eventlog : Journal de sécurité effacé

L'ID d'événement 1102 indique que le journal de sécurité Windows a été effacé manuellement par un administrateur ou un processus système, déclenchant une documentation immédiate de la piste d'audit.

18 mars9 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...