Windows Event Viewer displaying MSI installer events on a system administrator's dual monitor setup

Event ID 1022InformationMsiInstallerWindows

ID d'événement Windows 1022 – MsiInstaller : Événement de reconfiguration de Windows Installer

L'ID d'événement 1022 de MsiInstaller indique que Windows Installer a commencé à reconfigurer un produit installé, généralement déclenché par des opérations de réparation, des modifications de fonctionnalités ou des tâches de maintenance automatique.

Emanuel DE ALMEIDA

18 mars 20269 min de lecture 0

Event ID 1022MsiInstaller 5 méthodes 9 min

Référence événement

Signification de cet événement

L'ID d'événement Windows 1022 représente un point de contrôle critique dans le cycle de vie du service Windows Installer, marquant le début des opérations de reconfiguration de produit. Lorsque cet événement se déclenche, il indique que le moteur MSI a validé la demande de modification d'une installation existante et a commencé le processus de reconfiguration. L'événement capture des métadonnées essentielles, y compris le code produit, l'identifiant de sécurité de l'utilisateur et le type spécifique de reconfiguration en cours.

Le processus de reconfiguration englobe plusieurs opérations distinctes : les opérations de réparation qui restaurent les fichiers manquants ou corrompus, les modifications de fonctionnalités qui ajoutent ou suppriment des composants spécifiques du produit, les applications de correctifs qui mettent à jour les installations existantes, et les installations administratives qui modifient les paramètres de déploiement. Chaque type de reconfiguration suit un flux de travail spécifique au sein du cadre Windows Installer, et l'ID d'événement 1022 sert de notification initiale que ce flux de travail a commencé.

D'un point de vue administration système, cet événement fournit des informations précieuses sur les activités de maintenance logicielle à travers l'entreprise. Les données de l'événement incluent le nom du produit, les informations de version et le contexte d'installation (par utilisateur ou par machine), permettant aux administrateurs de corréler les activités de reconfiguration avec des packages logiciels spécifiques et des comptes d'utilisateurs. Ces informations s'avèrent inestimables lors de l'investigation de problèmes liés aux logiciels, du suivi de la conformité aux exigences de licence logicielle, ou de l'analyse de l'impact des opérations de maintenance automatisées sur les performances du système.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025

Analyse

Causes possibles

Opérations de réparation automatique déclenchées par des fichiers d'application manquants ou corrompus
Modifications logicielles initiées par l'utilisateur via le panneau de configuration Programmes et fonctionnalités
Déploiements de correctifs administratifs via la stratégie de groupe ou WSUS
Ajouts ou suppressions de fonctionnalités demandés via les interfaces d'application
Opérations d'auto-réparation initiées par des raccourcis d'application ou des associations de fichiers
Installations de mises à jour logicielles qui modifient les configurations de produit existantes
Opérations de restauration du système qui déclenchent la reconfiguration de l'installateur
Outils de déploiement tiers exécutant des commandes de reconfiguration MSI

Méthodes de résolution

Étapes de dépannage

Analyser les détails de l'événement dans l'Observateur d'événements

Commencez par examiner les détails complets de l'événement pour comprendre ce qui a déclenché la reconfiguration :

Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
Accédez à Journaux Windows → Application
Filtrez les événements en cliquant sur Filtrer le journal actuel dans le volet Actions
Entrez 1022 dans le champ ID d'événement et cliquez sur OK
Double-cliquez sur l'entrée ID d'événement 1022 pour voir les informations détaillées
Examinez les champs de données de l'événement, y compris le nom du produit, le code du produit et le SID de l'utilisateur
Notez l'horodatage pour le corréler avec d'autres activités système
Vérifiez l'onglet Général pour la description complète de l'événement et les éventuels codes d'erreur

Les détails de l'événement montreront le produit spécifique en cours de reconfiguration et le contexte utilisateur. Recoupez ces informations avec les changements récents du système ou les activités des utilisateurs.

