ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows system administrator analyzing ETW session data and event traces on monitoring dashboards
Event ID 24577ErrorKernel-EventTracingWindows

ID d'événement Windows 24577 – Kernel-EventTracing : Erreur de configuration de session ETW

L'ID d'événement 24577 indique une erreur de configuration de session Event Tracing for Windows (ETW), se produisant généralement lorsque les fournisseurs ETW ne parviennent pas à démarrer ou lorsque les paramètres de session sont invalides lors du démarrage du système ou de l'initialisation du service.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 20269 min de lecture 0
Event ID 24577Kernel-EventTracing 5 méthodes 9 min
Référence événement

Signification de cet événement

L'ID d'événement 24577 représente un échec dans l'infrastructure de Windows Event Tracing for Windows (ETW), spécifiquement lié à la configuration de session et à l'enregistrement des fournisseurs. ETW est une installation de traçage haute performance et à faible surcharge de Microsoft qui permet la collecte d'événements en temps réel à partir de composants en mode noyau et utilisateur. Lorsque cet événement se produit, il indique que le sous-système ETW n'a pas pu configurer ou démarrer correctement une session de traçage.

L'erreur se manifeste généralement lorsque le système tente d'initialiser des sessions ETW lors du démarrage, du lancement de services ou lorsque des applications enregistrent dynamiquement des fournisseurs ETW. Les scénarios courants incluent des configurations de session ETW corrompues dans le registre, une mémoire insuffisante pour l'allocation de tampons, des GUID de fournisseurs conflictuels ou des restrictions de politique de sécurité empêchant l'enregistrement des fournisseurs.

Dans les environnements d'entreprise, cet événement est souvent corrélé avec des outils de surveillance de la sécurité, des compteurs de performance ou des applications personnalisées qui dépendent fortement d'ETW pour la collecte de télémétrie. Les améliorations de sécurité de Windows 11 2026 ont introduit une validation plus stricte pour les manifestes de fournisseurs ETW, provoquant certains déclenchements plus fréquents de cet événement par des applications héritées.

L'impact va au-delà des simples échecs de journalisation. Les sessions ETW prennent en charge des fonctionnalités critiques de Windows, y compris Windows Performance Toolkit (WPT), Windows Defender Advanced Threat Protection (ATP) et divers diagnostics système. Des événements 24577 persistants peuvent indiquer des capacités de surveillance dégradées, affectant potentiellement la posture de sécurité et l'efficacité du dépannage.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Configuration de session ETW corrompue dans le registre Windows
  • Mémoire système insuffisante pour l'allocation du tampon ETW lors du démarrage de la session
  • GUIDs de fournisseurs ETW conflictuels entre plusieurs applications ou services
  • Fichiers de manifeste de fournisseur ETW invalides ou corrompus
  • Restrictions de politique de sécurité bloquant l'enregistrement du fournisseur ETW
  • Logiciel de surveillance tiers avec des implémentations ETW incompatibles
  • Épuisement des ressources système empêchant la création de nouvelles sessions ETW
  • Conflits d'installation de Windows Update affectant l'infrastructure ETW
  • Logiciel antivirus bloquant l'enregistrement du fournisseur ETW en tant que risque potentiel de sécurité
Méthodes de résolution

Étapes de dépannage

01

Vérifier l'état de la session ETW et effacer les sessions corrompues

Commencez par examiner les sessions ETW actives et identifier les configurations problématiques :

  1. Ouvrez Invite de commandes en tant qu'administrateur
  2. Listez toutes les sessions ETW actives :
    logman query -ets
  3. Vérifiez les sessions avec des noms inhabituels ou des états d'erreur
  4. Arrêtez les sessions problématiques (remplacez SESSION_NAME par le nom réel) :
    logman stop SESSION_NAME -ets
  5. Interrogez les fournisseurs ETW pour identifier les conflits :
    Get-WinEvent -FilterHashtable @{LogName='System'; Id=24577} -MaxEvents 20 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap
  6. Vérifiez le Visualiseur d'événements pour des erreurs supplémentaires liées à ETW : Visualiseur d'événementsJournaux WindowsSystème, filtrez par ID d'événement 24577
Astuce pro : Utilisez wevtutil el pour lister tous les journaux d'événements disponibles et identifier quels fournisseurs ETW échouent à s'enregistrer.
02

