ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Event Viewer displaying filtered system events on a professional monitoring workstation
Event ID 1InformationUnknownWindows

ID d'événement Windows 1 – Inconnu : Journalisation d'événements système générique

L'ID d'événement 1 provenant d'une source inconnue représente des événements système génériques qui se produisent lorsque Windows ne peut pas identifier la source d'événement spécifique ou lorsque des applications tierces génèrent des entrées de journalisation de base.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 20269 min de lecture 0
Event ID 1Unknown 5 méthodes 9 min
Référence événement

Signification de cet événement

L'ID d'événement 1 de la source Inconnue représente le mécanisme de secours de Windows pour enregistrer les événements lorsque le système ne peut pas correctement identifier ou catégoriser la source de l'événement. Cela se produit par plusieurs voies dans l'architecture du journal des événements Windows. Lorsqu'une application ou un composant système tente d'écrire un événement dans le journal des événements Windows mais manque d'une inscription de source appropriée, Windows attribue la désignation de source "Inconnue" et utilise généralement l'ID d'événement 1 comme identifiant générique.

Le service de journal des événements Windows maintient un registre des sources d'événements connues sous HKLM\SYSTEM\CurrentControlSet\Services\EventLog. Lorsqu'une demande de journalisation provient d'une source non enregistrée, le service de journal des événements ne peut pas l'associer à un fournisseur connu, ce qui entraîne la classification de source Inconnue. Ce mécanisme empêche la perte d'événements tout en indiquant des problèmes de configuration potentiels.

Ces événements contiennent souvent des informations de diagnostic précieuses dans leurs champs de description, y compris les noms de processus, les codes d'erreur ou les informations sur l'état du système. Cependant, la nature générique de l'ID d'événement 1 signifie que vous devez examiner les détails de l'événement plutôt que de vous fier uniquement à l'ID pour le dépannage. L'événement peut indiquer des opérations normales du système, des activités de démarrage d'application ou des problèmes sous-jacents avec l'enregistrement de la source de l'événement qui peuvent nécessiter une attention administrative.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Applications écrivant dans les journaux d'événements sans enregistrement approprié de la source d'événement dans le registre Windows
  • Logiciels hérités utilisant des API de journalisation d'événements obsolètes qui ne spécifient pas correctement les informations de source
  • Services système démarrant avant que leurs sources d'événements ne soient entièrement enregistrées pendant le processus de démarrage
  • Pilotes ou services tiers avec une installation incomplète qui n'ont pas réussi à enregistrer les sources d'événements
  • Corruption du service de journalisation des événements ou problèmes de registre empêchant l'identification correcte des sources
  • Applications s'exécutant avec des privilèges insuffisants pour accéder aux sources d'événements enregistrées
  • Opérations de restauration du système ou corruption du registre affectant les enregistrements de sources d'événements
  • Mises à jour ou correctifs Windows perturbant temporairement les entrées de registre des sources d'événements
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans l'Observateur d'événements

Commencez par analyser les détails spécifiques de l'événement pour comprendre ce qui a déclenché l'événement de source inconnue.

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSystème ou Application selon l'endroit où vous avez trouvé l'événement
  3. Localisez les entrées d'ID d'événement 1 avec la source indiquée comme "Inconnue"
  4. Double-cliquez sur l'événement pour ouvrir la boîte de dialogue Propriétés de l'événement
  5. Examinez l'onglet Général pour la description de l'événement, qui contient souvent le nom réel de l'application ou du processus
  6. Vérifiez l'onglet Détails et développez Système pour voir des métadonnées supplémentaires, y compris l'ID de processus et l'ID de thread
  7. Notez l'horodatage et corrélez-le avec d'autres événements système se produisant au même moment
  8. Cherchez des motifs dans la description de l'événement qui pourraient indiquer l'application ou le service d'origine
Conseil pro : La description de l'événement contient souvent plus d'informations utiles que la désignation générique de l'ID d'événement 1. Recherchez des noms d'application, des chemins de fichiers ou des codes d'erreur dans le texte de la description.
02

Utiliser PowerShell pour filtrer et analyser les événements de source inconnue

PowerShell offre de puissantes capacités de filtrage pour analyser l'ID d'événement 1 provenant de sources inconnues à travers plusieurs journaux.