Interroger les journaux MSI avec PowerShell

Utilisez PowerShell pour extraire et analyser les occurrences de l'ID d'événement 1022 sur plusieurs systèmes :

# Obtenez les entrées récentes de l'ID d'événement 1022 avec des informations détaillées
Get-WinEvent -FilterHashtable @{LogName='Application'; Id=1022; StartTime=(Get-Date).AddDays(-7)} | 
    Select-Object TimeCreated, Id, LevelDisplayName, Message | 
    Format-Table -Wrap

# Extraire des informations spécifiques sur le produit à partir des messages d'événement
Get-WinEvent -FilterHashtable @{LogName='Application'; Id=1022; StartTime=(Get-Date).AddDays(-30)} | 
    ForEach-Object {
        $message = $_.Message
        $productMatch = [regex]::Match($message, "Product: (.+?)\. ")
        $userMatch = [regex]::Match($message, "User: (.+?)\. ")
        [PSCustomObject]@{
            TimeCreated = $_.TimeCreated
            Product = if($productMatch.Success) { $productMatch.Groups[1].Value } else { "Unknown" }
            User = if($userMatch.Success) { $userMatch.Groups[1].Value } else { "Unknown" }
            FullMessage = $_.Message
        }
    } | Format-Table -AutoSize

Cette approche PowerShell offre une vue complète des activités de reconfiguration et aide à identifier les modèles ou les installations problématiques.

Activer la journalisation MSI pour une analyse détaillée

Configurez la journalisation MSI complète pour capturer des informations détaillées sur les opérations de reconfiguration :

Ouvrez Éditeur du Registre en tant qu'administrateur
Accédez à HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer
Créez une nouvelle valeur DWORD nommée Logging si elle n'existe pas
Définissez la valeur sur voicewarmupx (en tant que REG_SZ) pour activer la journalisation complète
Créez un autre DWORD nommé Debug et définissez-le sur 7
Redémarrez le service Windows Installer :

# Redémarrez le service Windows Installer pour appliquer les modifications de journalisation
Restart-Service -Name "msiserver" -Force

# Vérifiez l'état du service
Get-Service -Name "msiserver" | Select-Object Name, Status, StartType

Les journaux MSI seront désormais créés dans le répertoire %TEMP% avec des informations détaillées sur chaque opération de reconfiguration. Examinez ces journaux pour identifier les composants spécifiques modifiés et toute erreur rencontrée pendant le processus.

Astuce pro : La journalisation MSI peut générer rapidement de gros fichiers. Surveillez l'espace disque et désactivez la journalisation une fois le dépannage terminé.

Enquêter sur la source et le contexte de l'installation

Déterminez la source et le contexte de l'installation pour comprendre pourquoi la reconfiguration a été déclenchée :

# Interroger les produits installés et leurs sources d'installation
Get-WmiObject -Class Win32_Product | 
    Where-Object { $_.Name -like "*ProductName*" } | 
    Select-Object Name, Version, InstallDate, InstallSource, LocalPackage

# Vérifier les mises à jour Windows récentes qui pourraient déclencher des reconfigurations
Get-HotFix | Where-Object { $_.InstalledOn -gt (Get-Date).AddDays(-7) } | 
    Sort-Object InstalledOn -Descending

# Examiner les paramètres de stratégie de groupe qui pourraient affecter le comportement MSI
Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\Installer" -ErrorAction SilentlyContinue

Vérifiez l'emplacement du cache de Windows Installer à C:\Windows\Installer
Vérifiez que les packages MSI mis en cache sont présents et non corrompus
Examinez les paramètres de stratégie de groupe sous Configuration de l'ordinateur → Modèles d'administration → Composants Windows → Windows Installer
Examinez la clé de registre HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer pour les informations sur le produit
Vérifiez les tâches planifiées qui pourraient déclencher une maintenance logicielle automatique

Comprendre le contexte de l'installation aide à déterminer si la reconfiguration est un comportement attendu ou indique un problème potentiel nécessitant une intervention.

