ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Event Viewer displaying Event ID 1013 system uptime logs on a professional monitoring dashboard
Event ID 1013InformationKernel-GeneralWindows

ID d'événement Windows 1013 – Kernel-General : Informations sur le temps de fonctionnement du système

L'ID d'événement 1013 enregistre les informations de disponibilité du système lorsque Windows démarre ou reprend après une mise en veille prolongée, fournissant aux administrateurs le suivi du temps de démarrage et des métriques de disponibilité du système.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 20269 min de lecture 0
Event ID 1013Kernel-General 5 méthodes 9 min
Référence événement

Signification de cet événement

L'ID d'événement Windows 1013 est généré par le fournisseur Kernel-General dans le cadre du processus standard de journalisation du démarrage. Cet événement se produit lors des dernières étapes de l'initialisation du système lorsque le noyau a chargé avec succès les composants principaux et est prêt à commencer les opérations normales. Les données de l'événement incluent des horodatages précis, des calculs de temps de fonctionnement de la session précédente et des informations contextuelles sur la raison pour laquelle le système a été redémarré.

La structure de l'événement contient plusieurs points de données clés : l'heure actuelle de démarrage, la durée pendant laquelle le système fonctionnait avant le dernier arrêt, la raison de l'arrêt (si disponible) et divers identifiants système. Ces informations s'avèrent inestimables pour les administrateurs gérant des environnements d'entreprise où la disponibilité du système impacte directement les opérations commerciales.

Dans les environnements Windows Server, l'ID d'événement 1013 devient particulièrement important pour suivre les redémarrages planifiés par rapport aux redémarrages non planifiés. L'événement aide à distinguer entre les fenêtres de maintenance, les mises à jour automatiques et les pannes système inattendues. Les versions modernes de Windows en 2026 ont amélioré cet événement avec des données de télémétrie supplémentaires, y compris des métriques de performance de démarrage et des temps d'initialisation du matériel.

L'événement se déclenche de manière cohérente sur toutes les versions de Windows mais peut contenir des champs de données légèrement différents selon la version spécifique et la configuration matérielle. Les machines virtuelles, les serveurs physiques et les stations de travail génèrent tous cet événement, en faisant un point de référence universel pour le suivi du cycle de vie du système.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Démarrage normal du système après un arrêt planifié ou un redémarrage
  • Récupération du système après une mise en veille prolongée ou un mode veille
  • Redémarrage automatique après l'installation de Windows Update
  • Redémarrage manuel initié par les administrateurs ou les utilisateurs
  • Redémarrage du système après récupération d'une panne de courant
  • Redémarrage déclenché par des installations d'applications nécessitant un redémarrage
  • Récupération après un crash système ou des événements d'écran bleu
  • Redémarrage planifié à partir de scripts de maintenance ou de la stratégie de groupe
Méthodes de résolution

Étapes de dépannage

01

Afficher les détails de l'événement dans le Visualiseur d'événements

Accédez aux informations de base sur l'événement via l'interface du Visualiseur d'événements Windows :

  1. Appuyez sur Windows + R, tapez eventvwr.msc, et appuyez sur Entrée
  2. Accédez à Journaux WindowsSystème
  3. Filtrez le journal en cliquant sur Filtrer le journal actuel dans le volet Actions
  4. Entrez 1013 dans le champ ID d'événement et cliquez sur OK
  5. Double-cliquez sur n'importe quelle entrée d'ID d'événement 1013 pour voir des informations détaillées
  6. Consultez l'onglet Général pour les données de disponibilité de base et les horodatages
  7. Vérifiez l'onglet Détails pour les données XML brutes contenant des métriques supplémentaires
Astuce pro : La description de l'événement montre la disponibilité du système dans un format lisible par l'homme, tandis que les données XML contiennent des valeurs précises en millisecondes à des fins de script.
02

Interroger les événements avec PowerShell

Utilisez PowerShell pour récupérer et analyser les données de l'ID d'événement 1013 de manière programmatique :

# Obtenez les 10 entrées les plus récentes de l'ID d'événement 1013
Get-WinEvent -FilterHashtable @{LogName='System'; Id=1013} -MaxEvents 10

# Extraire des informations détaillées avec un formatage personnalisé
Get-WinEvent -FilterHashtable @{LogName='System'; Id=1013} -MaxEvents 5 | 
  Select-Object TimeCreated, Id, LevelDisplayName, Message | 
  Format-Table -AutoSize

