Windows Event Viewer showing system event logs on a monitoring dashboard

Event ID 6009InformationEventLogWindows

ID d'événement Windows 6009 – EventLog : Informations de démarrage du noyau Microsoft Windows

L'ID d'événement 6009 enregistre les informations de démarrage du noyau Windows, y compris les détails du processeur, la configuration de la mémoire et l'architecture du système lors du démarrage du système.

Emanuel DE ALMEIDA

18 mars 20268 min de lecture 0

Event ID 6009EventLog 5 méthodes 8 min

Référence événement

Signification de cet événement

L'ID d'événement Windows 6009 représente l'un des événements d'information système les plus fondamentaux dans l'infrastructure du journal des événements Windows. Généré par le service EventLog lors des premières étapes de l'initialisation du système, cet événement sert de capture d'écran complète de la configuration matérielle et système qui se produit à chaque séquence de démarrage réussie de Windows.

L'événement capture des paramètres système critiques, y compris le nombre total de processeurs logiques, la mémoire physique totale en octets, la désignation de l'architecture système et les informations sur la version du noyau Windows. Ces données sont extraites directement du noyau Windows pendant le processus de démarrage, garantissant précision et cohérence sur différentes plateformes matérielles et versions de Windows.

D'un point de vue technique, l'ID d'événement 6009 est déclenché après que le noyau a réussi à initialiser les composants système principaux mais avant que les services en mode utilisateur ne commencent à se charger. Ce timing en fait un excellent indicateur de la détection matérielle réussie et de l'initialisation du noyau. La structure des données de l'événement suit un format standardisé qui est resté cohérent à travers les versions de Windows, le rendant fiable pour la surveillance à long terme du système et l'analyse historique.

Les administrateurs système utilisent fréquemment cet événement pour la collecte automatisée d'inventaire matériel, la surveillance des séquences de démarrage et la détection des changements dans la configuration du système. L'apparition constante de l'événement et le format structuré des données le rendent idéal pour les scripts de surveillance basés sur PowerShell et l'intégration SIEM. De plus, l'horodatage associé à cet événement fournit un enregistrement précis du moment où chaque démarrage du système a terminé la phase d'initialisation du noyau.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025

Analyse

Causes possibles

Démarrage normal du système Windows et processus d'initialisation du noyau
Redémarrage du système initié par l'utilisateur, une application ou une tâche planifiée
Récupération après un crash système ou un arrêt inattendu
Changements matériels déclenchant un redémarrage du système
Installations de Windows Update nécessitant un redémarrage du système
Événements de cycle d'alimentation suite à des pannes de courant ou à une maintenance
Démarrage de machine virtuelle dans des environnements virtualisés

Méthodes de résolution

Étapes de dépannage

Afficher les informations de démarrage dans l'Observateur d'événements

Accédez au Visualisateur d'événements pour examiner les informations de démarrage et les détails de configuration système capturés par l'ID d'événement 6009.

Appuyez sur Windows + R, tapez eventvwr.msc, et appuyez sur Entrée
Accédez à Journaux Windows → Système
Dans le volet Actions, cliquez sur Filtrer le journal actuel
Entrez 6009 dans le champ ID d'événements et cliquez sur OK
Double-cliquez sur n'importe quelle entrée d'ID d'événement 6009 pour voir des informations système détaillées
Consultez l'onglet Général pour le nombre de processeurs, la taille de la mémoire et les détails de l'architecture
Vérifiez l'onglet Détails pour les données XML brutes contenant des paramètres système supplémentaires

Astuce pro : La description de l'événement contient des informations matérielles lisibles par l'homme, tandis que les données XML fournissent des valeurs structurées parfaites pour l'analyse automatisée.

Interroger les événements de démarrage avec PowerShell

Utilisez PowerShell pour récupérer et analyser les entrées d'ID d'événement 6009 à des fins de surveillance et d'inventaire du système.

