Windows Events — Référence des Event ID & Dépannage

ID d'événement Windows 6000 – EventLog : Service du journal des événements démarré

L'ID d'événement 6000 indique que le service de journal des événements Windows a démarré avec succès. Cet événement informatif se déclenche lors du démarrage du système et confirme que le sous-système de journalisation est opérationnel.

ID d'événement Windows 5615 – Sécurité : Accès au coffre-fort du gestionnaire d'informations d'identification

L'ID d'événement 5615 enregistre lorsqu'un utilisateur ou un processus accède au coffre du Gestionnaire d'informations d'identification Windows pour récupérer des informations d'identification, des mots de passe ou des certificats stockés à des fins d'authentification.

ID d'événement Windows 5617 – Winlogon : Session de connexion utilisateur détruite

L'ID d'événement 5617 indique qu'une session de connexion utilisateur a été détruite par le service Windows Logon, se produisant généralement lors des processus normaux de déconnexion ou de terminaison de session utilisateur.

ID d'événement Windows 4113 – Microsoft-Windows-Kernel-General : Heure du système modifiée

L'ID d'événement 4113 se déclenche lorsque l'heure système de Windows est modifiée, soit manuellement par un utilisateur, soit automatiquement par des services de synchronisation de l'heure. Critique pour l'audit de sécurité et le suivi de la conformité.

ID d'événement Windows 4112 – Kerberos : Service d'authentification Kerberos (AS) démarré

L'ID d'événement 4112 indique que le service d'authentification Kerberos (AS) a démarré avec succès sur un contrôleur de domaine, permettant l'octroi de tickets d'authentification pour les utilisateurs et services du domaine.

ID d'événement Windows 4111 – Microsoft-Windows-Kernel-Process : Événement d'audit de création de processus

L'ID d'événement 4111 suit les événements de création de processus dans Windows lorsque l'audit avancé est activé. Cet événement axé sur la sécurité fournit des informations détaillées sur les nouveaux processus, y compris les détails du processus parent et les arguments de la ligne de commande.

ID d'événement Windows 4109 – Microsoft-Windows-Wininit : Notification de déconnexion de l'utilisateur

L'ID d'événement 4109 enregistre les événements de déconnexion utilisateur initiés par le processus d'initialisation de Windows, fournissant une piste d'audit pour la terminaison de session et la surveillance de la sécurité du système.

ID d'événement Windows 4108 – Microsoft-Windows-Eventlog : Le service du journal des événements a rencontré une erreur

L'ID d'événement 4108 indique que le service de journal des événements Windows a rencontré une erreur lors du traitement des journaux d'événements, souvent liée à la corruption des fichiers journaux, à des problèmes d'espace disque ou à des problèmes de configuration du service.

ID d'événement Windows 4097 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 4097 se déclenche lorsque Windows détecte un changement de l'heure système, qu'il soit manuel ou automatique. Critique pour l'audit de sécurité et le dépannage des problèmes de synchronisation de l'heure.

ID d'événement Windows 4096 – Microsoft-Windows-Wininit : Processus d'initialisation du système démarré

L'ID d'événement 4096 indique que le processus d'initialisation de Windows (wininit.exe) a démarré lors du démarrage du système. Cet événement informatif marque le début de l'initialisation des services système critiques et de la préparation de la session utilisateur.

ID d'événement Windows 3603 – WinRM : Erreur d'authentification du service de gestion à distance

L'ID d'événement 3603 indique des échecs d'authentification de Windows Remote Management (WinRM) lorsque des clients tentent de se connecter à des systèmes distants en utilisant l'administration à distance PowerShell ou d'autres services basés sur WinRM.

ID d'événement Windows 2562 – ESENT : Échec de l'opération de lecture de la page de la base de données

L'ID d'événement 2562 indique que le moteur de base de données ESENT n'a pas réussi à lire une page spécifique d'un fichier de base de données, généralement en raison de la corruption du disque, de problèmes matériels ou de problèmes de système de fichiers affectant les services Windows.

ID d'événement Windows 3086 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 3086 se déclenche lorsque Windows détecte un changement significatif de l'heure système, soit par un ajustement manuel, une synchronisation NTP, ou une dérive de l'horloge matérielle nécessitant une enquête.

ID d'événement Windows 2101 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 2101 se déclenche lorsque Windows détecte un changement de l'heure système, soit par un ajustement manuel, soit par une synchronisation automatique. Critique pour l'audit de sécurité et le dépannage des problèmes liés au temps.

ID d'événement Windows 2003 – Srv : Limite de connexion du service serveur atteinte

L'ID d'événement 2003 indique que le service Windows Server a atteint sa limite maximale de connexions simultanées, empêchant de nouvelles connexions client jusqu'à ce que les sessions existantes soient libérées.

ID d'événement Windows 2000 – Gestionnaire de contrôle des services : Service démarré avec succès

L'ID d'événement 2000 indique qu'un service Windows a démarré avec succès. Cet événement informatif aide les administrateurs à suivre les activités de démarrage des services et à résoudre les dépendances de service lors du démarrage du système ou des opérations manuelles de service.

ID d'événement Windows 1532 – User32 : Session du gestionnaire de fenêtres de bureau terminée

L'ID d'événement 1532 de User32 indique que la session du Gestionnaire de fenêtres de bureau (DWM) s'est terminée, généralement lors de la déconnexion de l'utilisateur, de l'arrêt du système ou lors du passage entre les sessions utilisateur.

ID d'événement Windows 1531 – User32 : Session du gestionnaire de fenêtres de bureau terminée

L'ID d'événement 1531 de User32 indique que la session du Gestionnaire de fenêtres de bureau (DWM) s'est terminée, généralement lors de la déconnexion de l'utilisateur, de l'arrêt du système ou lorsque DWM se bloque de manière inattendue.

ID d'événement Windows 1130 – Microsoft-Windows-User Profiles Service : Échec du service de profil utilisateur

L'ID d'événement 1130 indique que le service de profil utilisateur a rencontré une défaillance critique lors du chargement ou de la gestion des profils, ce qui pourrait empêcher les utilisateurs d'accéder à leurs profils ou entraîner une corruption de profil.

ID d'événement Windows 1066 – WinLogon : Initialisation du sous-système du gestionnaire de session

L'ID d'événement 1066 indique que le sous-système du gestionnaire de session Windows s'est initialisé avec succès lors du démarrage du système, marquant une étape critique dans le processus de démarrage.

ID d'événement Windows 1042 – Kernel-Power : Redémarrage du système sans arrêt propre

L'ID d'événement 1042 indique que le système a redémarré sans s'arrêter correctement au préalable. Cet événement critique signale une perte de puissance inattendue, une défaillance matérielle ou des scénarios de redémarrage forcé.