Reconstruire la configuration du registre ETW

Réinitialisez la configuration ETW en reconstruisant les entrées de registre et en effaçant les données de fournisseur mises en cache :

  1. Ouvrez l'Éditeur du Registre en tant qu'Administrateur
  2. Accédez à la configuration ETW : HKLM\SYSTEM\CurrentControlSet\Control\WMI
  3. Exportez la clé WMI comme sauvegarde avant de faire des modifications
  4. Supprimez les entrées de session ETW corrompues sous : HKLM\SYSTEM\CurrentControlSet\Control\WMI\Autologger
  5. Effacez le cache du fournisseur ETW en utilisant PowerShell :
    Remove-Item -Path "HKLM:\SYSTEM\CurrentControlSet\Control\WMI\Security" -Recurse -Force -ErrorAction SilentlyContinue
  6. Redémarrez le service du journal des événements Windows :
    Restart-Service -Name "EventLog" -Force
  7. Reconstruisez les enregistrements des fournisseurs ETW :
    wevtutil im C:\Windows\System32\wevtapi.dll
  8. Redémarrez le système pour réinitialiser l'infrastructure ETW
Avertissement : Modifier les clés de registre WMI peut affecter la stabilité du système. Créez toujours un point de restauration système avant de continuer.
03

Identifier et résoudre les conflits ETW tiers

Enquêter sur les applications tierces causant des conflits de fournisseurs ETW :

  1. Utilisez Process Monitor pour identifier les applications accédant à ETW :
    Get-Process | Where-Object {$_.ProcessName -like "*monitor*" -or $_.ProcessName -like "*trace*"} | Select-Object Name, Id, Path
  2. Vérifiez les logiciels de surveillance installés et les outils de sécurité
  3. Désactivez temporairement les services de surveillance tiers :
    Get-Service | Where-Object {$_.DisplayName -like "*Monitor*" -or $_.DisplayName -like "*Trace*"} | Stop-Service -Force
  4. Surveillez le Visualiseur d'événements pendant 30 minutes pour voir si l'ID d'événement 24577 cesse de se produire
  5. Réactivez les services un par un pour identifier l'application problématique
  6. Mettez à jour ou reconfigurez le logiciel identifié avec un enregistrement correct du fournisseur ETW
  7. Pour les problèmes persistants, désenregistrez et réenregistrez les fournisseurs ETW :
    wevtutil um C:\Program Files\[Application]\manifest.xml
    wevtutil im C:\Program Files\[Application]\manifest.xml
Astuce pro : Utilisez logman query providers pour voir tous les fournisseurs ETW enregistrés et identifier les doublons ou les entrées invalides.
04

Réparer les composants d'infrastructure ETW de Windows

Effectuer une réparation complète de l'infrastructure ETW de Windows lorsque d'autres méthodes échouent :

  1. Exécuter le Vérificateur de fichiers système pour réparer les composants ETW corrompus :
    sfc /scannow
  2. Exécuter DISM pour réparer l'image Windows :
    DISM /Online /Cleanup-Image /RestoreHealth
  3. Réinitialiser la configuration du service de journal des événements Windows :
    sc config eventlog start= auto
    sc config eventlog type= share
  4. Effacer et reconstruire les fichiers journaux ETW :
    Stop-Service -Name "EventLog" -Force
    Remove-Item -Path "C:\Windows\System32\winevt\Logs\*.evtx" -Force -ErrorAction SilentlyContinue
    Start-Service -Name "EventLog"
  5. Réenregistrer toutes les DLL liées à ETW :
    regsvr32 /s wevtapi.dll
    regsvr32 /s advapi32.dll
    regsvr32 /s kernel32.dll
  6. Reconstruire l'Instrumentation de gestion Windows :
    winmgmt /resetrepository
  7. Redémarrer le système et surveiller la récurrence de l'ID d'événement 24577
Avertissement : Effacer les journaux d'événements supprimera toutes les données d'événements historiques. Exportez les journaux importants avant de continuer.
05

