ID d'événement Windows 5828 – ESENT : Récupération de la base de données terminée avec succès

Commencez par examiner les détails spécifiques de l'ID d'événement 5828 pour comprendre quelle base de données a été récupérée et la durée de la récupération.

1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
2. Accédez à Journaux Windows → Application
3. Filtrez pour l'ID d'événement 5828 en cliquant avec le bouton droit sur le journal Application et en sélectionnant Filtrer le journal actuel
4. Entrez 5828 dans le champ ID d'événements et cliquez sur OK
5. Double-cliquez sur les entrées récentes de l'ID d'événement 5828 pour voir les informations détaillées
6. Notez le chemin de la base de données, la durée de la récupération, et tout contexte supplémentaire dans la description de l'événement

Utilisez PowerShell pour interroger plusieurs événements 5828 pour une analyse de modèle :

Get-WinEvent -FilterHashtable @{LogName='Application'; Id=5828} -MaxEvents 50 | Select-Object TimeCreated, Message | Format-Table -Wrap

Examinez le journal Système pour les événements survenus avant la récupération de la base de données afin d'identifier la cause principale de l'arrêt inattendu.

1. Dans Observateur d'événements, accédez à Journaux Windows → Système
2. Cherchez des événements autour de la même période que l'ID d'événement 5828, en particulier :
• ID d'événement 1074 (arrêt/redémarrage du système)
• ID d'événement 6008 (arrêt inattendu)
• ID d'événement 41 (événements de puissance du noyau)
• ID d'événement 1001 (Rapport d'erreurs Windows)
3. Utilisez PowerShell pour corréler les événements dans une période spécifique :

# Obtenez les événements 1 heure avant le dernier événement 5828
$LastRecovery = Get-WinEvent -FilterHashtable @{LogName='Application'; Id=5828} -MaxEvents 1
$StartTime = $LastRecovery.TimeCreated.AddHours(-1)
Get-WinEvent -FilterHashtable @{LogName='System'; StartTime=$StartTime; EndTime=$LastRecovery.TimeCreated} | Where-Object {$_.Id -in @(1074,6008,41,1001)} | Select-Object TimeCreated, Id, LevelDisplayName, Message

Utilisez les outils intégrés pour surveiller la santé de la base de données ESENT et identifier les problèmes potentiels avant qu'ils ne causent des événements de récupération.

1. Activez la journalisation diagnostique ESENT en modifiant le registre :

# Activer la journalisation détaillée ESENT (nécessite un redémarrage)
Set-ItemProperty -Path "HKLM\SYSTEM\CurrentControlSet\Services\ESENT\Parameters" -Name "Enable Logging" -Value 1 -Type DWord
Set-ItemProperty -Path "HKLM\SYSTEM\CurrentControlSet\Services\ESENT\Parameters" -Name "Log Level" -Value 3 -Type DWord

2. Surveillez les compteurs de performance ESENT à l'aide de Performance Monitor :
• Ouvrez Performance Monitor (perfmon.exe)
• Ajoutez des compteurs de l'objet Database pour les instances ESENT
• Surveillez les indicateurs clés : Ratio de Cache de Base de Données, Enregistrements de Journal Bloqués/sec, Défauts de Page de Base de Données/sec
3. Utilisez PowerShell pour vérifier l'intégrité des fichiers de base de données :

# Vérifiez les emplacements communs des bases de données ESENT pour l'intégrité des fichiers
$ESENTDatabases = @(
    "$env:SystemRoot\SoftwareDistribution\DataStore\DataStore.edb",
    "$env:SystemRoot\System32\CatRoot2\dberr.txt"
)
foreach ($db in $ESENTDatabases) {
    if (Test-Path $db) {
        Get-ChildItem $db | Select-Object Name, Length, LastWriteTime
    }
}

Enquêter sur les problèmes de stockage et de matériel sous-jacents qui peuvent causer des arrêts inattendus menant à des événements de récupération de base de données.

1. Vérifier l'état du disque à l'aide des outils intégrés de Windows :

# Vérifier l'état du disque pour tous les lecteurs
Get-PhysicalDisk | Get-StorageReliabilityCounter | Select-Object DeviceId, Temperature, ReadErrorsTotal, WriteErrorsTotal

# Exécuter CHKDSK sur le lecteur système (nécessite une élévation)
chkdsk C: /f /r /x

2. Examiner les journaux de l'architecture des erreurs matérielles de Windows (WHEA) :

# Vérifier les erreurs matérielles pouvant causer une instabilité du système
Get-WinEvent -FilterHashtable @{LogName='System'; ProviderName='Microsoft-Windows-WHEA-Logger'} -MaxEvents 20 | Select-Object TimeCreated, Id, LevelDisplayName, Message

3. Surveiller la température du système et les événements d'alimentation :
• Vérifier le Visualiseur d'événements pour les événements Kernel-Power (ID d'événement 41)
• Utiliser powercfg /energy pour analyser les problèmes d'efficacité énergétique
• Examiner les outils de surveillance matérielle spécifiques au fabricant
4. Vérifier les versions des pilotes de stockage et mettre à jour si nécessaire :

# Lister les pilotes de stockage et leurs versions
Get-WmiObject Win32_PnPSignedDriver | Where-Object {$_.DeviceClass -eq "SCSI" -or $_.DeviceClass -eq "HDC"} | Select-Object DeviceName, DriverVersion, DriverDate

Configurez une surveillance complète pour prévenir les arrêts inattendus futurs et minimiser les événements de récupération de base de données.

1. Créez une tâche planifiée pour surveiller la fréquence de l'ID d'événement 5828 :

# Créer un script PowerShell pour surveiller les événements 5828
$ScriptContent = @'
$Events = Get-WinEvent -FilterHashtable @{LogName="Application"; Id=5828; StartTime=(Get-Date).AddDays(-1)} -ErrorAction SilentlyContinue
if ($Events.Count -gt 5) {
    Write-EventLog -LogName Application -Source "Custom Monitor" -EventId 9999 -EntryType Warning -Message "Fréquence élevée des événements de récupération ESENT détectée : $($Events.Count) dans les dernières 24 heures"
}
'@
$ScriptContent | Out-File -FilePath "C:\Scripts\Monitor-ESENTRecovery.ps1" -Encoding UTF8

2. Configurez le rapport d'erreurs Windows pour capturer les vidages sur incident :

# Activer la collecte automatique des vidages sur incident
Set-ItemProperty -Path "HKLM\SYSTEM\CurrentControlSet\Control\CrashControl" -Name "CrashDumpEnabled" -Value 2
Set-ItemProperty -Path "HKLM\SYSTEM\CurrentControlSet\Control\CrashControl" -Name "AutoReboot" -Value 0

3. Implémentez la surveillance UPS si vous utilisez des alimentations sans interruption :
• Installez le logiciel de gestion UPS
• Configurez les procédures d'arrêt en douceur
• Configurez des alertes pour les événements d'alimentation
4. Créez un abonnement d'événements Windows personnalisé pour une surveillance centralisée :

# Enregistrez sous ESENTRecovery.xml et importez avec wecutil cs ESENTRecovery.xml
<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
  <SubscriptionId>ESENTRecoveryMonitor</SubscriptionId>
  <Query>
    <Select Path="Application">*[System[EventID=5828]]</Select>
  </Query>
  <Description>Surveiller les événements de récupération de base de données ESENT</Description>
</Subscription>