06/12/2025

Prise en main de l’Observateur d’événements de Windows Server

Prise en main de l’Observateur d’événements

L’Observateur d’événements est une console intégrée à Windows Server qui donne accès aux journaux du système d’exploitation, des services et des applications. En effet, Windows Server, au même titre que les autres systèmes d’exploitation, est capable d’enregistrer une « trace » de ce qu’il se passe sur la machine au sein de journaux.

Ces journaux, que nous appelons communément des « logs », se présentent comme un historique de l’activité de la machine puisque chaque événement contient plusieurs informations, dont un identifiant, un nom, une description et il est horodaté (date et heure).

Ainsi, les journaux jouent un rôle important et ils sont exploités aussi bien l’administrateur système que par l’équipe en charge de la cybersécurité de l’infrastructure. En tant qu’administrateur système, ces événements seront utiles pour analyser les performances, diagnostiquer un problème, comprendre un bug applicatif ou encore pour détecter un comportement suspect.

Remarque : pour certains services de Windows Server, il y a également des logs sous la forme de fichiers textes, qui ne sont pas accessibles directement via l’Observateur d’événements. À titre d’exemple, nous pouvons citer le serveur Web IIS et le serveur DHCP.

I. Découverte de la console « Observateur d’événements »

Pour ouvrir la console « Observateur d'événements » sur un serveur, vous pouvez passer par le menu « Outils » du « Gestionnaire de serveur » ou effectuer un clic droit sur le menu Démarrer. Ensuite, il suffira de cliquer sur l’entrée nommée « Observateur d’événements ».

La navigation entre les différents journaux s’effectue à partir du menu situé sur la gauche de la console. L’arborescence est organisée de la manière suivante :

  • Affichages personnalisés : regroupe des vues personnalisées basées sur des filtres, facilitant la recherche d'événements correspondant à des critères spécifiques.
  • Journaux Windows : contient les journaux standards tels qu'Application, Sécurité, Installation, Système et Événements transférés, présents sur toutes les machines Windows.
  • Journaux des applications et des services : inclut des journaux spécifiques à certains rôles et services, comme ceux des services d'annuaire Active Directory, de l’activité PowerShell ou des accès SMB. Pour analyser un rôle ou service spécifique, il est recommandé de consulter ces journaux, en plus des journaux globaux sous « Journaux Windows ».
  • Abonnements : permet de configurer le transfert des événements, c’est-à-dire du contenu des journaux, vers une autre machine pour centraliser les journaux.

Au centre de la console, vous avez la visibilité sur l’historique des événements en fonction du journal sélectionné, ainsi que le détail de l’événement sélectionné. Dans le menu latéral de droite, se situe différents boutons d’actions.

II. Les 5 journaux Windows

Avant d’évoquer l’utilisation de la console, commençons par présenter les 5 journaux présents sous « Journaux Windows ». Ce sont ceux que l’on consulte le plus régulièrement.

  • Application : ce journal répertorie les événements liés aux applications installées sur la machine, mais aussi ceux de certains composants du système d’exploitation.
  • Sécurité : ce journal enregistre tous les événements relatifs à la sécurité et à l'audit du système, tels que les connexions réussies ou échouées, encore les actions sur les fichiers. Ce journal constitue une ressource précieuse, notamment pour la détection d'activités malveillantes. Il est plus ou moins complet selon la configuration de la stratégie d’audit de la machine.
  • Installation : ce journal regroupe les événements liés à l'installation de programmes et de fonctionnalités. Il est peu fréquemment utilisé.
  • Système : ce journal consigne les événements générés par le système d’exploitation, tels que les changements d'état des services, les événements liés à l'alimentation (comme un redémarrage imprévu) ou les problèmes de pilotes.
  • Événements transférés : ce journal centralise les événements envoyés par d'autres machines Windows via le système d'abonnements.

III. Les types d’événements

Sur un système d’exploitation quel qu’il soit, tout ne se passe pas toujours comme prévu. Certaines actions peuvent être réussies, tandis que d’autres seront à l’origine d’une erreur ou d’un avertissement. Ainsi, plusieurs types d’événements associés à un niveau de gravité différent vont peupler les différents journaux d’une machine.

