ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows system monitoring dashboard showing Event Viewer and PowerShell ETW session management
Event ID 8224ErrorKernel-EventTracingWindows

ID d'événement Windows 8224 – Kernel-EventTracing : Échec de démarrage de la session ETW

L'ID d'événement 8224 indique qu'une session de traçage d'événements pour Windows (ETW) n'a pas pu démarrer, généralement en raison de ressources système insuffisantes, de problèmes de permissions ou de sessions de traçage conflictuelles.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 20269 min de lecture 0
Event ID 8224Kernel-EventTracing 5 méthodes 9 min
Référence événement

Signification de cet événement

Le traçage d'événements pour Windows (ETW) est une installation de traçage au niveau du noyau qui fournit un mécanisme pour activer le traçage des événements définis par le noyau ou l'application. Lorsque l'ID d'événement 8224 se produit, cela indique que le sous-système ETW n'a pas pu allouer les ressources nécessaires ou établir la session de traçage demandée.

L'événement contient plusieurs champs de données clés : le nom de la session qui n'a pas pu démarrer, la taille de tampon demandée en kilooctets, le nombre de tampons demandés, et un code d'erreur Win32 indiquant la raison spécifique de l'échec. Les codes d'erreur courants incluent ERROR_NOT_ENOUGH_MEMORY (8), ERROR_ALREADY_EXISTS (183), ou ERROR_ACCESS_DENIED (5).

Cet échec peut affecter la surveillance du système, le diagnostic des applications et les capacités d'audit de sécurité. De nombreuses fonctionnalités de Windows dépendent de l'ETW, y compris le Windows Performance Toolkit (WPT), Process Monitor, et diverses solutions de surveillance de la sécurité. Lorsque les sessions ETW échouent à démarrer, ces outils peuvent ne pas fonctionner correctement, laissant potentiellement des angles morts dans les capacités de surveillance et de dépannage du système.

L'événement est particulièrement courant dans les environnements virtualisés où la mémoire est limitée, ou dans les systèmes exécutant plusieurs agents de surveillance simultanément. Comprendre et résoudre l'ID d'événement 8224 est essentiel pour maintenir une observabilité complète du système et garantir que les outils de diagnostic fonctionnent comme prévu.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Mémoire système insuffisante pour allouer des tampons de trace ETW
  • Nombre maximum de sessions ETW simultanées dépassé (limite par défaut de 64)
  • Problèmes de permission empêchant la création de sessions ETW
  • Noms de sessions ETW ou fournisseurs en conflit
  • Corruption du registre affectant la configuration ETW
  • Logiciel antivirus ou de sécurité bloquant les opérations ETW
  • Épuisement des ressources système pendant les périodes de forte charge
  • Configuration incorrecte du fournisseur ETW ou fournisseurs manquants
  • Dépendances de services Windows non correctement démarrées
  • Problèmes matériels affectant l'allocation de mémoire
Méthodes de résolution

Étapes de dépannage

01

Vérifier l'état et les limites de la session ETW

Commencez par examiner les sessions ETW actuelles et les limites du système pour identifier les contraintes de ressources.

  1. Ouvrez Invite de commandes en tant qu'administrateur
  2. Listez les sessions ETW actives :
    logman query -ets
  3. Vérifiez les limites des sessions ETW dans le registre :
    Get-ItemProperty -Path "HKLM\SYSTEM\CurrentControlSet\Control\WMI" -Name "EtwMaxLoggers"
  4. Affichez des informations détaillées sur la session :
    wevtutil gl Microsoft-Windows-Kernel-EventTracing/Analytic
  5. Si vous approchez des limites, arrêtez les sessions inutiles :
    logman stop "SessionName" -ets
Astuce pro : La limite par défaut des sessions ETW est de 64. Si vous atteignez constamment cette limite, envisagez de l'augmenter via une modification du registre.
02

Analyser les détails de l'événement et les codes d'erreur

Examinez les détails spécifiques de l'ID d'événement 8224 pour comprendre la cause racine.