Ouvrez PowerShell en tant qu'administrateur

Exécutez la commande suivante pour obtenir les événements de démarrage récents :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=6009} -MaxEvents 10 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap

Pour l'extraction d'informations matérielles détaillées :

$bootEvents = Get-WinEvent -FilterHashtable @{LogName='System'; Id=6009} -MaxEvents 5
foreach ($event in $bootEvents) {
    Write-Host "Heure de démarrage : $($event.TimeCreated)"
    Write-Host "Message : $($event.Message)"
    Write-Host "---"
}

Pour exporter les informations de démarrage vers un fichier CSV pour le suivi de l'inventaire :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=6009} -MaxEvents 50 | Select-Object TimeCreated, Message | Export-Csv -Path "C:\temp\boot_inventory.csv" -NoTypeInformation

Astuce pro : Combinez cela avec Get-ComputerInfo pour des scripts de documentation système complets.

Surveiller les modèles de démarrage et les changements du système

Implémentez une surveillance pour suivre la fréquence de démarrage, détecter les changements matériels et identifier les problèmes de stabilité du système.

Créez un script PowerShell pour analyser les modèles de démarrage :

$bootEvents = Get-WinEvent -FilterHashtable @{LogName='System'; Id=6009} -MaxEvents 100
$bootTimes = $bootEvents | Select-Object TimeCreated
$bootCount = $bootTimes.Count
$daysSinceFirst = (Get-Date) - $bootTimes[-1].TimeCreated
$avgBootsPerDay = [math]::Round($bootCount / $daysSinceFirst.TotalDays, 2)
Write-Host "Total des démarrages pendant la période : $bootCount"
Write-Host "Moyenne des démarrages par jour : $avgBootsPerDay"

Vérifiez les changements de configuration matérielle en comparant les événements récents :

$recentBoots = Get-WinEvent -FilterHashtable @{LogName='System'; Id=6009} -MaxEvents 5
$uniqueConfigs = $recentBoots | Group-Object Message
if ($uniqueConfigs.Count -gt 1) {
    Write-Warning "Changements de configuration matérielle détectés !"
    $uniqueConfigs | ForEach-Object { Write-Host $_.Name }
}

Configurez une tâche planifiée pour enregistrer les informations de démarrage à un emplacement central pour la surveillance d'entreprise

Extraire des données matérielles structurées

Analyser les données XML de l'ID d'événement 6009 pour extraire des paramètres matériels spécifiques pour l'inventaire automatisé et le rapport de conformité.

Utiliser PowerShell pour extraire des données structurées de l'XML de l'événement :

$bootEvent = Get-WinEvent -FilterHashtable @{LogName='System'; Id=6009} -MaxEvents 1
$xml = [xml]$bootEvent.ToXml()
$eventData = $xml.Event.EventData.Data
foreach ($data in $eventData) {
    Write-Host "$($data.Name): $($data.'#text')"
}

Créer une fonction d'inventaire matériel complète :

function Get-BootHardwareInfo {
    $bootEvent = Get-WinEvent -FilterHashtable @{LogName='System'; Id=6009} -MaxEvents 1
    $message = $bootEvent.Message
    
    # Analyser les informations sur le processeur et la mémoire à partir du message
    if ($message -match 'processor\(s\), (\d+) MB') {
        $memory = $matches[1]
        Write-Host "Total Memory: $memory MB"
    }
    
    return @{
        BootTime = $bootEvent.TimeCreated
        ComputerName = $env:COMPUTERNAME
        Message = $message
    }
}

S'intégrer aux systèmes de surveillance d'entreprise en exportant aux formats JSON ou XML pour la consommation SIEM

Analyse avancée du démarrage et corrélation

Effectuez une analyse avancée en corrélant l'ID d'événement 6009 avec d'autres événements liés au démarrage pour une surveillance complète de la santé du système.

Créez un script d'analyse de démarrage complet :

$startDate = (Get-Date).AddDays(-30)
$bootEvents = Get-WinEvent -FilterHashtable @{LogName='System'; Id=6009; StartTime=$startDate}
$shutdownEvents = Get-WinEvent -FilterHashtable @{LogName='System'; Id=1074; StartTime=$startDate} -ErrorAction SilentlyContinue

Write-Host "Analyse de démarrage pour les 30 derniers jours :"
Write-Host "Total des démarrages : $($bootEvents.Count)"
Write-Host "Arrêts planifiés : $($shutdownEvents.Count)"

