Windows Event Viewer showing system event logs on a monitoring dashboard

Event ID 6InformationKernel-GeneralWindows

ID d'événement Windows 6 – Kernel-General : Arrêt du système initié

L'ID d'événement 6 de Kernel-General indique qu'un arrêt du système a été initié. Cet événement informatif enregistre lorsque Windows commence le processus d'arrêt, fournissant des informations essentielles de traçabilité pour les administrateurs système.

Emanuel DE ALMEIDA

18 mars 20269 min de lecture 0

Event ID 6Kernel-General 5 méthodes 9 min

Référence événement

Signification de cet événement

L'ID d'événement 6 représente une notification fondamentale au niveau du système que Windows génère lorsque le noyau commence à exécuter les procédures d'arrêt. Cet événement se produit indépendamment du fait que l'arrêt ait été initié par un utilisateur, un administrateur, une application ou un processus système. La source Kernel-General indique que cet événement provient du noyau Windows lui-même, ce qui en fait l'un des indicateurs d'arrêt les plus autoritaires disponibles.

L'événement capture des métadonnées essentielles, y compris l'horodatage de l'initiation de l'arrêt, qui devient crucial pour l'analyse médico-légale et la surveillance du système. Dans les environnements d'entreprise, cet événement aide les administrateurs à suivre les métriques de disponibilité du système et à identifier les modèles de comportement d'arrêt qui pourraient indiquer des problèmes matériels, des conflits logiciels ou un accès non autorisé.

Les versions Windows 2026 ont amélioré l'ID d'événement 6 avec des capacités de corrélation améliorées, permettant aux administrateurs de mieux lier les événements d'arrêt avec les signes d'avertissement précédents ou les indicateurs de stress du système. L'événement s'intègre à Windows Event Forwarding (WEF) et peut être collecté de manière centralisée pour la surveillance des arrêts à l'échelle de l'organisation. Cela le rend inestimable pour maintenir la conformité SLA et enquêter sur les interruptions de service.

Le timing de l'ID d'événement 6 est significatif car il se produit avant la plupart des événements d'arrêt d'application et de service, fournissant un marqueur clair du moment où le processus d'arrêt a commencé. Cette relation temporelle aide les administrateurs à comprendre la séquence des événements menant à l'indisponibilité du système et peut révéler si les arrêts étaient gracieux ou forcés.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025

Analyse

Causes possibles

Arrêt initié par l'utilisateur via le menu Démarrer ou Alt+F4
Arrêt administratif via la commande shutdown.exe ou PowerShell
Arrêt automatique déclenché par les installations de Windows Update
Arrêt du système initié par des applications ou scripts tiers
Commandes d'arrêt à distance exécutées via RDP ou outils de gestion
Tâches d'arrêt planifiées configurées dans le Planificateur de tâches
Politiques d'arrêt appliquées par la stratégie de groupe
Arrêts déclenchés par une interruption de gestion du système (SMI)
Arrêts de récupération d'erreur système critique
Arrêts initiés par la gestion de l'alimentation en raison de conditions de batterie ou thermiques

Méthodes de résolution

Étapes de dépannage

Examiner le Visualiseur d'événements pour le contexte d'arrêt

Commencez par examiner les détails de l'ID d'événement 6 et les événements environnants pour comprendre le contexte de l'arrêt.

Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
Accédez à Journaux Windows → Système
Filtrez le journal en cliquant sur Filtrer le journal actuel dans le volet Actions
Entrez 6 dans le champ ID d'événements et cliquez sur OK
Double-cliquez sur l'ID d'événement 6 le plus récent pour voir les informations détaillées
Notez l'horodatage et examinez les événements survenus 5 à 10 minutes avant l'arrêt
Cherchez des événements liés comme l'ID d'événement 1074 (arrêt par l'utilisateur), 1076 (raison de l'arrêt), ou des événements d'erreur d'application

Astuce pro : Vérifiez l'onglet Général pour les codes de raison d'arrêt et l'onglet Détails pour des données XML supplémentaires qui pourraient révéler le déclencheur de l'arrêt.

Utiliser PowerShell pour analyser les modèles d'arrêt

Exploitez PowerShell pour interroger et analyser les occurrences de l'ID d'événement 6 pour les motifs et les tendances.