  1. Ouvrez Observateur d'événementsJournaux WindowsSystème
  2. Filtrez pour l'ID d'événement 8224:
    Get-WinEvent -FilterHashtable @{LogName='System'; Id=8224} -MaxEvents 10 | Format-List *
  3. Extrayez les codes d'erreur et les détails de session:
    Get-WinEvent -FilterHashtable @{LogName='System'; Id=8224} | ForEach-Object { $_.Message }
  4. Recoupez les codes d'erreur avec les définitions d'erreurs Win32:
    net helpmsg [ErrorCode]
  5. Vérifiez les motifs dans le timing et la fréquence:
    Get-WinEvent -FilterHashtable @{LogName='System'; Id=8224; StartTime=(Get-Date).AddDays(-7)} | Group-Object TimeCreated.Hour
Avertissement : Le code d'erreur 8 (mémoire insuffisante) indique souvent des problèmes de ressources à l'échelle du système qui peuvent nécessiter une attention immédiate.
03

Augmenter les ressources et les limites ETW

Modifiez la configuration du système pour fournir plus de ressources aux opérations ETW.

  1. Sauvegardez la configuration actuelle d'ETW :
    reg export "HKLM\SYSTEM\CurrentControlSet\Control\WMI" C:\ETW_backup.reg
  2. Augmentez le nombre maximum de traceurs ETW (nécessite un redémarrage) :
    Set-ItemProperty -Path "HKLM\SYSTEM\CurrentControlSet\Control\WMI" -Name "EtwMaxLoggers" -Value 128 -Type DWord
  3. Augmentez les limites de mémoire tampon ETW :
    Set-ItemProperty -Path "HKLM\SYSTEM\CurrentControlSet\Control\WMI" -Name "EtwMaxKernelBuffer" -Value 2048 -Type DWord
  4. Configurez le nettoyage automatique d'ETW :
    Set-ItemProperty -Path "HKLM\SYSTEM\CurrentControlSet\Control\WMI\Autologger" -Name "BufferSize" -Value 1024 -Type DWord
  5. Redémarrez le système pour appliquer les modifications
  6. Vérifiez les nouvelles limites :
    Get-ItemProperty -Path "HKLM\SYSTEM\CurrentControlSet\Control\WMI" | Select-Object Etw*
Astuce pro : Surveillez les performances du système après avoir augmenté les limites ETW, car des limites plus élevées consomment plus de mémoire du noyau.
04

Enquêter sur les problèmes de mémoire et de ressources

Effectuer une analyse complète des ressources système pour identifier les contraintes sous-jacentes.

  1. Vérifier la mémoire système disponible :
    Get-CimInstance -ClassName Win32_OperatingSystem | Select-Object TotalVisibleMemorySize, FreePhysicalMemory
  2. Analyser l'utilisation de la mémoire par processus :
    Get-Process | Sort-Object WorkingSet -Descending | Select-Object -First 10 Name, WorkingSet, PagedMemorySize
  3. Vérifier les pools de mémoire du noyau :
    Get-Counter "\Memory\Pool Nonpaged Bytes", "\Memory\Pool Paged Bytes"
  4. Surveiller les compteurs de performance liés à ETW :
    Get-Counter "\ETW Sessions(*)\*" -ErrorAction SilentlyContinue
  5. Vérifier les fuites de mémoire chez les consommateurs ETW :
    Get-WmiObject -Class Win32_Process | Where-Object {$_.Name -like "*log*" -or $_.Name -like "*trace*"} | Select-Object Name, WorkingSetSize
  6. Examiner les journaux d'événements système pour les erreurs liées à la mémoire :
    Get-WinEvent -FilterHashtable @{LogName='System'; Level=2,3} -MaxEvents 50 | Where-Object {$_.Message -like "*memory*"}
Avertissement : Des problèmes de mémoire persistants peuvent indiquer des problèmes matériels ou la nécessité d'une RAM supplémentaire.
05

Gestion avancée des fournisseurs ETW et des sessions

Mettre en œuvre des procédures complètes de gestion et de dépannage ETW.