Surveiller et prévenir les reconfigurations indésirables

Mettre en œuvre des stratégies de surveillance et de prévention pour les événements de reconfiguration problématiques :

# Créer une tâche planifiée pour surveiller l'ID d'événement 1022 et envoyer des alertes
$action = New-ScheduledTaskAction -Execute "powershell.exe" -Argument "-Command \"Get-WinEvent -FilterHashtable @{LogName='Application'; Id=1022; StartTime=(Get-Date).AddMinutes(-5)} | Out-File C:\Logs\MSI_Reconfig.log -Append\""
$trigger = New-ScheduledTaskTrigger -Once -At (Get-Date) -RepetitionInterval (New-TimeSpan -Minutes 5) -RepetitionDuration (New-TimeSpan -Days 365)
$settings = New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries -DontStopIfGoingOnBatteries
Register-ScheduledTask -TaskName "MSI_Reconfiguration_Monitor" -Action $action -Trigger $trigger -Settings $settings -User "SYSTEM"

# Désactiver la réparation automatique pour des produits spécifiques si nécessaire
# Remarque : Cela nécessite une réflexion attentive car cela peut affecter la fonctionnalité de l'application
$productCode = "{PRODUCT-GUID-HERE}"
Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\$productCode\InstallProperties" -Name "NoRepair" -Value 1

Configurer le transfert d'événements Windows pour centraliser la collecte de l'ID d'événement 1022
Configurer SCOM ou d'autres outils de surveillance pour alerter sur les événements de reconfiguration excessifs
Examiner et ajuster les paramètres de stratégie de groupe pour contrôler le comportement de MSI :

Désactiver la compatibilité RDS de Windows Installer
Interdire le retour en arrière
Désactiver Windows Installer (pour des scénarios spécifiques)

Mettre en œuvre la virtualisation des applications pour réduire les problèmes liés à MSI
Créer une documentation de référence des modèles de reconfiguration attendus

Avertissement : Désactiver la réparation automatique ou la fonctionnalité MSI peut empêcher la maintenance légitime des logiciels. Testez soigneusement dans des environnements non productifs.

Aperçu

L'ID d'événement 1022 se déclenche lorsque Windows Installer initie un processus de reconfiguration pour un package MSI déjà installé. Cet événement apparaît dans le journal des applications chaque fois que le moteur d'installation commence à modifier, réparer ou mettre à jour des composants d'une installation logicielle existante. Le processus de reconfiguration peut être déclenché par divers scénarios, y compris les opérations de réparation automatique, les ajouts ou suppressions de fonctionnalités, les installations de correctifs ou les modifications de déploiement administratif.

Contrairement aux événements d'installation qui se produisent lors du déploiement initial du logiciel, l'ID d'événement 1022 suit spécifiquement les modifications apportées aux installations existantes. L'événement contient des informations cruciales sur le produit en cours de reconfiguration, le contexte utilisateur sous lequel l'opération s'exécute, et le type de reconfiguration spécifique effectué. Les administrateurs système rencontrent couramment cet événement lors des fenêtres de maintenance logicielle, des déploiements de correctifs automatisés, ou lorsque les utilisateurs modifient les applications installées via Programmes et fonctionnalités.

Cet événement sert de piste d'audit pour les modifications d'installation et aide les administrateurs à suivre les modifications logicielles dans leur environnement. Comprendre quand et pourquoi les événements de reconfiguration se produisent est essentiel pour maintenir l'exactitude de l'inventaire logiciel et résoudre les problèmes liés à l'installation dans les environnements d'entreprise.

Questions Fréquentes

Que signifie l'ID d'événement 1022 et devrais-je m'en inquiéter ?+

L'ID d'événement 1022 indique que Windows Installer a commencé à reconfigurer un produit installé. Cela est généralement un comportement normal lorsque le logiciel est en cours de réparation, de mise à jour ou de modification. Vous ne devriez vous inquiéter que si ces événements se produisent de manière excessive, échouent à se terminer avec succès ou surviennent de manière inattendue sans action de l'utilisateur ou de l'administrateur. L'événement en lui-même est informatif et indique le début d'une opération d'installation légitime.

Comment puis-je identifier quel logiciel spécifique a déclenché l'ID d'événement 1022 ?+

Le message d'événement contient le nom du produit et le code produit qui identifient le logiciel spécifique. Vous pouvez trouver cette information dans les détails de l'événement dans le Visualiseur d'événements, ou l'extraire par programmation en utilisant PowerShell. Le code produit est un GUID qui identifie de manière unique le package MSI, tandis que le nom du produit fournit le nom du logiciel lisible par l'homme. Recouper cela avec votre inventaire logiciel aide à identifier l'application exacte en cours de reconfiguration.