  1. Ouvrez PowerShell en tant qu'administrateur
  2. Interroger l'ID d'événement 1 de la source inconnue à travers tous les journaux :
Get-WinEvent -FilterHashtable @{Id=1} | Where-Object {$_.ProviderName -eq 'Unknown' -or $_.ProviderName -eq $null} | Select-Object TimeCreated, Id, LevelDisplayName, Message | Format-Table -Wrap
  1. Pour une analyse plus détaillée, exportez les événements vers un fichier CSV pour examen :
Get-WinEvent -FilterHashtable @{Id=1; StartTime=(Get-Date).AddDays(-7)} | Where-Object {$_.ProviderName -eq 'Unknown'} | Select-Object TimeCreated, Id, ProviderName, LevelDisplayName, Message | Export-Csv -Path "C:\Temp\UnknownEvents.csv" -NoTypeInformation
  1. Analyser la fréquence et les motifs des événements :
Get-WinEvent -FilterHashtable @{Id=1; StartTime=(Get-Date).AddDays(-30)} | Where-Object {$_.ProviderName -eq 'Unknown'} | Group-Object {$_.TimeCreated.Date} | Sort-Object Name
  1. Rechercher des mots-clés spécifiques dans les messages d'événements :
Get-WinEvent -FilterHashtable @{Id=1} | Where-Object {$_.Message -like '*application*' -and $_.ProviderName -eq 'Unknown'} | Select-Object TimeCreated, Message
03

Examiner la configuration du registre de la source d'événements

Vérifiez le registre Windows pour identifier les enregistrements de sources d'événements manquants ou corrompus qui pourraient causer des événements de source inconnue.

  1. Ouvrez l'Éditeur du Registre en appuyant sur Win + R, en tapant regedit, et en appuyant sur Entrée
  2. Accédez à HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog
  3. Développez les clés Application et Système pour voir les sources d'événements enregistrées
  4. Cherchez les applications récemment installées qui pourraient manquer d'un enregistrement correct de la source d'événements
  5. Utilisez PowerShell pour énumérer les sources d'événements enregistrées :
Get-ChildItem "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\Application" | Select-Object Name
  1. Comparez les applications installées avec les sources d'événements enregistrées :
Get-WmiObject -Class Win32_Product | Select-Object Name, Version | Sort-Object Name
  1. Vérifiez les entrées de registre orphelines ou corrompues en examinant les clés de source d'événements pour les valeurs requises
  2. Si vous identifiez une application spécifique causant des événements de source inconnue, vérifiez si la réinstallation de l'application résout le problème
Avertissement : Ne modifiez pas manuellement les entrées de registre de source d'événements à moins d'avoir des instructions spécifiques du fournisseur de l'application. Des modifications incorrectes peuvent entraîner des échecs de journalisation des applications.
04

Surveiller l'activité des processus pendant la génération d'événements

Utilisez Process Monitor et les outils de surveillance du système pour identifier quels processus génèrent des événements de source inconnue.

  1. Téléchargez et exécutez Process Monitor (ProcMon) de Microsoft Sysinternals
  2. Configurez les filtres de ProcMon pour surveiller l'accès au registre aux clés de journal des événements :
  3. Définissez le filtre Path sur *EventLog*
  4. Définissez Process and Thread Activity pour afficher la création de processus
  5. Effacez les événements existants et commencez la surveillance
  6. Attendez que les événements de source inconnue avec l'ID d'événement 1 se produisent, ou déclenchez-les en démarrant des applications suspectes
  7. Dans ProcMon, recherchez les processus accédant à HKLM\SYSTEM\CurrentControlSet\Services\EventLog
  8. Faites une référence croisée du moment de l'accès au registre avec les horodatages de l'ID d'événement 1
  9. Utilisez Windows Performance Toolkit (WPT) pour une analyse avancée :
# Activez la traçabilité ETW pour le service de journal des événements
wevtutil sl Microsoft-Windows-Eventlog/Analytic /e:true
wevtutil sl Microsoft-Windows-Eventlog/Debug /e:true
  1. Surveillez les journaux analytiques pour une activité de journalisation des événements détaillée :
Get-WinEvent -LogName "Microsoft-Windows-Eventlog/Analytic" -MaxEvents 50 | Where-Object {$_.TimeCreated -gt (Get-Date).AddMinutes(-10)}
  1. Désactivez les journaux analytiques après l'enquête pour éviter la croissance des journaux :
wevtutil sl Microsoft-Windows-Eventlog/Analytic /e:false
wevtutil sl Microsoft-Windows-Eventlog/Debug /e:false
05

Reconstruire la configuration du service de journal des événements

Si les événements de source inconnue avec l'ID d'événement 1 persistent et indiquent des problèmes de service du journal des événements, reconstruisez la configuration du service.