  1. Énumérer tous les fournisseurs ETW :
    logman query providers | Out-File C:\ETW_providers.txt
  2. Vérifier l'état d'enregistrement du fournisseur :
    Get-WinEvent -ListProvider * | Where-Object {$_.Name -like "*kernel*"} | Select-Object Name, Id
  3. Créer une session de diagnostic ETW avec des ressources minimales :
    logman create trace "DiagnosticTrace" -p "Microsoft-Windows-Kernel-EventTracing" -o C:\DiagTrace.etl -bs 64 -nb 2 2
  4. Surveiller la santé de la session ETW :
    $sessions = logman query -ets
foreach($session in $sessions) { Write-Host "Session: $session" }
  5. Mettre en œuvre un script de nettoyage ETW automatisé :
    $oldSessions = logman query -ets | Where-Object {$_ -like "*temp*" -or $_ -like "*debug*"}
foreach($session in $oldSessions) { logman stop $session -ets }
  6. Configurer la surveillance de la session ETW via une tâche planifiée :
    Register-ScheduledTask -TaskName "ETW-Monitor" -Trigger (New-ScheduledTaskTrigger -Daily -At "02:00") -Action (New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\ETW-Cleanup.ps1")
Astuce pro : Mettre en œuvre des quotas de session ETW par application pour éviter la monopolisation des ressources par des processus uniques.

Aperçu

L'ID d'événement 8224 se déclenche lorsque le sous-système Windows Event Tracing for Windows (ETW) rencontre un échec lors de la tentative de démarrage d'une session de traçage. ETW est une installation de traçage haute performance et à faible surcharge intégrée à Windows qui permet aux applications et aux composants système de consigner des événements pour le débogage, la surveillance des performances et l'analyse du système.

Cet événement apparaît généralement dans le journal Système lorsque des outils de diagnostic, des applications de surveillance ou des composants internes de Windows tentent de créer des sessions ETW mais rencontrent des contraintes de ressources, des problèmes de permission ou des problèmes de configuration. L'événement devient particulièrement pertinent dans les environnements d'entreprise où plusieurs outils de surveillance se disputent les ressources ETW, ou lorsque les administrateurs système déploient des solutions de journalisation personnalisées.

Les sessions ETW ont des limites strictes - Windows prend en charge un maximum de 64 sessions ETW simultanées par défaut, bien que cela puisse être augmenté par des modifications du registre. Lorsque ces limites sont dépassées, ou lorsque la mémoire disponible pour les tampons de traçage est insuffisante, l'ID d'événement 8224 sera consigné. L'événement fournit des informations de diagnostic cruciales, y compris le nom de la session, la taille de tampon demandée et le code d'erreur spécifique qui a causé l'échec.