Débogage ETW avancé et optimisation des performances

Utilisez des techniques de débogage avancées pour les problèmes ETW persistants :

  1. Activez le débogage ETW dans le registre :
    New-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\WMI" -Name "EnableKernelETWLogging" -Value 1 -PropertyType DWORD -Force
  2. Créez une session de trace ETW personnalisée pour le débogage :
    logman create trace ETWDebug -p Microsoft-Windows-Kernel-EventTracing -o C:\temp\etwdebug.etl -ets
  3. Surveillez l'utilisation des ressources de la session ETW :
    Get-Counter "\ETW Sessions(*)\*" | Format-Table -AutoSize
  4. Analysez les échecs d'allocation de tampon ETW :
    wpa C:\temp\etwdebug.etl
  5. Optimisez les paramètres de session ETW dans les applications problématiques en modifiant les tailles de tampon et les minuteries de vidage
  6. Implémentez un script de surveillance de session ETW :
    while ($true) {
        $sessions = logman query -ets | Select-String "Session"
        if ($sessions.Count -gt 50) {
            Write-Host "Nombre élevé de sessions ETW détecté : $($sessions.Count)"
        }
        Start-Sleep 60
    }
  7. Arrêtez la trace de débogage et analysez les résultats :
    logman stop ETWDebug -ets
Conseil pro : Windows Performance Analyzer (WPA) du Windows SDK offre des capacités d'analyse détaillée des sessions ETW pour des scénarios de dépannage complexes.

Aperçu

L'ID d'événement 24577 se déclenche lorsque le sous-système Windows Event Tracing for Windows (ETW) rencontre des erreurs de configuration lors de l'initialisation de la session. Cet événement apparaît généralement dans le journal Système lorsque les fournisseurs ETW ne parviennent pas à s'enregistrer correctement, que les paramètres de session sont corrompus ou qu'il y a des ressources système insuffisantes pour établir des sessions de traçage. ETW est essentiel pour le diagnostic de Windows, la surveillance des performances et l'audit de sécurité, ce qui rend cet événement significatif pour la stabilité du système.

L'événement se produit couramment lors du démarrage du système lorsque plusieurs sessions ETW tentent de s'initialiser simultanément, ou lorsque des applications tierces enregistrent des fournisseurs ETW personnalisés avec des configurations invalides. Dans les mises à jour de Windows 11 2026, les fonctionnalités de sécurité ETW améliorées ont rendu le système plus sensible aux erreurs d'enregistrement des fournisseurs, augmentant la fréquence de cet événement sur les systèmes avec des logiciels de surveillance hérités.

Cet erreur peut affecter la surveillance des performances du système, la collecte des événements de sécurité et les capacités de diagnostic. Bien qu'il ne soit pas immédiatement critique pour le fonctionnement du système, des événements 24577 persistants indiquent des problèmes sous-jacents avec l'infrastructure d'instrumentation Windows qui devraient être examinés rapidement.

