ID d'événement Windows 10001 – WinInit : Arrêt du système initié par l'utilisateur

Commencez par examiner les entrées spécifiques de l'ID d'événement 10001 pour comprendre les modèles et les sources d'arrêt.

1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
2. Accédez à Journaux Windows → Système
3. Dans le volet Actions, cliquez sur Filtrer le journal actuel
4. Entrez 10001 dans le champ ID d'événements et cliquez sur OK
5. Double-cliquez sur n'importe quelle entrée d'ID d'événement 10001 pour voir des informations détaillées
6. Examinez l'onglet Général pour l'horodatage, le contexte utilisateur et les informations sur le processus
7. Vérifiez l'onglet Détails pour des données XML supplémentaires sur la source de l'arrêt

Utilisez PowerShell pour analyser de manière programmatique les occurrences de l'ID d'événement 10001 et extraire des informations détaillées.

1. Ouvrez PowerShell en tant qu'administrateur
2. Exécutez la commande suivante pour récupérer les entrées récentes de l'ID d'événement 10001 :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=10001} -MaxEvents 20 | Format-Table TimeCreated, Id, LevelDisplayName, Message -AutoSize

3. Pour une analyse plus détaillée, utilisez cette commande pour exporter les événements en CSV :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=10001} -MaxEvents 100 | Select-Object TimeCreated, Id, LevelDisplayName, UserId, ProcessId, @{Name='Message';Expression={$_.Message}} | Export-Csv -Path "C:\Temp\Event10001.csv" -NoTypeInformation

4. Pour analyser les événements des 7 derniers jours :

$StartTime = (Get-Date).AddDays(-7)
Get-WinEvent -FilterHashtable @{LogName='System'; Id=10001; StartTime=$StartTime} | Group-Object {$_.TimeCreated.Date} | Sort-Object Name

Activez la journalisation améliorée pour capturer des informations plus détaillées sur les événements d'arrêt et leurs sources.

1. Ouvrez Éditeur de stratégie de groupe locale en exécutant gpedit.msc
2. Accédez à Configuration de l'ordinateur → Paramètres Windows → Paramètres de sécurité → Configuration avancée de la stratégie d'audit
3. Développez Stratégies d'audit système → Système
4. Double-cliquez sur Audit de l'intégrité du système
5. Cochez les options Succès et Échec
6. Cliquez sur OK et fermez l'Éditeur de stratégie de groupe
7. Ouvrez l'invite de commande en tant qu'administrateur et exécutez :

gpupdate /force

8. Pour vérifier que la stratégie est active, exécutez :

auditpol /get /subcategory:"System Integrity"

Créez une solution de surveillance PowerShell pour suivre et alerter sur les modèles d'ID d'événement 10001.

1. Créez un nouveau fichier de script PowerShell : C:\Scripts\ShutdownMonitor.ps1
2. Ajoutez le code de surveillance suivant :

# Script de surveillance des arrêts
$LogName = "System"
$EventID = 10001
$Hours = 24

$StartTime = (Get-Date).AddHours(-$Hours)
$Events = Get-WinEvent -FilterHashtable @{LogName=$LogName; Id=$EventID; StartTime=$StartTime} -ErrorAction SilentlyContinue

if ($Events) {
    $EventCount = $Events.Count
    $LatestEvent = $Events[0]
    
    Write-Host "Trouvé $EventCount événements d'arrêt dans les dernières $Hours heures"
    Write-Host "Dernier arrêt : $($LatestEvent.TimeCreated)"
    
    # Optionnel : Envoyer une alerte par email si trop d'arrêts
    if ($EventCount -gt 5) {
        Write-Warning "Activité excessive d'arrêt détectée !"
    }
} else {
    Write-Host "Aucun événement d'arrêt trouvé dans les dernières $Hours heures"
}

3. Créez une tâche planifiée pour exécuter ce script :

$Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\ShutdownMonitor.ps1"
$Trigger = New-ScheduledTaskTrigger -Daily -At "09:00AM"
$Settings = New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries -DontStopIfGoingOnBatteries
Register-ScheduledTask -TaskName "ShutdownMonitor" -Action $Action -Trigger $Trigger -Settings $Settings -User "SYSTEM"

Effectuez une analyse complète en corrélant l'ID d'événement 10001 avec des événements connexes à travers plusieurs sources de journaux.

1. Ouvrez PowerShell en tant qu'administrateur et créez un script de corrélation :

# Corrélation multi-journaux pour l'analyse des arrêts
$TimeWindow = (Get-Date).AddHours(-2)

# Obtenez les événements d'arrêt
$ShutdownEvents = Get-WinEvent -FilterHashtable @{LogName='System'; Id=10001; StartTime=$TimeWindow}

# Obtenez les événements de sécurité connexes (connexion/déconnexion)
$SecurityEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=@(4624,4634); StartTime=$TimeWindow} -ErrorAction SilentlyContinue

# Obtenez les erreurs d'application proches de l'heure d'arrêt
$AppErrors = Get-WinEvent -FilterHashtable @{LogName='Application'; Level=2; StartTime=$TimeWindow} -ErrorAction SilentlyContinue

foreach ($shutdown in $ShutdownEvents) {
    Write-Host "\n=== Événement d'arrêt à $($shutdown.TimeCreated) ==="
    
    # Trouver les événements de sécurité dans les 5 minutes
    $RelatedSecurity = $SecurityEvents | Where-Object { 
        [Math]::Abs(($_.TimeCreated - $shutdown.TimeCreated).TotalMinutes) -lt 5 
    }
    
    if ($RelatedSecurity) {
        Write-Host "Événements de sécurité connexes :"
        $RelatedSecurity | Format-Table TimeCreated, Id, Message -AutoSize
    }
    
    # Trouver les erreurs d'application dans les 10 minutes avant l'arrêt
    $RelatedErrors = $AppErrors | Where-Object {
        ($shutdown.TimeCreated - $_.TimeCreated).TotalMinutes -gt 0 -and
        ($shutdown.TimeCreated - $_.TimeCreated).TotalMinutes -lt 10
    }
    
    if ($RelatedErrors) {
        Write-Host "Erreurs d'application avant l'arrêt :"
        $RelatedErrors | Format-Table TimeCreated, ProviderName, Id, LevelDisplayName -AutoSize
    }
}

2. Pour une enquête basée sur le registre, vérifiez les codes de raison d'arrêt :

Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Reliability" -Name "LastComputerName" -ErrorAction SilentlyContinue