# Calculer le temps moyen de démarrage en regardant le temps entre l'arrêt et le prochain démarrage
for ($i = 0; $i -lt $shutdownEvents.Count; $i++) {
    $shutdown = $shutdownEvents[$i]
    $nextBoot = $bootEvents | Where-Object { $_.TimeCreated -gt $shutdown.TimeCreated } | Select-Object -First 1
    if ($nextBoot) {
        $downtime = $nextBoot.TimeCreated - $shutdown.TimeCreated
        Write-Host "Temps d'arrêt : $($downtime.TotalMinutes) minutes"
    }
}

Configurez des alertes automatisées pour les modèles de démarrage inhabituels :

$recentBoots = Get-WinEvent -FilterHashtable @{LogName='System'; Id=6009} -MaxEvents 10
$bootTimes = $recentBoots | ForEach-Object { $_.TimeCreated }
$intervals = @()
for ($i = 0; $i -lt $bootTimes.Count - 1; $i++) {
    $interval = ($bootTimes[$i] - $bootTimes[$i+1]).TotalHours
    $intervals += $interval
}
$avgInterval = ($intervals | Measure-Object -Average).Average
if ($avgInterval -lt 1) {
    Write-Warning "Redémarrages fréquents détectés - possible instabilité du système"
}

Configurez le transfert d'événements Windows pour centraliser la collecte de l'ID d'événement 6009 sur plusieurs systèmes pour une surveillance des démarrages à l'échelle de l'entreprise

Avertissement : Des entrées fréquentes de l'ID d'événement 6009 peuvent indiquer une instabilité du système, des problèmes matériels ou des redémarrages non autorisés nécessitant une enquête.

Aperçu

L'ID d'événement 6009 est un événement d'information système critique qui se déclenche lors du démarrage de Windows, immédiatement après l'initialisation du noyau. Cet événement capture des détails essentiels sur le matériel et la configuration du système, y compris le nombre de processeurs, la taille de la mémoire, l'architecture du système et les informations sur la version du noyau. Le service EventLog génère cet événement dans le cadre du processus standard de journalisation du démarrage, fournissant aux administrateurs un horodatage fiable et un instantané matériel pour chaque démarrage du système.

Cet événement apparaît dans le journal Système chaque fois que Windows démarre avec succès et sert de référence précieuse pour la surveillance du système, le suivi de l'inventaire matériel et l'analyse de la séquence de démarrage. Contrairement à de nombreux autres événements de démarrage, 6009 fournit systématiquement des informations matérielles structurées qui restent stables à moins que des modifications matérielles physiques ne se produisent. Les administrateurs système s'appuient sur cet événement pour des scripts d'inventaire automatisés, l'analyse du temps de démarrage et la détection de modifications matérielles non autorisées.

Les données de l'événement incluent des détails sur le processeur, la mémoire physique totale, l'architecture du système (x86/x64) et les informations sur la version de Windows. Cela le rend particulièrement utile pour les rapports de conformité, la gestion des actifs et le dépannage des problèmes liés au matériel qui peuvent affecter les performances ou la stabilité du système.

Questions Fréquentes

Que signifie l'ID d'événement 6009 et quand apparaît-il ?+

L'ID d'événement 6009 est un événement informatif généré par le service EventLog lors du démarrage de Windows. Il apparaît chaque fois que Windows démarre avec succès et termine l'initialisation du noyau. L'événement capture des informations système essentielles, y compris le nombre de processeurs, la mémoire physique totale, l'architecture du système et la version de Windows. Cet événement sert d'indicateur fiable que le système a terminé le processus de démarrage initial et fournit un instantané de la configuration matérielle pour chaque démarrage.

Comment puis-je utiliser l'ID d'événement 6009 pour la surveillance et l'inventaire du système ?+

L'ID d'événement 6009 est excellent pour la surveillance automatisée des systèmes et l'inventaire matériel. Vous pouvez utiliser PowerShell pour extraire des informations matérielles du message d'événement, suivre les modèles de fréquence de démarrage et détecter les changements de configuration matérielle. Le format cohérent de l'événement le rend idéal pour créer des scripts d'inventaire qui collectent le nombre de processeurs, la taille de la mémoire et les informations d'architecture sur plusieurs systèmes. De nombreux administrateurs utilisent cet événement dans des tâches planifiées pour maintenir des bases de données matérielles précises et surveiller la stabilité du système grâce à l'analyse des modèles de démarrage.

