Windows Events — Référence des Event ID & Dépannage

ID d'événement Windows 4648 – Microsoft-Windows-Security-Auditing : Tentative de connexion avec des identifiants explicites

L'ID d'événement 4648 se déclenche lorsqu'un utilisateur ou un processus tente une authentification en utilisant des informations d'identification explicites différentes de leur session de connexion actuelle, généralement observée avec RunAs, l'authentification réseau ou les opérations de compte de service.

ID d'événement Windows 1511 – Kernel-General : Changement de l'heure système détecté

L'ID d'événement 1511 se déclenche lorsque Windows détecte un changement significatif de l'heure système, soit par ajustement manuel, synchronisation NTP, ou dérive de l'horloge matérielle. Critique pour l'audit de sécurité et le dépannage des applications sensibles au temps.

ID d'événement Windows 32022 – Microsoft-Windows-Kernel-Power : Transition de l'état d'alimentation du système

L'ID d'événement 32022 indique une transition de l'état d'alimentation du système initiée par le sous-système de gestion de l'alimentation du noyau Windows, se produisant généralement lors des opérations de veille, d'hibernation ou de réveil.

ID d'événement Windows 5805 – DFSR : Récupération de la base de données terminée avec succès

L'ID d'événement 5805 indique que le service de réplication du système de fichiers distribués (DFSR) a terminé avec succès les opérations de récupération de la base de données après un arrêt inattendu ou un événement de corruption.

ID d'événement Windows 3002 – WinRM : Erreur de configuration du service WinRM

L'ID d'événement 3002 indique une erreur de configuration du service Windows Remote Management (WinRM), se produisant généralement lors du démarrage du service ou lorsque les paramètres d'authentification sont mal configurés.

ID d'événement Windows 3066 – LSASRV : Erreur d'initialisation du package LSA

L'ID d'événement 3066 indique qu'un package de l'Autorité de sécurité locale (LSA) n'a pas réussi à s'initialiser lors du démarrage du système, ce qui pourrait affecter les services d'authentification et les protocoles de sécurité.

ID d'événement Windows 1753 – RPC/Mapper d'Endpoint : L'entrée de la base de données du Mapper d'Endpoint n'a pas pu être créée

L'ID d'événement 1753 indique que le service RPC Endpoint Mapper n'a pas réussi à créer une entrée de base de données pour un point de terminaison de service, ce qui entraîne généralement des échecs de communication RPC et des problèmes d'enregistrement de service.

ID d'événement Windows 1500 – Erreur d'application : Détection de plantage ou de blocage d'application

L'ID d'événement 1500 indique qu'une application s'est écrasée, suspendue ou a rencontré une erreur critique. Cet événement est enregistré lorsque le rapport d'erreurs Windows détecte des échecs d'application et génère des vidages sur incident pour analyse.

ID d'événement Windows 506 – Winlogon : Enregistrement du processus de connexion interactive

L'ID d'événement 506 indique que le service Winlogon de Windows a enregistré un processus de connexion interactive. Cet événement informatif suit l'initialisation du fournisseur d'authentification lors du démarrage du système et de la gestion des sessions utilisateur.

ID d'événement Windows 7023 – Gestionnaire de contrôle des services : Service terminé avec erreur

L'ID d'événement 7023 indique qu'un service Windows s'est terminé de manière inattendue avec un code d'erreur. Cet événement critique nécessite une enquête immédiate pour identifier les services défaillants et prévenir l'instabilité du système.

ID d'événement Windows 1129 – Disque : Réinitialisation du disque en raison d'un délai d'attente

L'ID d'événement 1129 indique qu'une réinitialisation du disque s'est produite en raison d'une condition de dépassement de délai. Cet événement de stockage critique signale des problèmes matériels potentiels, des problèmes de pilote ou des défaillances du sous-système de stockage nécessitant une enquête immédiate.

ID d'événement Windows 7031 – Gestionnaire de contrôle des services : Service terminé de manière inattendue

L'ID d'événement 7031 indique qu'un service Windows s'est terminé de manière inattendue et sera redémarré. Cet événement critique aide à identifier les problèmes de stabilité du service et les problèmes potentiels du système.

ID d'événement Windows 5719 – NETLOGON : Aucun contrôleur de domaine disponible

L'ID d'événement 5719 indique qu'un ordinateur joint à un domaine ne peut pas contacter de contrôleur de domaine pour l'authentification ou les services d'annuaire, entraînant des échecs d'authentification et des problèmes de connectivité au domaine.

ID d'événement Windows 47 – Volsnap : Avertissement du service de cliché instantané de volume

L'ID d'événement 47 de Volsnap indique que le service de copie de l'ombre du volume a rencontré des problèmes pour créer ou maintenir des copies d'ombre, généralement en raison d'un espace disque insuffisant ou de problèmes de stockage.

ID d'événement Windows 55 – FTDISK : Erreur du gestionnaire de filtre du système de fichiers

L'ID d'événement 55 de FTDISK indique des erreurs du gestionnaire de filtres du système de fichiers, généralement liées à des échecs d'E/S de disque, des structures de système de fichiers corrompues ou des problèmes de compatibilité de pilotes affectant les opérations de stockage.

ID d'événement Windows 50 – Système : Opération de fichier d'échange du gestionnaire de mémoire virtuelle

L'ID d'événement 50 indique des opérations du gestionnaire de mémoire virtuelle liées aux activités du fichier d'échange, aux échecs d'allocation de mémoire ou aux problèmes d'espace disque affectant les performances et la stabilité du système.

ID d'événement Windows 219 – Kernel-PnP : Échec de l'installation du pilote de périphérique

L'ID d'événement 219 indique qu'un pilote de périphérique Plug and Play n'a pas pu s'installer ou s'initialiser correctement. Cette erreur critique affecte la fonctionnalité matérielle et la stabilité du système.

ID d'événement Windows 7000 – Gestionnaire de contrôle des services : Échec du démarrage du service

L'ID d'événement 7000 indique qu'un service Windows n'a pas pu démarrer lors du démarrage du système ou des tentatives de démarrage manuel. Cette erreur critique nécessite une enquête immédiate pour identifier le service défaillant et la cause sous-jacente.

ID d'événement Windows 7031 – Gestionnaire de contrôle des services : Service terminé de manière inattendue

L'ID d'événement 7031 indique qu'un service Windows s'est terminé de manière inattendue et sera redémarré par le Gestionnaire de contrôle des services. Cet événement critique aide à identifier les problèmes de stabilité du service et les problèmes potentiels du système.

ID d'événement Windows 1000 – Erreur d'application : Détection de crash ou de défaut d'application

L'ID d'événement 1000 indique un plantage d'application ou une exception non gérée. Cet événement d'erreur critique se déclenche lorsque Windows détecte une défaillance d'application, fournissant des détails sur le plantage pour le dépannage.

ID d'événement Windows 10016 – DistributedCOM : Erreur de permission DCOM refusée

L'ID d'événement 10016 indique des erreurs de permission DCOM lorsque des applications tentent d'accéder à des objets COM sans autorisation appropriée, affectant couramment les services et applications Windows.