Questions Fréquentes

Que signifie l'ID d'événement 8224 et pourquoi se produit-il ?+
L'ID d'événement 8224 indique qu'une session de traçage d'événements pour Windows (ETW) n'a pas pu démarrer. Cela se produit lorsque le système ne peut pas allouer suffisamment de ressources pour la session de traçage, généralement en raison de contraintes de mémoire, du dépassement du nombre maximum de sessions ETW simultanées (par défaut 64), ou de problèmes de permissions. L'événement fournit des informations de diagnostic incluant le nom de la session, les exigences de tampon, et des codes d'erreur spécifiques pour aider à identifier la cause principale.
Comment puis-je vérifier combien de sessions ETW sont actuellement en cours d'exécution sur mon système ?+
Utilisez la commande 'logman query -ets' dans une invite de commande avec élévation de privilèges pour lister toutes les sessions ETW actives. Vous pouvez également utiliser PowerShell : 'Get-WinEvent -ListProvider * | Measure-Object' pour compter les fournisseurs, ou vérifier le registre à HKLM\SYSTEM\CurrentControlSet\Control\WMI pour les limites de configuration ETW. Le maximum par défaut est de 64 sessions simultanées, mais cela peut être augmenté par des modifications du registre.
L'ID d'événement 8224 peut-il affecter les performances ou la stabilité du système ?+
Bien que l'ID d'événement 8224 n'affecte pas directement la stabilité du système, il indique que les outils de surveillance et de diagnostic peuvent ne pas fonctionner correctement. Cela peut créer des angles morts dans la surveillance du système, l'audit de sécurité et les capacités de dépannage. Si la cause sous-jacente est l'épuisement de la mémoire ou des contraintes de ressources, cela peut être symptomatique de problèmes de performance du système plus larges qui pourraient affecter la stabilité globale.
Comment puis-je augmenter la limite de session ETW pour éviter l'ID d'événement 8224 ?+
Pour augmenter la limite de session ETW, modifiez la valeur du registre à HKLM\SYSTEM\CurrentControlSet\Control\WMI\EtwMaxLoggers. Utilisez PowerShell : 'Set-ItemProperty -Path "HKLM\SYSTEM\CurrentControlSet\Control\WMI" -Name "EtwMaxLoggers" -Value 128 -Type DWord'. Un redémarrage du système est nécessaire pour que les modifications prennent effet. Surveillez les performances du système après avoir augmenté les limites, car des valeurs plus élevées consomment plus de mémoire du noyau.
Quels sont les codes d'erreur les plus courants associés à l'ID d'événement 8224 ?+
Les codes d'erreur courants incluent : ERROR_NOT_ENOUGH_MEMORY (8) indiquant une mémoire système insuffisante pour les tampons de trace ; ERROR_ALREADY_EXISTS (183) lors de la tentative de création d'une session avec un nom en double ; ERROR_ACCESS_DENIED (5) pour des problèmes de permission ; et ERROR_INVALID_PARAMETER (87) pour des problèmes de configuration. Utilisez 'net helpmsg [ErrorCode]' pour obtenir des descriptions détaillées des codes d'erreur spécifiques trouvés dans les détails de l'événement.
Documentation

Références (2)

1
Event Tracing for Windows (ETW) OverviewComprehensive Microsoft documentation covering ETW architecture, session management, and troubleshootinghttps://docs.microsoft.com/en-us/windows/win32/etw/event-tracing-portal
2
Windows Performance Toolkit DocumentationOfficial guide for Windows Performance Toolkit including ETW session configuration and analysishttps://docs.microsoft.com/en-us/windows-hardware/test/wpt/
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#system-monitoring#etw-tracing#event-id-8224

Événements Windows associés

Windows system administrator analyzing ETW session data and event traces on monitoring dashboards
Event 24577
Kernel-EventTracing
Windows EventError

ID d'événement Windows 24577 – Kernel-EventTracing : Erreur de configuration de session ETW

L'ID d'événement 24577 indique une erreur de configuration de session Event Tracing for Windows (ETW), se produisant généralement lorsque les fournisseurs ETW ne parviennent pas à démarrer ou lorsque les paramètres de session sont invalides lors du démarrage du système ou de l'initialisation du service.

18 mars9 min
System administrator analyzing Windows ETW traces and event logs on multiple monitoring screens
Event 8216
Kernel-EventTracing
Windows EventError

ID d'événement Windows 8216 – Kernel-EventTracing : Échec du démarrage de la session ETW

L'ID d'événement 8216 indique qu'une session de traçage d'événements pour Windows (ETW) n'a pas pu démarrer, généralement en raison de permissions insuffisantes, de contraintes de ressources ou de conflits de fournisseurs dans le sous-système de traçage d'événements du noyau Windows.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...