Vous êtes susceptible de rencontrer des évènements avec ces niveaux de gravité :

  • Information : activité normale du système et des services, quand tout se passe bien.
  • Avertissement : problème ou comportement anormal détecté dans un service, une application ou le système. Si la situation s’aggrave, une erreur peut suivre.
  • Erreur : erreur du système, d'une application, d'un service, ce qui n’aura pas systématiquement un impact pour la stabilité de la machine ou des services.
  • Critique : les événements les plus graves et les plus impactants que vous devez analyser et traiter en priorité lorsque vous cherchez à résoudre un problème.
  • Commentaire : événements en mode verbeux, avec plus de détails que les événements du type « Information » même s'ils partagent ce label.

Ces différents niveaux sont visibles dans la colonne « Niveau » de l’Observateur d’événements. Un icône particulier met en évidence les avertissements et les erreurs.

Il y a tout de même une particularité avec le journal « Sécurité » correspondant à l’audit du système. Il n’a pas cette colonne « Niveau » puisqu’elle est remplacée par « Mots clés ». Une colonne susceptible d’avoir deux valeurs :

  • Succès de l'audit : un événement de sécurité audité s'est déroulé avec succès.
  • Échec de l'audit : un événement de sécurité audité a été déclenché, mais une erreur a été rencontrée, ce qui est synonyme d’échec. Par exemple, ce sera le cas si un utilisateur se trompe de mot de passe lorsqu’il essaie d’ouvrir sa session.

IV. L’application d’un filtre sur un journal

Grâce à un système de filtres, l’administrateur peut identifier facilement les événements correspondants à un niveau de gravité précis ou à un ID spécifique. Ainsi, vous pouvez lister facilement tous les événements associés au niveau « Critique », par exemple.

Il y a deux manières de filtrer un journal à partir de la console :

  • À partir de la création d’un filtre sur un ou plusieurs journaux
  • À partir de la création d’une vue personnalisée que vous retrouverez ensuite sous la section « Affichages personnalisées ». Ceci présente la particularité de créer un « journal » qui affichera uniquement les événements correspondants à vos critères.

Dans un cas comme dans l’autre, vous pouvez effectuer un filtre selon plusieurs propriétés : niveau de gravité, période, journal, source, ou encore ID. Vous pouvez définir un ou plusieurs critères selon vos besoins.

À titre d’exemple, nous allons créer un filtre sur le journal « Système » afin de lister tous les événements avec l’ID « 41 ». Lorsque la machine redémarre de façon incorrecte, cela génère une erreur critique associée à cet identifiant.

Pour créer un filtre, effectuez un clic droit sur le journal à filtrer, ici « Système » puis cliquez sur « Filtrer le journal actuel ». Ensuite, il convient de configurer le filtre… Ici, nous allons simplement indiquer « 41 » où c’est écrit « Tous les ID d’événements ».

Une fois que le formulaire est complété, cliquez sur le bouton « OK ». Les événements correspondants seront affichés. Si la liste est vide, c’est qu’aucun événement en correspond à votre filtre : assurez-vous qu’il soit correct (filtre trop restrictif, par exemple).

Trois événements correspondent à ce filtre :

Désormais, il ne reste plus qu’à prendre connaissance du détail de ces événements… Mais, comment effectuer la lecture d’un événement ?

Remarque : pour supprimer le filtre, effectuez un clic droit sur le journal « Système » et cliquez sur « Effacer le filtre » dans le menu contextuel.

V. La lecture d’un événement du journal

Les événements enregistrés dans les journaux de Windows suivent une structure similaire, que vous devez être capable d’interpréter. Autrement dit, vous devez être capable de lire un événement présent dans le journal.

Sachez qu’il vous suffit de double-cliquer sur un événement pour l’ouvrir et avoir une vue d’ensemble de son contenu. Intéressons-nous au contenu d’un événement avec l’ID « 41 ».

La zone principale contient le message de l’événement et il est plus ou moins complet et précis en fonction de chaque événement. Dans certains cas, il peut contenir un code d’erreur supplémentaire vous permettant d’orienter vos recherches (par exemple, un code sous la forme « 0x000000 »).