Pourquoi vois-je plusieurs entrées d'ID d'événement 1022 pour le même logiciel ?+

Des entrées multiples peuvent se produire lorsque le logiciel a plusieurs composants ou fonctionnalités étant reconfigurés séparément, lorsque le processus de reconfiguration rencontre des erreurs et réessaie, ou lorsque différents contextes utilisateur déclenchent des opérations de reconfiguration distinctes. Chaque fonctionnalité ou composant MSI peut générer son propre événement de reconfiguration. De plus, si la reconfiguration initiale échoue, Windows Installer peut tenter l'opération plusieurs fois, créant des entrées supplémentaires d'ID d'événement 1022.

L'ID d'événement 1022 peut-il indiquer des logiciels malveillants ou des problèmes de sécurité ?+

Bien que l'ID d'événement 1022 soit en soi un événement légitime de Windows Installer, des logiciels malveillants pourraient potentiellement déclencher ces événements en tentant de modifier ou de réparer des installations logicielles. Surveillez les événements de reconfiguration se produisant en dehors des heures ouvrables normales, affectant des packages logiciels inattendus ou se produisant sans autorisation administrative. Corrélez ces événements avec les journaux antivirus, l'activité des utilisateurs et la surveillance du réseau pour identifier les préoccupations potentielles en matière de sécurité. Les reconfigurations légitimes devraient correspondre à la maintenance programmée ou aux actions initiées par l'utilisateur.

Comment puis-je empêcher les reconfigurations automatiques de logiciels qui génèrent l'ID d'événement 1022 ?+

Vous pouvez contrôler les reconfigurations automatiques via les paramètres de stratégie de groupe sous les politiques de Windows Installer, les modifications du registre pour désactiver l'auto-réparation pour des produits spécifiques, ou en configurant des outils de déploiement de logiciels pour empêcher la maintenance automatique. Cependant, désactiver complètement les capacités de reconfiguration peut empêcher les réparations et mises à jour logicielles légitimes. Au lieu de cela, concentrez-vous sur la planification des fenêtres de maintenance, le contrôle des utilisateurs pouvant déclencher des reconfigurations, et la surveillance des schémas inattendus plutôt que sur une prévention généralisée.

Documentation

Références (2)

Windows Installer Service OverviewComprehensive documentation covering Windows Installer architecture, event logging, and troubleshooting procedures.https://docs.microsoft.com/en-us/windows/win32/msi/windows-installer-portal

MSI Event Logging ReferenceOfficial Microsoft documentation detailing MSI logging capabilities, event types, and configuration options.https://docs.microsoft.com/en-us/windows/win32/msi/logging

Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Événements Windows associés

Event 1035

MsiInstaller

Windows EventInformation

ID d'événement Windows 1035 – MsiInstaller : Reconfiguration du service d'installation Windows

L'ID d'événement 1035 de MsiInstaller indique que le service Windows Installer a reconfiguré un produit installé, généralement lors d'opérations de réparation ou de modifications de fonctionnalités.

18 mars9 min

Event 1034

MsiInstaller

Windows EventInformation

ID d'événement Windows 1034 – MsiInstaller : Événement de reconfiguration de Windows Installer

L'ID d'événement 1034 de MsiInstaller indique que Windows Installer a terminé une reconfiguration ou une réparation de produit, généralement déclenchée par une auto-réparation de l'application ou des tâches de maintenance administrative.

ID d'événement Windows 1311 – MSI Installer : Échec de l'installation du produit

L'ID d'événement 1311 indique qu'un package Windows Installer (MSI) n'a pas pu s'installer ou se configurer correctement. Cette erreur se produit généralement lorsque l'installateur ne peut pas accéder aux fichiers requis, rencontre des problèmes de permissions ou fait face à des supports d'installation corrompus lors du déploiement du logiciel.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter

Chargement des commentaires...