ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Event Viewer displaying system event logs with warning entries on a professional monitoring setup
Event ID 0WarningUnknownWindows

ID d'événement Windows 0 – Inconnu : Événement système avec source indéfinie

L'ID d'événement 0 avec une source inconnue indique un événement système où la source de l'événement n'a pas pu être correctement identifiée ou enregistrée, souvent en raison d'entrées de journal d'événements corrompues ou de définitions de source d'événement manquantes.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 0Unknown 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 0 avec source inconnue se produit lorsque Windows rencontre un événement qui ne peut pas être correctement catégorisé ou attribué à une source d'événement spécifique. Le service de journal des événements Windows maintient un registre des sources d'événements connues sous HKLM\SYSTEM\CurrentControlSet\Services\EventLog, et lorsqu'une application ou un composant système tente d'écrire un événement en utilisant une source non enregistrée ou corrompue, le système passe par défaut à 'Inconnu' avec l'ID d'événement 0.

Cette situation survient couramment dans plusieurs scénarios : lorsque des applications sont mal désinstallées laissant des références de source d'événement orphelines, lorsque des fichiers système deviennent corrompus affectant l'infrastructure du journal des événements, ou lorsque des logiciels tiers tentent d'écrire des événements sans appels API Windows appropriés. L'événement peut également apparaître lors du démarrage du système lorsque des services tentent de consigner des événements avant que leurs sources d'événements ne soient entièrement initialisées.

Les implications de ces événements vont au-delà du simple encombrement du journal. Ils indiquent souvent des problèmes système plus profonds tels que la corruption du registre, des installations logicielles incomplètes ou des problèmes de compatibilité avec les nouvelles versions de Windows. Dans les environnements d'entreprise, les entrées d'ID d'événement 0 peuvent compliquer l'analyse et la surveillance des journaux, car elles ne fournissent aucun contexte significatif sur les opérations du système. De plus, des occurrences fréquentes peuvent suggérer que des événements système critiques sont perdus ou mal attribués, masquant potentiellement des alertes de sécurité ou opérationnelles importantes.

Les versions modernes de Windows incluent une validation améliorée des sources d'événements et des mécanismes de nettoyage automatique, mais les applications héritées et certaines conditions système peuvent encore déclencher ces événements non définis. Comprendre et résoudre les entrées d'ID d'événement 0 est crucial pour maintenir des journaux d'événements propres et analysables et assurer des capacités de surveillance système appropriées.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Entrées de registre de source d'événement corrompues ou manquantes dans HKLM\SYSTEM\CurrentControlSet\Services\EventLog
  • Applications mal désinstallées laissant des références de source d'événement orphelines
  • Logiciels tiers tentant d'écrire des événements sans enregistrement de source approprié
  • Corruption de fichiers système affectant les composants du service Windows Event Log
  • Applications héritées utilisant des API de journalisation d'événements obsolètes
  • Problèmes de synchronisation de démarrage de service où les événements sont enregistrés avant l'initialisation de la source
  • Corruption du registre dans les clés de configuration du journal des événements
  • Logiciels malveillants ou intrusions système affectant l'infrastructure de journalisation des événements
  • Problèmes matériels causant une instabilité système intermittente pendant le traitement des événements
  • Processus de mise à jour Windows ou de mise à niveau système laissant des états de source d'événement incohérents
Méthodes de résolution

Étapes de dépannage

01

Analyser les détails de l'événement et le contexte

Commencez par examiner les entrées spécifiques de l'ID d'événement 0 pour recueillir des indices contextuels sur leur origine.

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSystème ou Application selon l'endroit où les événements apparaissent
  3. Filtrez pour l'ID d'événement 0 en cliquant avec le bouton droit sur le journal et en sélectionnant Filtrer le journal actuel
  4. Entrez 0 dans le champ ID d'événements et cliquez sur OK
  5. Examinez chaque entrée de l'ID d'événement 0, en notant l'horodatage, le nom de l'ordinateur, et tout texte de description disponible
  6. Utilisez PowerShell pour extraire des informations détaillées :
    Get-WinEvent -FilterHashtable @{LogName='System'; Id=0} -MaxEvents 50 | Select-Object TimeCreated, Id, LevelDisplayName, Message | Format-Table -Wrap
  7. Recoupez les horodatages avec d'autres événements système pour identifier des corrélations potentielles
  8. Vérifiez si les événements se regroupent autour de moments spécifiques comme le démarrage du système, les installations d'applications, ou les tâches planifiées
Astuce pro : Recherchez des motifs dans les descriptions d'événements ou toute information partielle sur la source qui pourrait indiquer l'application ou le service d'origine.
02

Vérifier l'intégrité du registre de la source de l'événement

Examinez et réparez les entrées de registre des sources d'événements qui peuvent être corrompues ou incomplètes.