  • Événement : ce champ contient une valeur numérique correspondante à l’identifiant de l’événement, que l’on appelle « ID ».
  • Source : l'application, le composant ou le service à l'origine de cet événement.
  • Utilisateur : compte associé à cet événement, c'est-à-dire l'utilisateur qui est à l'origine de l'événement, ou alors le compte « Système » pour Windows.
  • Connecté : indique la date et l'heure de l'événement, à la seconde près, afin de positionner l’événement dans l’espace-temps.
  • Ordinateur : nom de la machine à l'origine de cet événement, ici c’est la machine locale. Si l’événement fait référence à une machine distante, ce sera précisé dans le message principal.

VI. La taille des journaux Windows

Chaque journal de Windows dispose d’une taille maximale, donc si un journal est plein, le système d’exploitation supprime automatiquement les événements les plus anciens. De ce fait, si un journal contient de très nombreux événements, l’historique correspondra à une période de temps très courte.

Ceci peut s’avérer problématique dans certaines situations. Par exemple, si nous avons besoin d’investiguer sur un problème et que nous devons consulter les journaux sur plusieurs jours.

Pour augmenter la durée de rétention d'un journal, nous devons augmenter la taille maximale. Voici les recommandations à appliquer pour les 4 principaux journaux de Windows Server :

  • Application : 32 768 Ko
  • Système : 32 768 Ko
  • Sécurité : 196 608 Ko
  • Installation : 32 768 Ko

Il s’agit de valeurs minimales recommandées par les guides du CIS Benchmark.

Pour augmenter la taille d’un journal, effectuez un clic droit sur son nom, puis cliquez sur « Propriétés ». Remplacez la valeur de « Journal max. (Ko) » et validez.

Remarque : pour appliquer une configuration homogène sur plusieurs machines, l’administrateur peut s’appuyer sur un script PowerShell, une stratégie de groupe, etc.

VII. Le format des journaux

Sur une machine Windows, les journaux référencés dans l’Observateur d’événements sont associés à des fichiers EVTX (Event Log XML). Ce format de fichier spécifique à Windows est utilisé pour structurer les journaux.

Les fichiers EVTX sont stockés en binaire, ce qui les rend difficiles à lire directement sans un outil adapté (un éditeur de texte ne pourra pas lire ces fichiers). Pour autant, les événements inscrits dans les fichiers EVTX sont encodés en XML.

Tous les journaux sont stockés à l’emplacement suivant :

C:\Windows\System32\winevt\Logs

Dans ce répertoire, il y a un fichier EVTX par journal.

Remarque : pour lire ce format de fichiers avec une autre application, il est nécessaire de le convertir au préalable.

VIII. Aller plus loin dans la gestion des journaux

Chaque machine dispose de ses journaux locaux, accessibles via l’Observateur d’événements. Il s’agit de la base en matière de gestion des journaux en environnement Windows.

Il est recommandé de centraliser les journaux sur un serveur chargé de les stocker, de les indexer et de les analyser. Ceci permettra notamment d’effectuer la corrélation d’événements stockés sur plusieurs machines.

Pour répondre à ce besoin, les entreprises peuvent déployer un « puits de log » ou un « SIEM » (Security Information and Event Management). Il existe de nombreuses solutions sur le marché, dont des solutions open source. Par exemple, Microsoft Sentinel est le SIEM de l’entreprise Microsoft, hébergé dans le Cloud.

De plus, il peut s’avérer judicieux de déployer l’outil « Sysmon » (System Monitor). Cet outil de la suite SysInternals va enrichir les événements inscrits dans les journaux Windows avec des informations supplémentaires.

Il prend en charge des événements non intégrés par défaut dans Windows. Voici quelques exemples :

  • Création ou fin d'un processus
  • Chargement d'un pilote ou d'une bibliothèque DLL
  • Modification de l'heure de création d'un fichier
  • Création d'un nouveau fichier exécutable
  • Etc.

Remarque : Sysmon est également pris en charge sur Linux.

Pour en savoir plus sur Sysmon, consultez ces deux articles :

Livre Windows Server 2025 par IT-Connect
Chapitre Précédent
Retour à la/au Module
Chapitre Suivant
author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Voir la bio complète
social network icon social network icon
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Vous pourrez aussi aimer

Passbolt, un gestionnaire de password taillé pour l’entreprise ?

Florian BURNEL 0

Vers une première version de Windows Terminal au premier semestre 2020

Florian BURNEL 0
Analyse Active Directory avec ADRecon

ADRecon, un outil en PowerShell pour collecter des informations sur l’Active Directory

Florian BURNEL 8

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.