Ouvrez PowerShell en tant qu'administrateur

Interrogez les entrées récentes de l'ID d'événement 6 :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=6} -MaxEvents 20 | Format-Table TimeCreated, Id, LevelDisplayName, Message -AutoSize

Analysez la fréquence des arrêts au cours des 30 derniers jours :

$shutdowns = Get-WinEvent -FilterHashtable @{LogName='System'; Id=6; StartTime=(Get-Date).AddDays(-30)}
$shutdowns | Group-Object {$_.TimeCreated.Date} | Sort-Object Name | Format-Table Name, Count

Exportez les données d'arrêt pour une analyse plus approfondie :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=6} -MaxEvents 100 | Export-Csv -Path "C:\temp\shutdown_events.csv" -NoTypeInformation

Corrélez avec l'ID d'événement 1074 pour les arrêts initiés par l'utilisateur :

$timeRange = (Get-Date).AddHours(-1)
Get-WinEvent -FilterHashtable @{LogName='System'; Id=1074; StartTime=$timeRange} | Format-List TimeCreated, Message

Configurer la journalisation avancée de l'arrêt

Activez la journalisation améliorée de l'arrêt pour capturer des informations plus détaillées sur les événements d'arrêt futurs.

Ouvrez l'Éditeur du Registre en tant qu'administrateur
Accédez à HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Reliability
Créez une nouvelle valeur DWORD nommée ShutdownReasonOn et définissez-la sur 1
Accédez à HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Reliability
Créez un DWORD nommé ShutdownReasonUI et définissez-le sur 1 pour activer la boîte de dialogue de raison d'arrêt
Configurez la stratégie de groupe pour une journalisation améliorée:
- Ouvrez gpedit.msc
- Accédez à Configuration de l'ordinateur → Modèles d'administration → Système
- Activez Afficher le suivi des événements d'arrêt
Redémarrez le système pour que les modifications prennent effet

Avertissement : L'activation du suivi des événements d'arrêt demandera aux utilisateurs les raisons de l'arrêt, ce qui peut affecter l'expérience utilisateur dans les environnements de bureau.

Mettre en œuvre la surveillance centralisée de l'arrêt

Configurez le transfert d'événements Windows pour surveiller centralement l'ID d'événement 6 sur plusieurs systèmes.

Configurez le serveur collecteur :
```
winrm quickconfig
wecutil qc
```

Créez un fichier XML d'abonnement personnalisé :

<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
  <SubscriptionId>ShutdownMonitoring</SubscriptionId>
  <SubscriptionType>SourceInitiated</SubscriptionType>
  <Description>Surveiller les arrêts d'ID d'événement 6</Description>
  <Enabled>true</Enabled>
  <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>
  <Query><![CDATA[<QueryList><Query Id="0"><Select Path="System">*[System[EventID=6]]</Select></Query></QueryList>]]></Query>
</Subscription>

Importez l'abonnement :
```
wecutil cs shutdown_monitoring.xml
```
Configurez les ordinateurs sources pour transférer les événements :
```
winrm set winrm/config/client @{TrustedHosts="CollectorServerName"}
```
Vérifiez le statut de l'abonnement :
```
wecutil gs ShutdownMonitoring
```

Analyse Forensique Avancée avec WPA et ETW

Utilisez Windows Performance Analyzer et Event Tracing for Windows pour une analyse approfondie de l'arrêt.

Installez Windows Performance Toolkit à partir du Windows SDK
Créez une session ETW personnalisée pour le suivi de l'arrêt :
```
wpr -start GeneralProfile -start CPU -start DiskIO
```
Reproduisez le scénario d'arrêt ou attendez la prochaine occurrence
Arrêtez la trace après l'arrêt :
```
wpr -stop C:\temp\shutdown_trace.etl
```
Analysez la trace avec WPA :
```
wpa C:\temp\shutdown_trace.etl
```
Dans WPA, chargez le graphique d'activité système et filtrez les événements liés à l'arrêt
Examinez la chronologie menant à l'ID d'événement 6 pour identifier les processus déclencheurs
Faites une référence croisée avec l'activité des processus et des threads pour identifier l'initiateur de l'arrêt

Exportez les résultats pour la documentation :

wpa -i C:\temp\shutdown_trace.etl -o C:\temp\shutdown_analysis.txt -profile shutdown_analysis.wpaProfile

Astuce pro : Les traces ETW peuvent révéler des déclencheurs d'arrêt au niveau du noyau qui n'apparaissent pas dans les journaux d'événements standard, ce qui rend cette méthode inestimable pour enquêter sur des arrêts mystérieux.

