ID d'événement Windows 24579 – Inconnu : Événement d'enregistrement de composant système ou d'initialisation de service

Commencez par examiner les détails complets de l'événement pour comprendre quel composant a déclenché l'événement.

1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
2. Accédez à Journaux Windows → Système ou Application
3. Filtrez pour l'ID d'événement 24579 en cliquant avec le bouton droit sur le journal et en sélectionnant Filtrer le journal actuel
4. Entrez 24579 dans le champ ID d'événements et cliquez sur OK
5. Double-cliquez sur les entrées récentes de l'ID d'événement 24579 pour voir les informations détaillées
6. Examinez l'onglet Général pour la description de l'événement et l'onglet Détails pour les données XML

Cherchez des motifs dans le timing, la fréquence, et tout événement d'erreur associé qui se produit au même moment.

Utilisez PowerShell pour recueillir des informations complètes sur les occurrences de l'ID d'événement 24579 et identifier des modèles.

1. Ouvrez PowerShell en tant qu'administrateur
2. Exécutez la commande suivante pour récupérer les entrées récentes de l'ID d'événement 24579 :

Get-WinEvent -FilterHashtable @{LogName='System','Application'; Id=24579} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap

3. Analysez les modèles de synchronisation avec cette commande :

Get-WinEvent -FilterHashtable @{LogName='System','Application'; Id=24579} -MaxEvents 100 | Group-Object {$_.TimeCreated.Date} | Sort-Object Name

4. Exportez des informations détaillées sur les événements pour une analyse plus approfondie :

Get-WinEvent -FilterHashtable @{LogName='System','Application'; Id=24579} -MaxEvents 200 | Export-Csv -Path "C:\temp\Event24579_Analysis.csv" -NoTypeInformation

Examinez les données exportées pour identifier les corrélations avec les changements système, les mises à jour ou les installations de services.

Enquêter sur l'ID d'événement 24579 dans le contexte d'autres événements de démarrage système et de service pour comprendre la séquence d'initialisation complète.

1. Créer une requête d'événements de démarrage complète dans PowerShell :

$StartTime = (Get-Date).AddDays(-7)
$Events = Get-WinEvent -FilterHashtable @{LogName='System'; StartTime=$StartTime; Id=1,6005,6006,6009,24579} | Sort-Object TimeCreated
$Events | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap

2. Vérifier les corrélations de démarrage de service :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=7034,7035,7036,24579} -MaxEvents 100 | Sort-Object TimeCreated | Format-Table TimeCreated, Id, Message -Wrap

3. Examiner les événements de mise à jour Windows qui pourraient être corrélés :

Get-WinEvent -FilterHashtable @{LogName='System'; ProviderName='Microsoft-Windows-WindowsUpdateClient'} -MaxEvents 50 | Where-Object {$_.TimeCreated -gt (Get-Date).AddDays(-7)}

4. Examiner les événements d'installation de pilotes :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=219,220} -MaxEvents 50 | Format-Table TimeCreated, Message -Wrap

Rechercher des relations temporelles entre l'ID d'événement 24579 et les changements système.

Examinez le Registre Windows pour comprendre les enregistrements des sources d'événements et identifier les sources potentielles pour l'ID d'événement 24579.

1. Ouvrez l'Éditeur du Registre en tant qu'Administrateur (Win + R, tapez regedit)
2. Accédez à l'emplacement du registre des journaux d'événements :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\System

3. Cherchez les entrées de sources d'événements récemment modifiées en vérifiant la colonne Dernière heure d'écriture
4. Utilisez PowerShell pour interroger les enregistrements des sources d'événements :

Get-ChildItem "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\System" | ForEach-Object {
    $sourceName = $_.PSChildName
    $eventMessageFile = Get-ItemProperty -Path $_.PSPath -Name "EventMessageFile" -ErrorAction SilentlyContinue
    if ($eventMessageFile) {
        [PSCustomObject]@{
            Source = $sourceName
            MessageFile = $eventMessageFile.EventMessageFile
            LastModified = $_.LastWriteTime
        }
    }
} | Sort-Object LastModified -Descending | Select-Object -First 20

5. Vérifiez les sources d'événements orphelines ou mal configurées :

Get-WinEvent -ListProvider * | Where-Object {$_.Name -like "*Unknown*" -or $_.Name -eq ""} | Format-Table Name, LogLinks -AutoSize

Utilisez des outils de diagnostic avancés pour tracer la source exacte et le contexte de la génération de l'ID d'événement 24579.

1. Téléchargez et exécutez Process Monitor (ProcMon) de Microsoft Sysinternals
2. Configurez les filtres ProcMon :
• Activité de processus et de thread : Inclure
• Activité de fichier et de registre : Inclure
• Ajouter un filtre : Nom du processus contient svchost
3. Activez la journalisation Event Tracing for Windows (ETW) :

wevtutil sl Microsoft-Windows-Kernel-EventTracing/Analytic /e:true
logman create trace EventTrace -p Microsoft-Windows-Kernel-EventTracing -o C:\temp\eventtrace.etl -ets

4. Surveillez la génération d'événements en temps réel avec WPA (Windows Performance Analyzer) si disponible :

wevtutil qe System "/q:*[System[EventID=24579]]" /f:text /rd:true /c:1

5. Utilisez PowerShell pour surveiller les événements en temps réel :

Register-WmiEvent -Query "SELECT * FROM Win32_NTLogEvent WHERE LogFile='System' AND EventCode=24579" -Action {
    $Event = $Event.SourceEventArgs.NewEvent
    Write-Host "Événement 24579 détecté à $($Event.TimeGenerated): $($Event.Message)"
}

6. Arrêtez la trace et analysez les résultats :

logman stop EventTrace -ets
wevtutil sl Microsoft-Windows-Kernel-EventTracing/Analytic /e:false