  1. Créez une sauvegarde de la configuration actuelle du registre du journal des événements :
reg export "HKLM\SYSTEM\CurrentControlSet\Services\EventLog" "C:\Temp\EventLog_Backup.reg"
  1. Arrêtez le service du journal des événements Windows :
Stop-Service -Name "EventLog" -Force
  1. Effacez tous les fichiers de journal d'événements corrompus (sauvegardez d'abord) :
# Sauvegarder les journaux existants
Copy-Item "C:\Windows\System32\winevt\Logs\*.evtx" "C:\Temp\EventLogs_Backup\" -Recurse

# Effacer les journaux système et d'application
wevtutil cl System
wevtutil cl Application
  1. Redémarrez le service du journal des événements :
Start-Service -Name "EventLog"
  1. Réenregistrez les sources d'événements courantes à l'aide de PowerShell :
# Réenregistrer les sources d'événements du .NET Framework
$frameworkPath = [System.Runtime.InteropServices.RuntimeEnvironment]::GetRuntimeDirectory()
& "$frameworkPath\InstallUtil.exe" /LogToConsole=false /LogFile= "$frameworkPath\System.dll"
  1. Exécutez le vérificateur de fichiers système pour réparer les fichiers système corrompus :
sfc /scannow
  1. Utilisez DISM pour réparer l'image Windows si SFC trouve des problèmes :
DISM /Online /Cleanup-Image /RestoreHealth
  1. Surveillez le système pendant 24 à 48 heures pour vérifier que les entrées d'ID d'événement 1 de source inconnue sont résolues
  2. Si les problèmes persistent, envisagez d'exécuter Windows Update pour vous assurer que tous les composants système sont à jour
Avertissement : Effacer les journaux d'événements supprime les données historiques. Assurez-vous d'avoir des sauvegardes si l'historique des journaux est important pour la conformité ou le dépannage.

Aperçu

L'ID d'événement 1 avec une source "Inconnue" est l'un des événements les plus génériques que vous rencontrerez dans le Visualiseur d'événements Windows. Cet événement se déclenche lorsque le service de journal des événements Windows reçoit une demande de journalisation mais ne peut pas identifier correctement la source d'origine ou lorsque des applications utilisent une journalisation d'événements basique sans enregistrer une source d'événement appropriée. Contrairement aux événements système spécifiques qui ont des sources bien définies comme "Service Control Manager" ou "Kernel-General", l'ID d'événement 1 de source inconnue sert de fourre-tout pour les activités système diverses.

Cet événement apparaît couramment lors du démarrage du système, des installations d'applications, ou lorsque des applications héritées tentent d'écrire dans le journal des événements sans enregistrement approprié. Bien que généralement informatifs, ces événements peuvent parfois indiquer des problèmes de configuration, des enregistrements de source d'événement manquants, ou des problèmes avec le service de journal des événements lui-même. L'événement apparaît sur toutes les versions de Windows, de Windows 10 aux dernières versions de Windows Server 2025, en faisant un élément constant dans l'architecture de journalisation de Windows.

Comprendre l'ID d'événement 1 de source inconnue nécessite d'examiner les détails de l'événement, le moment et les activités système associées pour déterminer si une action est nécessaire ou si l'événement représente un comportement normal du système.