Questions Fréquentes

Que signifie l'ID d'événement 24577 et pourquoi se produit-il ?+
L'ID d'événement 24577 indique une erreur de configuration de session Event Tracing for Windows (ETW). Elle se produit lorsque le sous-système ETW ne peut pas initialiser correctement les sessions de traçage en raison de configurations corrompues, de ressources insuffisantes, de GUID de fournisseur en conflit ou de restrictions de sécurité. Cet événement est critique car ETW prend en charge les fonctionnalités essentielles de surveillance, de diagnostic et de sécurité de Windows.
L'ID d'événement 24577 peut-il causer des problèmes de performance du système ?+
Bien que l'ID d'événement 24577 ne provoque pas directement de plantages système, il peut avoir un impact significatif sur les capacités de surveillance et les fonctions de diagnostic. Des erreurs ETW persistantes peuvent empêcher les outils de sécurité de collecter des télémétries, désactiver les compteurs de performance et affecter la fonctionnalité de Windows Defender ATP. Dans les cas graves, les sessions ETW échouées peuvent consommer des ressources système et provoquer des fuites de mémoire.
Comment puis-je identifier quelle application cause des conflits de fournisseur ETW ?+
Utilisez Process Monitor pour suivre l'accès aux fichiers et registres liés à ETW, puis exécutez 'logman query providers' pour lister tous les fournisseurs ETW enregistrés. Désactivez temporairement les services de surveillance tiers un par un tout en surveillant le Visualiseur d'événements pour l'ID d'événement 24577. Vérifiez les détails de l'événement pour des GUIDs de fournisseurs spécifiques et croisez-les avec les fichiers manifestes des applications installées.
Est-il sûr de supprimer les entrées de registre ETW pour corriger cette erreur ?+
La suppression des entrées de registre ETW peut résoudre la corruption de la configuration mais doit être effectuée avec précaution. Exportez toujours les clés de registre comme sauvegarde avant la suppression. Concentrez-vous sur la suppression des entrées sous HKLM\SYSTEM\CurrentControlSet\Control\WMI\Autologger qui correspondent aux sessions problématiques. Évitez de supprimer les fournisseurs ETW principaux de Windows car cela peut altérer la fonctionnalité du système.
Pourquoi vois-je plus d'erreurs d'ID d'événement 24577 après les mises à jour de Windows 11 2026 ?+
Les mises à jour de Windows 11 2026 ont introduit une validation de sécurité ETW améliorée et une vérification plus stricte des manifestes des fournisseurs. Les applications de surveillance héritées avec des implémentations ETW obsolètes déclenchent désormais plus d'erreurs de validation. Le système met également en œuvre une gestion de la mémoire améliorée pour les sessions ETW, ce qui peut révéler des problèmes de configuration auparavant cachés dans les logiciels tiers.
Documentation

Références (2)

1
Microsoft Learn - Event Tracing for Windows OverviewComprehensive documentation on ETW architecture, provider registration, and session managementhttps://learn.microsoft.com/en-us/windows/win32/etw/event-tracing-portal
2
Windows Performance Toolkit DocumentationOfficial guide for Windows Performance Analyzer and ETW trace analysis toolshttps://learn.microsoft.com/en-us/windows-hardware/test/wpt/
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#event-id-24577#etw-errors#windows-tracing

Événements Windows associés

Windows system monitoring dashboard showing Event Viewer and PowerShell ETW session management
Event 8224
Kernel-EventTracing
Windows EventError

ID d'événement Windows 8224 – Kernel-EventTracing : Échec de démarrage de la session ETW

L'ID d'événement 8224 indique qu'une session de traçage d'événements pour Windows (ETW) n'a pas pu démarrer, généralement en raison de ressources système insuffisantes, de problèmes de permissions ou de sessions de traçage conflictuelles.

18 mars9 min
System administrator analyzing Windows ETW traces and event logs on multiple monitoring screens
Event 8216
Kernel-EventTracing
Windows EventError

ID d'événement Windows 8216 – Kernel-EventTracing : Échec du démarrage de la session ETW

L'ID d'événement 8216 indique qu'une session de traçage d'événements pour Windows (ETW) n'a pas pu démarrer, généralement en raison de permissions insuffisantes, de contraintes de ressources ou de conflits de fournisseurs dans le sous-système de traçage d'événements du noyau Windows.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...