# Obtenez les événements des 30 derniers jours
$StartDate = (Get-Date).AddDays(-30)
Get-WinEvent -FilterHashtable @{LogName='System'; Id=1013; StartTime=$StartDate}

# Exporter les données de disponibilité en CSV pour analyse
Get-WinEvent -FilterHashtable @{LogName='System'; Id=1013} -MaxEvents 50 | 
  Select-Object TimeCreated, Message | 
  Export-Csv -Path "C:\temp\uptime_events.csv" -NoTypeInformation

Pour une analyse avancée, analysez les données XML pour extraire des valeurs de disponibilité spécifiques :

# Analyser les données XML pour des informations précises sur la disponibilité
$Events = Get-WinEvent -FilterHashtable @{LogName='System'; Id=1013} -MaxEvents 10
foreach ($Event in $Events) {
    $XML = [xml]$Event.ToXml()
    $UptimeData = $XML.Event.EventData.Data
    Write-Host "Heure de démarrage : $($Event.TimeCreated)"
    Write-Host "Données de disponibilité : $($Event.Message)"
    Write-Host "---"
}
03

Créer une surveillance automatisée du temps de fonctionnement

Mettre en œuvre une surveillance automatisée pour suivre les modèles de disponibilité du système et générer des rapports :

# Créer un script de surveillance de disponibilité complet
function Get-SystemUptimeReport {
    param(
        [int]$Days = 30
    )
    
    $StartDate = (Get-Date).AddDays(-$Days)
    $UptimeEvents = Get-WinEvent -FilterHashtable @{
        LogName='System'
        Id=1013
        StartTime=$StartDate
    } -ErrorAction SilentlyContinue
    
    if ($UptimeEvents) {
        $Report = @()
        foreach ($Event in $UptimeEvents) {
            $Report += [PSCustomObject]@{
                BootTime = $Event.TimeCreated
                Message = $Event.Message
                DayOfWeek = $Event.TimeCreated.DayOfWeek
            }
        }
        return $Report | Sort-Object BootTime -Descending
    }
}

# Générer et afficher le rapport
$UptimeReport = Get-SystemUptimeReport -Days 60
$UptimeReport | Format-Table -AutoSize

# Calculer la disponibilité moyenne entre les redémarrages
if ($UptimeReport.Count -gt 1) {
    $TimeDifferences = @()
    for ($i = 0; $i -lt ($UptimeReport.Count - 1); $i++) {
        $Diff = $UptimeReport[$i].BootTime - $UptimeReport[$i+1].BootTime
        $TimeDifferences += $Diff.TotalHours
    }
    $AverageUptime = ($TimeDifferences | Measure-Object -Average).Average
    Write-Host "Disponibilité moyenne entre les redémarrages : $([math]::Round($AverageUptime, 2)) heures"
}
Conseil pro : Planifiez ce script comme une tâche quotidienne pour générer automatiquement des rapports de disponibilité et identifier les systèmes avec des modèles de redémarrage fréquents.
04

Corréler avec les événements d'arrêt

Combinez les données de l'ID d'événement 1013 avec les événements d'arrêt (1074, 6006, 6008) pour un suivi complet du cycle de vie du système :

# Analyse complète du redémarrage du système
function Get-SystemRestartAnalysis {
    param([int]$Days = 14)
    
    $StartDate = (Get-Date).AddDays(-$Days)
    
    # Obtenez les événements de démarrage (1013)
    $StartupEvents = Get-WinEvent -FilterHashtable @{
        LogName='System'
        Id=1013
        StartTime=$StartDate
    } -ErrorAction SilentlyContinue
    
    # Obtenez les événements d'arrêt (1074, 6006, 6008)
    $ShutdownEvents = Get-WinEvent -FilterHashtable @{
        LogName='System'
        Id=1074,6006,6008
        StartTime=$StartDate
    } -ErrorAction SilentlyContinue
    