Aperçu

L'ID d'événement 6 de la source Kernel-General se déclenche chaque fois que Windows initie une séquence d'arrêt du système. Cet événement apparaît dans le journal Système et sert de point d'audit critique pour suivre quand et pourquoi les systèmes sont arrêtés. Contrairement à l'ID d'événement 1074 qui enregistre les arrêts initiés par l'utilisateur, l'ID d'événement 6 capture l'initiation de l'arrêt au niveau du noyau, quelle que soit la source du déclencheur.

Cet événement est particulièrement précieux pour les administrateurs système surveillant la disponibilité des serveurs, enquêtant sur des arrêts inattendus et maintenant des pistes d'audit de conformité. L'événement se déclenche tôt dans le processus d'arrêt, avant que la plupart des services ne soient terminés, ce qui en fait l'un des indicateurs les plus fiables d'une activité d'arrêt intentionnelle.

Dans les environnements Windows Server, cet événement aide à distinguer entre les arrêts de maintenance planifiés et les terminaisons système inattendues. L'événement fournit des informations de timestamp cruciales pour corréler les événements d'arrêt avec les fenêtres de maintenance, l'activité des utilisateurs ou les défaillances système. Les versions modernes de Windows en 2026 ont amélioré cet événement avec des données contextuelles supplémentaires pour de meilleures capacités de dépannage.

Questions Fréquentes

Quelle est la différence entre l'ID d'événement 6 et l'ID d'événement 1074 ?+

L'ID d'événement 6 de Kernel-General se logue lorsque le noyau Windows initie le processus d'arrêt, tandis que l'ID d'événement 1074 de User32 enregistre spécifiquement les arrêts initiés par l'utilisateur avec des codes de raison. L'ID d'événement 6 se produit pour tous les arrêts, quel que soit le déclencheur, ce qui le rend plus complet mais moins spécifique quant à la cause de l'arrêt. L'ID d'événement 1074 fournit des informations détaillées sur qui a initié l'arrêt et pourquoi, mais ne se déclenche que pour les arrêts initiés par l'utilisateur. Les deux événements sont précieux pour différents aspects de la surveillance des arrêts et devraient être analysés ensemble pour une visibilité complète.

Pourquoi vois-je l'ID d'événement 6 sans un ID d'événement 1074 correspondant ?+

L'ID d'événement 6 apparaît sans l'ID d'événement 1074 lorsque l'arrêt est initié par des processus système, des applications ou des mécanismes automatisés plutôt que par une action directe de l'utilisateur. Cela inclut les redémarrages automatiques de Windows Update, les arrêts planifiés, les arrêts imposés par la stratégie de groupe, les erreurs système critiques ou les applications tierces déclenchant des arrêts. Les arrêts de gestion de l'alimentation dus à une batterie faible ou à une protection thermique génèrent également l'ID d'événement 6 sans 1074. Pour identifier le déclencheur réel, examinez les événements survenant avant l'ID d'événement 6, vérifiez le Planificateur de tâches pour les tâches automatisées et consultez les journaux d'applications pour les demandes d'arrêt.

Comment puis-je prévenir les arrêts non autorisés basés sur l'analyse de l'ID d'événement 6 ?+

Pour prévenir les arrêts non autorisés, analysez d'abord les modèles d'ID d'événement 6 pour identifier les horaires ou fréquences suspects. Activez le Suivi des événements d'arrêt via la stratégie de groupe pour exiger des raisons d'arrêt, rendant les arrêts non autorisés plus difficiles et traçables. Configurez l'attribution des droits utilisateur pour restreindre le privilège 'Arrêter le système' aux utilisateurs autorisés uniquement. Mettez en œuvre une surveillance par script PowerShell qui alerte sur les occurrences de l'ID d'événement 6 en dehors des fenêtres de maintenance. Utilisez le transfert d'événements Windows pour surveiller centralement les événements d'arrêt dans votre environnement. Envisagez de mettre en œuvre un accès administrateur juste-à-temps pour réduire le nombre d'utilisateurs avec des privilèges d'arrêt, et auditez régulièrement les événements d'arrêt pour détecter des modèles indiquant des problèmes de sécurité potentiels.