  1. Ouvrez l'Éditeur de Registre en tant qu'administrateur en appuyant sur Win + R, en tapant regedit, et en appuyant sur Entrée
  2. Accédez à HKLM\SYSTEM\CurrentControlSet\Services\EventLog
  3. Développez les clés Application et Système pour voir les sources d'événements enregistrées
  4. Cherchez les entrées avec des valeurs manquantes ou corrompues, en particulier les noms de source vides ou les chemins invalides
  5. Utilisez PowerShell pour auditer les enregistrements de sources d'événements :
    Get-ChildItem "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\Application" | ForEach-Object { 
    $sourceName = $_.PSChildName
    $eventMessageFile = Get-ItemProperty -Path $_.PSPath -Name "EventMessageFile" -ErrorAction SilentlyContinue
    if (-not $eventMessageFile) {
        Write-Output "Missing EventMessageFile for source: $sourceName"
    }
}
  6. Supprimez les entrées de sources d'événements orphelines ou corrompues en supprimant leurs clés de registre
  7. Redémarrez le service du journal des événements Windows pour actualiser les enregistrements de sources :
    Restart-Service -Name "EventLog" -Force
  8. Surveillez les nouvelles occurrences de l'ID d'événement 0 après le nettoyage du registre
Avertissement : Sauvegardez toujours le registre avant de faire des modifications. Des modifications incorrectes peuvent causer une instabilité du système.
03

Reconstruire l'infrastructure du journal des événements

Effectuer une reconstruction complète de l'infrastructure du journal des événements Windows pour résoudre les problèmes persistants.

  1. Arrêter le service du journal des événements Windows et les dépendances associées:
    Stop-Service -Name "EventLog" -Force
Stop-Service -Name "Wecsvc" -Force -ErrorAction SilentlyContinue
  2. Effacer les fichiers de journal des événements existants (sauvegarder d'abord si nécessaire):
    wevtutil el | ForEach-Object { wevtutil cl $_ }
  3. Réinitialiser les autorisations du registre du journal des événements à l'aide de l'outil intégré:
    secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose
  4. Réenregistrer les DLL et composants du journal des événements:
    regsvr32 /s %systemroot%\system32\wevtapi.dll
regsvr32 /s %systemroot%\system32\wevtsvc.dll
regsvr32 /s %systemroot%\system32\wecsvc.dll
  5. Redémarrer le service du journal des événements:
    Start-Service -Name "EventLog"
  6. Vérifier l'état du service et tester la journalisation des événements:
    Get-Service -Name "EventLog"
Write-EventLog -LogName "Application" -Source "Application" -EventId 1000 -EntryType Information -Message "Test event after rebuild"
  7. Surveiller les journaux système et application pendant 24-48 heures pour confirmer la résolution
04

Identifier et remédier aux applications problématiques

Utilisez des techniques de surveillance avancées pour identifier les applications causant des entrées Event ID 0 et mettre en œuvre des correctifs.

  1. Activez Process Monitor (ProcMon) pour suivre l'accès au registre et aux fichiers lors de la génération d'événements
  2. Téléchargez ProcMon depuis Microsoft Sysinternals et exécutez-le en tant qu'administrateur
  3. Définissez des filtres pour surveiller l'accès au registre aux clés de journal d'événements:
    # Filtre pour l'accès au registre EventLog
# Processus et chemin contiennent : EventLog
  4. Utilisez Windows Performance Toolkit pour tracer les opérations de journal d'événements:
    wpr -start GeneralProfile -filemode
# Attendez que l'Event ID 0 se produise
wpr -stop C:\temp\eventlog_trace.etl
  5. Analysez les applications installées pour une utilisation incorrecte de la source d'événements:
    Get-WmiObject -Class Win32_Product | Where-Object { $_.InstallDate -gt (Get-Date).AddDays(-30) } | Select-Object Name, InstallDate
  6. Vérifiez les applications utilisant des API de journalisation d'événements obsolètes en examinant leurs répertoires d'installation pour d'anciens DLL
  7. Désinstallez et réinstallez les applications problématiques en utilisant des outils de suppression appropriés
  8. Pour les applications tierces, contactez les fournisseurs pour des versions mises à jour compatibles avec les versions actuelles de Windows
  9. Mettez en œuvre des shims de compatibilité d'application si nécessaire en utilisant l'Application Compatibility Toolkit
Conseil pro : De nombreuses applications héritées peuvent être corrigées en les exécutant en mode de compatibilité ou en mettant à jour manuellement leur enregistrement de source d'événements.
05

Réparation et surveillance avancées du système

Mettre en œuvre des procédures complètes de réparation du système et établir une surveillance continue pour la prévention de l'ID d'événement 0.