    # Combinez et triez tous les événements
    $AllEvents = @()
    
    foreach ($Event in $StartupEvents) {
        $AllEvents += [PSCustomObject]@{
            Time = $Event.TimeCreated
            Type = "Startup"
            EventId = $Event.Id
            Message = $Event.Message
        }
    }
    
    foreach ($Event in $ShutdownEvents) {
        $AllEvents += [PSCustomObject]@{
            Time = $Event.TimeCreated
            Type = "Shutdown"
            EventId = $Event.Id
            Message = $Event.Message
        }
    }
    
    return $AllEvents | Sort-Object Time -Descending
}

# Exécutez l'analyse
$RestartAnalysis = Get-SystemRestartAnalysis -Days 30
$RestartAnalysis | Format-Table Time, Type, EventId, @{Name="Message";Expression={$_.Message.Substring(0,[Math]::Min(80,$_.Message.Length))}} -AutoSize

Créez une tâche planifiée pour exécuter cette analyse chaque semaine :

# Enregistrez une tâche planifiée pour l'analyse hebdomadaire des redémarrages
$Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\RestartAnalysis.ps1"
$Trigger = New-ScheduledTaskTrigger -Weekly -DaysOfWeek Monday -At 9:00AM
$Settings = New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries -DontStopIfGoingOnBatteries
Register-ScheduledTask -TaskName "Weekly Restart Analysis" -Action $Action -Trigger $Trigger -Settings $Settings -Description "Analyser les modèles de redémarrage du système en utilisant l'ID d'événement 1013"
05

Analyse avancée des journaux d'événements et alertes

Implémentez une surveillance au niveau de l'entreprise avec des alertes personnalisées pour les modèles de redémarrage anormaux :

# Script de surveillance avancée avec capacités d'alerte
function Monitor-SystemUptimePatterns {
    param(
        [int]$AlertThresholdHours = 2,
        [string]$SMTPServer = "mail.company.com",
        [string]$AlertEmail = "admin@company.com"
    )
    
    # Obtenez les événements de démarrage récents
    $RecentStartups = Get-WinEvent -FilterHashtable @{
        LogName='System'
        Id=1013
        StartTime=(Get-Date).AddHours(-24)
    } -ErrorAction SilentlyContinue
    
    if ($RecentStartups.Count -gt 3) {
        # Détections de multiples redémarrages
        $AlertMessage = @"
Multiples redémarrages système détectés sur $($env:COMPUTERNAME):

Heures de redémarrage :
$($RecentStartups | ForEach-Object { "- $($_.TimeCreated)" } | Out-String)

Cela peut indiquer une instabilité du système ou une activité de maintenance.
"@
        
        # Envoyer un email d'alerte (configurer les paramètres SMTP si nécessaire)
        try {
            Send-MailMessage -To $AlertEmail -From "monitoring@company.com" -Subject "Multiples Redémarrages Détectés - $($env:COMPUTERNAME)" -Body $AlertMessage -SmtpServer $SMTPServer
            Write-Host "Alerte envoyée pour multiples redémarrages" -ForegroundColor Yellow
        } catch {
            Write-Warning "Échec de l'envoi de l'email d'alerte : $($_.Exception.Message)"
        }
    }
    
    # Vérifiez les redémarrages inattendus (ID d'événement 6008 - arrêt inattendu)
    $UnexpectedShutdowns = Get-WinEvent -FilterHashtable @{
        LogName='System'
        Id=6008
        StartTime=(Get-Date).AddHours(-24)
    } -ErrorAction SilentlyContinue
    
    if ($UnexpectedShutdowns) {
        Write-Warning "Arrêts inattendus détectés au cours des dernières 24 heures : $($UnexpectedShutdowns.Count)"
        $UnexpectedShutdowns | ForEach-Object {
            Write-Host "Arrêt inattendu à : $($_.TimeCreated)" -ForegroundColor Red
        }
    }
}

# Créez une vue personnalisée du journal des événements Windows pour l'ID d'événement 1013
$CustomViewXML = @'

  
    
  

'@

# Enregistrez la vue personnalisée dans un fichier
$CustomViewXML | Out-File -FilePath "$env:TEMP\Event1013_CustomView.xml" -Encoding UTF8
Write-Host "XML de vue personnalisée enregistré dans : $env:TEMP\Event1013_CustomView.xml"
Write-Host "Importez ce fichier dans le Visualiseur d'événements sous Vues Personnalisées pour un filtrage facile de l'ID d'événement 1013"

# Exécutez la fonction de surveillance
Monitor-SystemUptimePatterns
Avertissement : Configurez les paramètres SMTP et les adresses email avant de mettre en œuvre l'alerte automatisée dans les environnements de production.