Pourquoi vois-je plusieurs entrées d'ID d'événement 6009 en peu de temps ?+

Plusieurs entrées d'ID d'événement 6009 dans un court laps de temps indiquent généralement des redémarrages fréquents du système, ce qui pourrait suggérer plusieurs problèmes : instabilité du système, problèmes matériels, politiques de redémarrage automatique après des plantages, installations de Windows Update ou tâches de maintenance planifiées. Pour enquêter, vérifiez les intervalles de temps entre les événements et corrélez avec l'ID d'événement 1074 (événements d'arrêt) et l'ID d'événement 6008 (événements d'arrêt inattendus). Des redémarrages fréquents peuvent indiquer des problèmes matériels sous-jacents, des problèmes de pilotes ou des problèmes de configuration du système qui nécessitent une attention.

L'ID d'événement 6009 peut-il aider à détecter des changements matériels ou des modifications non autorisées ?+

Oui, l'ID d'événement 6009 est précieux pour détecter les changements matériels car il enregistre le nombre de processeurs, la taille de la mémoire et l'architecture du système à chaque démarrage. En comparant le contenu des messages à travers plusieurs événements de démarrage, vous pouvez identifier quand les configurations matérielles changent. Cela est particulièrement utile dans les environnements d'entreprise pour détecter les modifications matérielles non autorisées, les mises à niveau de mémoire ou les changements de processeur. Des scripts automatisés peuvent analyser les données des événements et alerter les administrateurs lorsque les spécifications matérielles diffèrent des bases établies.

Comment extraire des informations matérielles spécifiques de l'ID d'événement 6009 pour le rapport?+

Pour extraire des informations matérielles spécifiques à partir de l'ID d'événement 6009, utilisez PowerShell pour analyser le message de l'événement ou les données XML. Le message de l'événement contient des informations lisibles par l'homme sur le processeur et la mémoire qui peuvent être extraites à l'aide d'expressions régulières. Pour des données structurées, accédez au format XML de l'événement en utilisant la méthode ToXml() et analysez les éléments EventData. Vous pouvez créer des rapports automatisés en combinant ces données avec les résultats de la cmdlet Get-ComputerInfo et en exportant aux formats CSV, JSON ou XML pour une intégration avec des systèmes de gestion des actifs ou des outils de rapport de conformité.

Documentation

Références (2)

Windows Event Log ReferenceOfficial Microsoft documentation covering Windows Event Log architecture and event reference information.https://docs.microsoft.com/en-us/windows/win32/eventlog/event-logging-reference

Get-WinEvent PowerShell DocumentationComplete PowerShell reference for the Get-WinEvent cmdlet used to query Windows Event Logs.https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.diagnostics/get-winevent

Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Événements Windows associés

Event 6013

EventLog

Windows EventInformation

ID d'événement Windows 6013 – EventLog : Informations sur le temps de fonctionnement du système

L'ID d'événement 6013 enregistre les informations de disponibilité du système dans le journal Système, indiquant depuis combien de temps Windows fonctionne depuis le dernier démarrage ou redémarrage.

18 mars8 min

Event 1085

EventLog

Windows EventInformation

ID d'événement Windows 1085 – EventLog : Sauvegarde automatique du service de journal des événements

L'ID d'événement 1085 indique que le service de journal des événements Windows a automatiquement sauvegardé un fichier journal lorsqu'il a atteint la taille maximale ou les limites de rétention.

18 mars9 min

Windows Event Viewer displaying Event ID 1104 system shutdown events on a monitoring dashboard

Event 1104

Microsoft-Windows-Eventlog

Windows EventInformation

ID d'événement Windows 1104 – Microsoft-Windows-Eventlog : Arrêt du service de journalisation des événements

L'ID d'événement 1104 indique que le service de journal des événements Windows est en cours d'arrêt, généralement lors de l'arrêt du système, du redémarrage ou des opérations de maintenance du service.

18 mars7 min

Event 1100

EventLog

Windows EventInformation

ID d'événement Windows 1100 – EventLog : Arrêt du service de journalisation des événements

L'ID d'événement 1100 indique que le service Windows Event Log s'est arrêté, généralement lors de l'arrêt du système ou du redémarrage du service. Cet événement informatif aide à suivre le cycle de vie du service et les changements d'état du système.

18 mars8 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter

Chargement des commentaires...