  1. Exécuter le vérificateur de fichiers système pour réparer les fichiers système corrompus :
    sfc /scannow
  2. Exécuter DISM pour réparer la corruption de l'image Windows :
    DISM /Online /Cleanup-Image /RestoreHealth
  3. Effectuer une analyse et une réparation complètes du registre :
    chkdsk C: /f /r
  4. Créer un script de surveillance PowerShell pour la détection continue de l'ID d'événement 0 :
    # Enregistrer sous Monitor-EventID0.ps1
$lastCheck = (Get-Date).AddHours(-1)
$events = Get-WinEvent -FilterHashtable @{LogName='System','Application'; Id=0; StartTime=$lastCheck} -ErrorAction SilentlyContinue
if ($events) {
    $events | ForEach-Object {
        Write-Output "Event ID 0 detected at $($_.TimeCreated) in $($_.LogName)"
        # Ajouter la logique d'alerte ici
    }
}
  5. Planifier le script de surveillance à l'aide du Planificateur de tâches :
    $action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\Monitor-EventID0.ps1"
$trigger = New-ScheduledTaskTrigger -RepetitionInterval (New-TimeSpan -Hours 1) -RepetitionDuration (New-TimeSpan -Days 365) -At (Get-Date)
Register-ScheduledTask -TaskName "Monitor Event ID 0" -Action $action -Trigger $trigger -RunLevel Highest
  6. Mettre en œuvre la journalisation centralisée si dans un environnement de domaine en utilisant le transfert d'événements Windows
  7. Configurer des politiques de rétention de journaux d'événements personnalisées pour maintenir les données historiques pour l'analyse des tendances
  8. Documenter toutes les étapes de remédiation et créer une entrée de base de connaissances pour référence future

Aperçu

L'ID d'événement 0 avec une source inconnue représente l'une des entrées les plus inhabituelles que vous rencontrerez dans les journaux d'événements Windows. Cet événement se déclenche lorsque le service de journalisation des événements Windows rencontre un événement qui ne peut pas être correctement attribué à une source spécifique ou lorsque l'enregistrement de la source de l'événement est corrompu ou manquant. Contrairement aux événements standard qui ont des sources bien définies comme 'Service Control Manager' ou 'Kernel-General', ces entrées apparaissent lorsque le système ne peut pas déterminer d'où provient l'événement.

Cet événement apparaît généralement dans les journaux Système ou Application et indique souvent des problèmes sous-jacents avec l'infrastructure de journalisation des événements, des entrées de registre corrompues pour les sources d'événements, ou des problèmes avec des applications tierces qui enregistrent incorrectement leurs sources d'événements. L'événement devient particulièrement problématique car il fournit un contexte minimal sur ce qui l'a réellement déclenché, rendant le dépannage plus difficile.

Dans les versions Windows 11 2026 et Server 2025, Microsoft a amélioré la validation des sources d'événements, mais l'ID d'événement 0 avec une source inconnue peut encore se produire lors des transitions système, des installations de services, ou lorsque des applications héritées tentent d'écrire des événements sans enregistrement de source approprié. La présence de ces événements est souvent corrélée à une instabilité du système ou à des problèmes de compatibilité des applications.