Configurez la corrélation du Windows Performance Toolkit (WPT) :

# Corréler l'ID d'événement 1013 avec les données de performance de démarrage
# Nécessite l'installation du Windows Performance Toolkit
function Get-BootPerformanceCorrelation {
    $BootEvents = Get-WinEvent -FilterHashtable @{LogName='System'; Id=1013} -MaxEvents 5
    
    foreach ($Event in $BootEvents) {
        $BootTime = $Event.TimeCreated
        Write-Host "Analyse du démarrage à : $BootTime" -ForegroundColor Green
        
        # Vérifiez les événements de performance liés autour de l'heure de démarrage
        $StartWindow = $BootTime.AddMinutes(-2)
        $EndWindow = $BootTime.AddMinutes(10)
        
        $PerfEvents = Get-WinEvent -FilterHashtable @{
            LogName='Microsoft-Windows-Diagnostics-Performance/Operational'
            StartTime=$StartWindow
            EndTime=$EndWindow
        } -ErrorAction SilentlyContinue
        
        if ($PerfEvents) {
            Write-Host "  Trouvé $($PerfEvents.Count) événements de performance pendant la fenêtre de démarrage"
        }
    }
}

Get-BootPerformanceCorrelation

Aperçu

L'ID d'événement 1013 de la source Kernel-General se déclenche lors du démarrage du système et fournit des informations critiques sur le temps de fonctionnement des systèmes Windows. Cet événement informatif apparaît dans le journal Système chaque fois que Windows termine sa séquence de démarrage ou reprend après une hibernation. L'événement contient des données précieuses sur le temps de démarrage du système, la durée de fonctionnement précédente et les codes de raison d'arrêt qui aident les administrateurs à suivre la disponibilité du système et à identifier les schémas de comportement de redémarrage.

Contrairement à de nombreux événements du noyau qui indiquent des problèmes, l'ID d'événement 1013 représente le fonctionnement normal du système. Il sert de marqueur de temps pour indiquer quand le système est devenu opérationnel et inclut des métriques sur le temps d'exécution de la session précédente. Cela le rend particulièrement précieux pour la planification de la capacité, le suivi des SLA et le dépannage des problèmes intermittents qui correspondent aux redémarrages du système.

L'événement apparaît généralement dans les premières minutes du démarrage du système, après que les composants principaux du noyau ont été initialisés mais avant que tous les services ne soient pleinement opérationnels. Les administrateurs système s'appuient sur cet événement pour les scripts de surveillance automatisée, les rapports de temps de fonctionnement et l'analyse médico-légale des schémas de redémarrage du système.

