ID d'événement Windows 5058 – Microsoft-Windows-Kernel-General : Échec de l'opération de fichier clé

Commencez par examiner les détails spécifiques de l'événement pour identifier le fichier affecté et le code d'erreur :

1. Ouvrez Observateur d'événements → Journaux Windows → Système

2. Filtrez pour l'ID d'événement 5058 en utilisant PowerShell :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=5058} -MaxEvents 20 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap

3. Exécutez le Vérificateur de fichiers système pour vérifier l'intégrité des fichiers système :

sfc /scannow

4. Vérifiez DISM pour la corruption de l'image Windows :

DISM /Online /Cleanup-Image /CheckHealth
DISM /Online /Cleanup-Image /ScanHealth

5. Consultez les journaux SFC et DISM :

Get-Content C:\Windows\Logs\CBS\CBS.log | Select-String "corrupt|error" | Select-Object -Last 10

Examinez le sous-système de stockage pour détecter les problèmes matériels et la corruption du système de fichiers :

1. Exécutez CHKDSK sur le lecteur système :

chkdsk C: /f /r /x

2. Vérifiez l'état du disque à l'aide de PowerShell :

Get-PhysicalDisk | Get-StorageReliabilityCounter | Format-Table DeviceId, Temperature, ReadErrorsTotal, WriteErrorsTotal

3. Vérifiez la disponibilité de l'espace disque :

Get-WmiObject -Class Win32_LogicalDisk | Where-Object {$_.DriveType -eq 3} | Format-Table DeviceID, @{Name='Size(GB)';Expression={[math]::Round($_.Size/1GB,2)}}, @{Name='FreeSpace(GB)';Expression={[math]::Round($_.FreeSpace/1GB,2)}}

4. Recherchez les secteurs défectueux et les erreurs de disque dans le Visualiseur d'événements :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=7,51,98} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap

5. Surveillez les compteurs de performance du disque :

Get-Counter "\LogicalDisk(C:)\Avg. Disk Queue Length", "\LogicalDisk(C:)\% Disk Time" -SampleInterval 5 -MaxSamples 12

Concentrez-vous sur les ruches de registre et les bases de données de sécurité qui déclenchent couramment l'ID d'événement 5058 :

1. Vérifiez les événements de chargement des ruches de registre :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=12,13,14,15} -MaxEvents 20 | Format-Table TimeCreated, Id, Message -Wrap

2. Vérifiez les autorisations de registre sur les ruches critiques :

Get-Acl "HKLM:\SYSTEM" | Format-List
Get-Acl "HKLM:\SOFTWARE" | Format-List

3. Vérifiez la corruption du registre à l'aide des outils intégrés :

reg query HKLM\SYSTEM\CurrentControlSet\Control\Session Manager /v PendingFileRenameOperations

4. Examinez l'intégrité de la base de données de sécurité :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4625,4648,4776} -MaxEvents 10 | Format-Table TimeCreated, Id, Message -Wrap

5. Créez une sauvegarde du registre avant d'apporter des modifications :

reg export HKLM\SYSTEM C:\Backup\system_backup.reg
reg export HKLM\SOFTWARE C:\Backup\software_backup.reg

6. Vérifiez les opérations de registre en attente :

Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\Session Manager" -Name PendingFileRenameOperations -ErrorAction SilentlyContinue

Enquêter pour savoir si des logiciels de sécurité ou des problèmes de permission bloquent les opérations sur les fichiers du noyau :

1. Désactiver temporairement l'analyse antivirus en temps réel et tester :

Get-MpPreference | Select-Object DisableRealtimeMonitoring, DisableIOAVProtection

2. Vérifier les exclusions de Windows Defender :

Get-MpPreference | Select-Object -ExpandProperty ExclusionPath
Get-MpPreference | Select-Object -ExpandProperty ExclusionProcess

3. Examiner les événements d'audit de sécurité pour les refus d'accès aux fichiers :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4656,4658,4663} -MaxEvents 50 | Where-Object {$_.Message -like "*ACCESS DENIED*"} | Format-Table TimeCreated, Message -Wrap

4. Examiner l'accès des processus aux fichiers système :

Get-Process | Where-Object {$_.ProcessName -like "*svc*" -or $_.ProcessName -like "*system*"} | Select-Object ProcessName, Id, StartTime, Path

5. Vérifier les restrictions de la stratégie de groupe :

gpresult /h C:\Temp\gpresult.html
Get-WinEvent -FilterHashtable @{LogName='System'; Id=1085,1125,1127} -MaxEvents 10

6. Vérifier la propriété et les permissions des fichiers système :

icacls C:\Windows\System32\config\SYSTEM
icacls C:\Windows\System32\config\SOFTWARE

Effectuer un dépannage avancé pour des problèmes persistants ou complexes d'Event ID 5058 :

1. Activer le débogage du noyau et capturer des journaux détaillés :

bcdedit /debug on
bcdedit /dbgsettings serial debugport:1 baudrate:115200

2. Utiliser Process Monitor pour suivre l'activité du système de fichiers :

# Télécharger et exécuter ProcMon avec des filtres pour les processus système
# Filtre : Le nom du processus contient "system" OU "winlogon" OU "services"

3. Analyser les vidages mémoire si des plantages système se produisent :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=1001,1003} -MaxEvents 5 | Format-Table TimeCreated, Message -Wrap

4. Vérifier la corruption de la mémoire à l'aide de Windows Memory Diagnostic :

mdsched.exe

5. Activer temporairement la journalisation détaillée du noyau :

reg add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Debug Print Filter" /v DEFAULT /t REG_DWORD /d 0xFFFFFFFF /f

6. Capturer des traces ETW pour les opérations de fichiers du noyau :

wpr -start GeneralProfile -filemode
# Reproduire le problème
wpr -stop C:\Traces\kernel_trace.etl

7. Analyser la trace à l'aide de Windows Performance Analyzer ou convertir en format lisible :

tracerpt C:\Traces\kernel_trace.etl -o C:\Traces\trace_report.xml -of XML