Questions Fréquentes

Que signifie réellement l'ID d'événement 1 provenant d'une source inconnue ?+
L'ID d'événement 1 provenant d'une source inconnue indique que Windows a reçu une demande pour enregistrer un événement mais n'a pas pu identifier l'application ou le service d'origine. Cela se produit lorsque des applications écrivent dans le journal des événements sans enregistrement de source approprié, ou lorsque le service de journal des événements ne peut pas associer la demande de journalisation à un fournisseur connu dans le registre. L'événement lui-même est généralement informatif et représente le mécanisme de secours de Windows pour éviter la perte d'événements, mais il peut indiquer des problèmes de configuration avec des applications ou services spécifiques.
Devrais-je m'inquiéter de l'apparition fréquente des événements d'ID d'événement 1 provenant d'une source inconnue ?+
Les événements de source inconnue avec l'ID d'événement 1 occasionnels sont normaux, surtout lors du démarrage du système ou de l'installation d'applications. Cependant, des occurrences fréquentes peuvent indiquer des problèmes sous-jacents tels que des applications mal installées, des enregistrements de source d'événements corrompus ou des problèmes de service du journal des événements. Si vous voyez des dizaines de ces événements quotidiennement à partir de la même période ou du même schéma, examinez les détails de l'événement pour identifier l'application source et déterminer si une réinstallation ou des modifications de configuration sont nécessaires.
Comment puis-je identifier quelle application cause les événements d'ID d'événement 1 Source inconnue ?+
La meilleure approche consiste à examiner le champ de description de l'événement, qui contient souvent le nom réel de l'application, des informations sur le processus ou des détails sur l'erreur malgré la désignation générique de l'ID d'événement 1. Utilisez Process Monitor pour corréler l'accès au registre aux clés EventLog avec les horodatages des événements, ou activez la journalisation analytique du journal des événements pour capturer des informations détaillées sur les demandes de journalisation. Vous pouvez également utiliser PowerShell pour filtrer les événements par période et rechercher des motifs dans le contenu du message qui révèlent l'application d'origine.
Les événements de source inconnue avec l'ID d'événement 1 peuvent-ils affecter les performances du système ?+
ID d'événement individuel 1 Les événements de source inconnue ont un impact minimal sur les performances puisqu'ils ne sont que des entrées de journal. Cependant, si une application génère des milliers de ces événements en raison d'une boucle de journalisation ou d'une mauvaise configuration, cela peut consommer de l'espace disque et potentiellement ralentir le service de journal des événements. Surveillez la fréquence des événements en utilisant le filtrage PowerShell, et si vous découvrez une génération excessive d'événements, identifiez et corrigez l'application source pour éviter la croissance des fichiers journaux et maintenir des performances système optimales.
Comment puis-je empêcher les applications de générer des événements d'ID d'événement 1 source inconnue ?+
La prévention la plus efficace consiste à s'assurer que les applications enregistrent correctement leurs sources d'événements lors de l'installation. Pour les applications que vous contrôlez, vérifiez qu'elles utilisent des sources d'événements enregistrées lors de l'écriture dans le journal des événements Windows. Pour les applications tierces générant des événements de source inconnue, essayez de les réinstaller pour garantir un enregistrement correct des sources d'événements, ou contactez le fournisseur pour obtenir des versions mises à jour. Vous pouvez également enregistrer manuellement des sources d'événements en utilisant la cmdlet New-EventLog de PowerShell si vous avez des exigences spécifiques pour l'application, mais cela doit être fait avec précaution et généralement uniquement pour les applications que vous développez ou gérez directement.
Documentation

Références (2)

1
Microsoft Learn - Windows Event LoggingOfficial documentation covering Windows Event Logging architecture, event sources, and logging APIshttps://learn.microsoft.com/en-us/windows/win32/eventlog/event-logging
2
Microsoft Docs - Event Log ServiceTechnical reference for the Windows Event Log service and its registry configurationhttps://learn.microsoft.com/en-us/windows/win32/eventlog/event-log-service
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#windows-events#event-id-1#event-logging

Événements Windows associés

Windows Event Viewer displaying system error logs on a professional monitoring dashboard
Event 16389
Unknown
Windows EventError

ID d'événement Windows 16389 – Inconnu : Échec de l'initialisation de l'application ou du service

L'ID d'événement 16389 indique qu'une application ou un service n'a pas réussi à s'initialiser correctement au démarrage, souvent en raison de problèmes de dépendance, de fichiers corrompus ou de permissions insuffisantes.

18 mars12 min
System administrator analyzing Windows Event Viewer logs on multiple monitoring screens
Event 10000
Unknown
Windows EventError

ID d'événement Windows 10000 – Inconnu : Événement d'erreur générique d'application ou de système

L'ID d'événement 10000 représente une condition d'erreur générique provenant de diverses applications et services Windows. Cet événement générique nécessite une enquête détaillée pour identifier le composant spécifique et la cause première.

18 mars9 min
Windows Event Viewer showing system event logs on a monitoring dashboard
Event 302
Unknown
Windows EventInformation

ID d'événement Windows 302 – Inconnu : Événement d'initialisation du processus ou du service système

L'ID d'événement 302 indique un événement d'initialisation de processus ou de service système qui se produit lors du démarrage de Windows ou des opérations de gestion des services, généralement enregistré lorsque les composants principaux du système commencent leur séquence d'initialisation.

18 mars9 min
Windows Performance Monitor dashboard displaying system performance counters and monitoring graphs
Event 301
Unknown
Windows EventError

ID d'événement Windows 301 – Inconnu : Erreur de collecte des compteurs de performance système

L'ID d'événement 301 indique une défaillance de la collecte des compteurs de performance ou une corruption du registre affectant les capacités de surveillance du système et la collecte des données de performance.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...