Questions Fréquentes

Que signifie l'ID d'événement 1013 et pourquoi apparaît-il dans mon journal système ?+
L'ID d'événement 1013 est un événement informatif normal généré par le fournisseur Kernel-General lors du démarrage du système. Il enregistre des informations sur le temps de fonctionnement et le statut de fin de démarrage, apparaissant chaque fois que Windows démarre ou reprend avec succès après une hibernation. Cet événement n'est pas une erreur - il fait partie de la journalisation standard de Windows qui aide les administrateurs à suivre la disponibilité du système et les modèles de démarrage. L'événement contient des données précieuses sur la durée de fonctionnement de la session précédente et fournit un horodatage indiquant quand le système est devenu opérationnel.
Comment puis-je utiliser l'ID d'événement 1013 pour surveiller le temps de fonctionnement et la disponibilité du système ?+
L'ID d'événement 1013 sert d'excellent indicateur pour le suivi des redémarrages du système et la surveillance du temps de fonctionnement. Vous pouvez interroger ces événements à l'aide de PowerShell pour calculer le temps de fonctionnement moyen entre les redémarrages, identifier les modèles de redémarrage du système et générer des rapports de disponibilité. En analysant la fréquence et le moment des occurrences de l'ID d'événement 1013, vous pouvez déterminer si un système redémarre plus fréquemment que prévu, suivre les fenêtres de maintenance et corréler les modèles de redémarrage avec d'autres événements système. Ces données sont particulièrement précieuses pour les rapports SLA et la planification de la capacité dans les environnements d'entreprise.
L'ID d'événement 1013 peut-il m'aider à résoudre les problèmes de stabilité du système ?+
Oui, l'ID d'événement 1013 est précieux pour le dépannage de la stabilité du système lorsqu'il est utilisé en conjonction avec d'autres événements. Bien que l'événement lui-même indique un démarrage réussi, analyser sa fréquence peut révéler des problèmes de stabilité. Si vous voyez l'ID d'événement 1013 se produire plusieurs fois par jour de manière inattendue, cela suggère que le système redémarre fréquemment en raison de plantages, de problèmes d'alimentation ou d'autres problèmes. Corrélez ces événements avec les événements d'arrêt (1074, 6006, 6008) et les événements d'erreur pour obtenir une image complète du comportement du système. Les données de temps de fonctionnement dans l'ID d'événement 1013 peuvent également aider à identifier si les redémarrages sont planifiés ou inattendus.
Quelles informations sont contenues dans le message et les données XML de l'ID d'événement 1013 ?+
L'ID d'événement 1013 contient plusieurs informations clés : l'horodatage actuel du démarrage, la durée pendant laquelle le système fonctionnait avant le dernier arrêt, et des données contextuelles sur le redémarrage. Le message lisible par l'homme montre le temps de fonctionnement dans un format convivial, tandis que les données XML contiennent des valeurs précises adaptées au scripting et à l'automatisation. Dans les mises à jour de Windows Server 2025 et Windows 11 2026, des données de télémétrie supplémentaires incluent des métriques de performance de démarrage, des temps d'initialisation du matériel, et des codes de raison d'arrêt améliorés. Cet ensemble de données riche rend l'ID d'événement 1013 précieux pour l'analyse manuelle et les systèmes de surveillance automatisés.
Comment configurer la surveillance et l'alerte automatisées basées sur les modèles d'ID d'événement 1013 ?+
Pour mettre en œuvre une surveillance automatisée pour l'ID d'événement 1013, créez des scripts PowerShell qui interrogent le journal Système pour ces événements et analysent leur fréquence et leur timing. Configurez des tâches planifiées pour exécuter ces scripts quotidiennement ou hebdomadairement, en vérifiant les modèles de redémarrage anormaux tels que plusieurs démarrages dans de courts délais. Configurez des alertes par e-mail lorsque le script détecte plus qu'un nombre seuil de redémarrages (par exemple, plus de 3 en 24 heures). Vous pouvez également intégrer avec des systèmes de surveillance comme SCOM ou des outils tiers en exportant les données de l'ID d'événement 1013 vers des fichiers CSV ou des bases de données. Pour les environnements d'entreprise, envisagez de créer des filtres personnalisés dans l'Observateur d'événements et de transférer ces événements vers des systèmes de journalisation centralisés pour le suivi de la disponibilité à l'échelle de l'organisation.
Documentation

Références (2)

1
Microsoft Learn - Windows Event LoggingOfficial documentation covering Windows Event Logging architecture, including kernel events and system startup logging.https://learn.microsoft.com/en-us/windows/win32/eventlog/event-logging
2
Windows Server Event Log ReferenceComprehensive guide to Windows event log management tools and command-line utilities for event analysis.https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/wevtutil
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#event-id-1013#system-uptime#boot-monitoring

Événements Windows associés

Windows Event Viewer displaying system time change events on a professional monitoring dashboard
Event 16388
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 16388 – Microsoft-Windows-Kernel-General : Notification de changement de l'heure système

L'ID d'événement 16388 se déclenche lorsque Windows détecte un changement de l'heure système, soit par un ajustement manuel, soit par une synchronisation automatique. Critique pour l'audit de sécurité et le dépannage des problèmes liés au temps.

18 mars9 min
Windows Event Viewer showing system event logs on a monitoring dashboard
Event 16384
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 16384 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 16384 se déclenche lorsque Windows détecte un changement de l'heure système, soit manuel, soit automatique. Critique pour l'audit de sécurité et le dépannage des problèmes de synchronisation de l'heure dans les environnements de domaine.

18 mars9 min
Windows Event Viewer displaying system time change events on a monitoring dashboard
Event 11728
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 11728 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 11728 se déclenche lorsque Windows détecte un changement de l'heure système, généralement à partir de services de synchronisation de l'heure, d'ajustements manuels ou de corrections de dérive de l'horloge matérielle.

18 mars12 min
Windows Event Viewer displaying system time change events on a professional monitoring dashboard
Event 11724
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 11724 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 11724 indique que le noyau Windows a détecté un changement de l'heure système, généralement déclenché par des services de synchronisation de l'heure, des ajustements manuels ou des corrections de dérive de l'horloge matérielle.

18 mars9 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...