Questions Fréquentes

Que signifie réellement l'ID d'événement 0 avec une source inconnue ?+
L'ID d'événement 0 avec source inconnue indique que Windows a rencontré un événement qui ne pouvait pas être correctement attribué à une source d'événement enregistrée spécifique. Cela se produit lorsque des applications tentent d'écrire des événements en utilisant des sources non enregistrées, lorsque les entrées de registre de source d'événement sont corrompues, ou lorsque le service de journal des événements Windows ne peut pas déterminer l'origine d'un événement. C'est essentiellement un espace réservé pour les événements qui ne s'intègrent pas dans le cadre normal de journalisation des événements.
L'ID d'événement 0 avec une source inconnue est-il dangereux ou nuisible pour mon système ?+
L'ID d'événement 0 en lui-même n'est pas directement nuisible, mais il indique souvent des problèmes sous-jacents pouvant affecter la stabilité du système. Ces événements suggèrent des problèmes avec l'infrastructure de journalisation des événements, des entrées de registre corrompues ou des applications se comportant de manière incorrecte. Bien que ces événements ne fassent pas planter votre système, ils peuvent masquer des alertes système importantes et compliquer le dépannage. De plus, des occurrences fréquentes peuvent indiquer des problèmes plus profonds comme des logiciels malveillants, une corruption du système ou des problèmes de compatibilité qui devraient être résolus.
Puis-je supprimer ou ignorer en toute sécurité les entrées d'ID d'événement 0 ?+
Vous pouvez effacer les entrées d'ID d'événement 0 de vos journaux, mais les supprimer simplement ne résout pas la cause sous-jacente. Ces événements continueront probablement à apparaître jusqu'à ce que vous résolviez le problème de fond. Au lieu de les ignorer, utilisez les événements comme indices de diagnostic pour identifier les applications problématiques ou les problèmes système. Effacer les journaux peut être utile après avoir mis en œuvre des correctifs pour surveiller si le problème a été résolu, mais l'accent doit être mis sur la prévention de nouvelles occurrences.
Comment puis-je empêcher l'apparition de l'ID d'événement 0 avec source inconnue ?+
La prévention implique de maintenir des enregistrements de sources d'événements appropriés et la santé du système. Assurez-vous que les applications sont correctement installées et désinstallées en utilisant les installateurs officiels plutôt que la suppression manuelle de fichiers. Gardez votre système à jour avec les derniers correctifs Windows et mises à jour de pilotes. Exécutez régulièrement des outils de maintenance système comme SFC et DISM pour prévenir la corruption. Lors de l'installation de logiciels tiers, vérifiez qu'ils sont compatibles avec votre version de Windows. Pour les environnements d'entreprise, mettez en œuvre des pratiques de déploiement de logiciels appropriées et maintenez un inventaire des applications approuvées avec des exigences connues de sources d'événements.
Pourquoi vois-je plus d'entrées d'ID d'événement 0 après les mises à jour Windows ou les modifications du système ?+
Les mises à jour Windows et les modifications du système peuvent déclencher des entrées d'ID d'événement 0 pour plusieurs raisons. Les mises à jour peuvent modifier les structures de registre des sources d'événements, entraînant la perte des enregistrements de source pour des applications auparavant fonctionnelles. De nouvelles politiques de sécurité peuvent restreindre l'accès des applications aux API de journalisation des événements. Les changements de système peuvent également révéler des problèmes de compatibilité existants avec des logiciels plus anciens qui n'ont pas été correctement testés avec les versions plus récentes de Windows. Après des mises à jour majeures, il est courant de voir une augmentation temporaire de ces événements à mesure que le système se stabilise et que les applications réenregistrent leurs sources d'événements. La plupart des applications légitimes se corrigeront d'elles-mêmes en quelques jours, mais des entrées persistantes peuvent nécessiter une intervention manuelle.
Documentation

Références (2)

1
Microsoft Learn - Windows Event LoggingComprehensive documentation on Windows Event Logging APIs and event source managementhttps://learn.microsoft.com/en-us/windows/win32/eventlog/event-logging
2
Microsoft Docs - Event Log Registry EntriesOfficial documentation on event log registry structure and configurationhttps://docs.microsoft.com/en-us/windows/win32/eventlog/eventlog-registry-entries
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#windows-events#event-id-0#system-troubleshooting

Événements Windows associés

Windows Event Viewer displaying system error logs on a professional monitoring dashboard
Event 16389
Unknown
Windows EventError

ID d'événement Windows 16389 – Inconnu : Échec de l'initialisation de l'application ou du service

L'ID d'événement 16389 indique qu'une application ou un service n'a pas réussi à s'initialiser correctement au démarrage, souvent en raison de problèmes de dépendance, de fichiers corrompus ou de permissions insuffisantes.

18 mars12 min
System administrator analyzing Windows Event Viewer logs on multiple monitoring screens
Event 10000
Unknown
Windows EventError

ID d'événement Windows 10000 – Inconnu : Événement d'erreur générique d'application ou de système

L'ID d'événement 10000 représente une condition d'erreur générique provenant de diverses applications et services Windows. Cet événement générique nécessite une enquête détaillée pour identifier le composant spécifique et la cause première.

18 mars9 min
Windows Event Viewer showing system event logs on a monitoring dashboard
Event 302
Unknown
Windows EventInformation

ID d'événement Windows 302 – Inconnu : Événement d'initialisation du processus ou du service système

L'ID d'événement 302 indique un événement d'initialisation de processus ou de service système qui se produit lors du démarrage de Windows ou des opérations de gestion des services, généralement enregistré lorsque les composants principaux du système commencent leur séquence d'initialisation.

18 mars9 min
Windows Performance Monitor dashboard displaying system performance counters and monitoring graphs
Event 301
Unknown
Windows EventError

ID d'événement Windows 301 – Inconnu : Erreur de collecte des compteurs de performance système

L'ID d'événement 301 indique une défaillance de la collecte des compteurs de performance ou une corruption du registre affectant les capacités de surveillance du système et la collecte des données de performance.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...