L'ID d'événement 6 peut-il aider à résoudre les arrêts système inattendus ?+

Oui, l'ID d'événement 6 est crucial pour le dépannage des arrêts inattendus car il fournit l'horodatage exact du début du processus d'arrêt. Comparez cet horodatage avec les journaux d'application, les compteurs de performance système et les données de surveillance matérielle pour identifier ce qui a déclenché l'arrêt. Recherchez les événements immédiatement précédant l'ID d'événement 6, tels que des erreurs critiques, des plantages d'application ou des défaillances matérielles. L'absence de l'ID d'événement 6 dans les cas où le système s'est arrêté indique un arrêt non gracieux comme une panne de courant ou un écran bleu. Utilisez PowerShell pour corréler l'ID d'événement 6 avec d'autres événements système et créer une analyse chronologique pour identifier les schémas dans les arrêts inattendus.

Comment configurer des alertes pour l'ID d'événement 6 dans Windows Server 2025 ?+

Configurez les alertes d'ID d'événement 6 en utilisant la fonctionnalité Attacher une tâche de l'Observateur d'événements Windows ou la surveillance basée sur PowerShell. Dans l'Observateur d'événements, cliquez avec le bouton droit sur l'ID d'événement 6 et sélectionnez 'Attacher une tâche à cet événement' pour créer une alerte basique. Pour une surveillance avancée, utilisez PowerShell avec Register-WmiEvent pour créer des alertes en temps réel : Register-WmiEvent -Query "SELECT * FROM Win32_NTLogEvent WHERE LogFile='System' AND EventCode=6" -Action { Send-MailMessage -To 'admin@company.com' -Subject 'Alerte d'arrêt du serveur' -Body 'ID d'événement 6 détecté' }. Alternativement, utilisez System Center Operations Manager ou des outils de surveillance tiers pour créer des règles d'alerte sophistiquées. Configurez le transfert d'événements Windows pour centraliser la surveillance de l'ID d'événement 6 et configurez des alertes sur le serveur collecteur pour une surveillance des arrêts à l'échelle de l'organisation.

Documentation

Références (2)

Microsoft Learn - Windows Event LogsOfficial documentation covering Windows event logging architecture and event sources including Kernel-General events.https://learn.microsoft.com/en-us/windows/win32/eventlog/event-logging

Windows Server Event ReferenceMicrosoft documentation for Windows Server administration including shutdown command reference and event logging.https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/shutdown

Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Événements Windows associés

Windows Event Viewer showing system time change events on a monitoring dashboard

Event 11708

Microsoft-Windows-Kernel-General

Windows EventInformation

ID d'événement Windows 11708 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 11708 indique que l'heure du système a été modifiée, soit manuellement par un utilisateur, soit automatiquement par des services de synchronisation de l'heure. Critique pour l'audit de sécurité et le dépannage des problèmes liés au temps.

18 mars9 min

Windows Performance Monitor dashboard showing system performance counters and real-time metrics in a data center environment

Event 6144

Kernel-General

Windows EventInformation

ID d'événement Windows 6144 – Kernel-General : Collecte du compteur de performance système démarrée

L'ID d'événement 6144 indique que Windows a commencé à collecter les compteurs de performance système. Cet événement informatif se déclenche lors du démarrage du système ou lorsque les services de surveillance des performances s'initialisent.

18 mars9 min

Windows Event Viewer displaying system time change events on a professional monitoring dashboard

Event 5889

Microsoft-Windows-Kernel-General

Windows EventInformation

ID d'événement Windows 5889 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 5889 indique que l'heure du système a été modifiée, soit manuellement par un utilisateur, soit automatiquement par des services de synchronisation de l'heure. Cet événement aide à suivre les modifications de l'heure à des fins de sécurité et d'audit.

18 mars12 min

Event 5121

Microsoft-Windows-Kernel-General

Windows EventInformation

ID d'événement Windows 5121 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 5121 se déclenche lorsque Windows détecte un changement de l'heure système, soit par un ajustement manuel, soit par une synchronisation automatique. Critique pour l'audit de sécurité et le dépannage des problèmes liés au temps.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter

Chargement des commentaires...