ID d'événement Windows 16 – Fenêtre contextuelle de l'application : Processus système terminé de manière inattendue

Commencez par examiner les détails spécifiques de l'ID d'événement 16 pour identifier le processus terminé et recueillir des informations médico-légales.

1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
2. Accédez à Journaux Windows → Système
3. Filtrez pour l'ID d'événement 16 en utilisant l'option Filtrer le journal actuel
4. Double-cliquez sur l'entrée la plus récente de l'ID d'événement 16 pour voir les détails
5. Notez le nom du processus, le PID et la raison de la terminaison dans la description de l'événement
6. Utilisez PowerShell pour extraire des informations détaillées :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=16} -MaxEvents 10 | Format-List TimeCreated, Id, LevelDisplayName, Message

Faites une référence croisée du processus terminé avec les services en cours d'exécution et les changements récents du système. Documentez l'heure exacte de l'occurrence pour la corrélation avec d'autres événements système.

Vérifiez l'intégrité des fichiers système et testez la stabilité de la mémoire pour identifier les problèmes de corruption pouvant entraîner l'arrêt des processus.

1. Ouvrez Invite de commandes en tant qu'administrateur
2. Exécutez le Vérificateur de fichiers système pour rechercher les fichiers corrompus :

sfc /scannow

3. Exécutez DISM pour réparer l'image Windows :

DISM /Online /Cleanup-Image /RestoreHealth

4. Testez la mémoire système à l'aide du Diagnostic de mémoire Windows :

mdsched.exe

5. Planifiez un redémarrage pour exécuter le test de mémoire, ou utilisez PowerShell pour une analyse immédiate :

Get-WmiObject -Class Win32_PhysicalMemory | Select-Object Capacity, Speed, Manufacturer

Analysez les modifications récentes du système qui ont pu déclencher une instabilité du processus menant à l'ID d'événement 16.

1. Vérifiez les mises à jour récentes de Windows à l'aide de PowerShell :

Get-HotFix | Sort-Object InstalledOn -Descending | Select-Object -First 10

2. Examinez les logiciels et pilotes récemment installés :

Get-WmiObject -Class Win32_Product | Where-Object {$_.InstallDate -gt (Get-Date).AddDays(-7).ToString('yyyyMMdd')} | Select-Object Name, InstallDate

3. Examinez les événements d'installation de pilotes dans le Visualiseur d'événements :
4. Accédez à Journaux des applications et services → Microsoft → Windows → Kernel-PnP → Configuration
5. Filtrez les événements récents d'installation de pilotes (ID d'événement 400-410)
6. Vérifiez les points de restauration système et envisagez de revenir aux modifications récentes :

Get-ComputerRestorePoint | Sort-Object CreationTime -Descending

Si l'ID d'événement 16 est corrélé avec des mises à jour ou installations récentes, envisagez de désinstaller le logiciel problématique ou de revenir aux pilotes via le Gestionnaire de périphériques.

Effectuer une analyse approfondie des processus et services système pour identifier la cause principale des terminaisons inattendues.

1. Activer la journalisation avancée pour le suivi des processus en modifiant le registre :

Set-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options' -Name 'GlobalFlag' -Value 0x02000000

2. Utiliser Process Monitor (ProcMon) pour capturer l'activité des processus en temps réel lors des occurrences de l'ID d'événement 16
3. Analyser les données de Windows Error Reporting :

Get-ChildItem -Path 'C:\ProgramData\Microsoft\Windows\WER\ReportQueue' -Recurse | Where-Object {$_.LastWriteTime -gt (Get-Date).AddDays(-1)}

4. Vérifier les fichiers de vidage qui peuvent contenir des informations sur les plantages :

Get-ChildItem -Path 'C:\Windows\Minidump' | Sort-Object LastWriteTime -Descending

5. Surveiller l'état des services système critiques :

Get-Service | Where-Object {$_.Status -eq 'Stopped' -and $_.StartType -eq 'Automatic'} | Select-Object Name, Status, StartType

Implémentez des mécanismes de surveillance avancée et de récupération automatisée pour prévenir et répondre aux futures occurrences de l'ID d'événement 16.

1. Configurez Windows Performance Toolkit pour une surveillance détaillée des processus :

wpr -start GeneralProfile -filemode

2. Mettez en place une corrélation d'événements automatisée à l'aide de tâches planifiées PowerShell :

$Action = New-ScheduledTaskAction -Execute 'PowerShell.exe' -Argument '-File C:\Scripts\EventID16Response.ps1'
$Trigger = New-ScheduledTaskTrigger -AtStartup
Register-ScheduledTask -TaskName 'EventID16Monitor' -Action $Action -Trigger $Trigger -RunLevel Highest

3. Activez les politiques d'audit avancées pour le suivi des processus :

auditpol /set /subcategory:"Process Termination" /success:enable /failure:enable

4. Configurez la collecte automatique de dump pour les échecs de processus critiques :

Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\CrashControl' -Name 'CrashDumpEnabled' -Value 1
Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\CrashControl' -Name 'DumpFile' -Value 'C:\Windows\MEMORY.DMP'

5. Implémentez une surveillance proactive de la santé à l'aide de Windows Admin Center ou System Center Operations Manager pour les environnements d'entreprise

Cette approche globale fournit des systèmes d'alerte précoce et des capacités de réponse automatisée pour minimiser l'impact des échecs de processus critiques.