ID d'événement Windows 1034 – MsiInstaller : Événement de reconfiguration de Windows Installer

Commencez par examiner les détails spécifiques de l'occurrence de l'ID d'événement 1034 pour comprendre quel produit a été reconfiguré.

1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
2. Accédez à Journaux Windows → Application
3. Filtrez le journal en cliquant sur Filtrer le journal actuel dans le volet Actions
4. Entrez 1034 dans le champ ID d'événements et cliquez sur OK
5. Double-cliquez sur l'entrée la plus récente de l'ID d'événement 1034
6. Examinez l'onglet Général pour obtenir des informations sur le produit et le contexte utilisateur
7. Vérifiez l'onglet Détails pour les données XML complètes, y compris les codes produits
8. Notez l'horodatage pour le corréler avec les modifications logicielles récentes ou les fenêtres de maintenance

La description de l'événement indiquera le nom du produit et si l'opération était une réparation, une modification de fonctionnalité ou un autre type de reconfiguration.

Utilisez PowerShell pour récupérer des informations détaillées sur les événements de reconfiguration MSI et analyser les modèles.

1. Ouvrez PowerShell en tant qu'administrateur
2. Exécutez la commande suivante pour obtenir les entrées récentes de l'ID d'événement 1034 :

Get-WinEvent -FilterHashtable @{LogName='Application'; Id=1034; StartTime=(Get-Date).AddDays(-7)} | Select-Object TimeCreated, Id, LevelDisplayName, Message | Format-Table -Wrap

3. Pour une analyse plus détaillée, extrayez des propriétés spécifiques :

Get-WinEvent -FilterHashtable @{LogName='Application'; Id=1034} -MaxEvents 10 | ForEach-Object {
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        User = $_.UserId
        Message = $_.Message
        ProductInfo = ($_.Message -split '\n')[0]
    }
} | Format-Table -AutoSize

4. Pour exporter les résultats pour une analyse plus approfondie :

Get-WinEvent -FilterHashtable @{LogName='Application'; Id=1034; StartTime=(Get-Date).AddDays(-30)} | Export-Csv -Path "C:\Temp\MSI_Reconfig_Events.csv" -NoTypeInformation

Cette méthode fournit un accès programmatique aux données d'événements et permet une analyse en masse des modèles de reconfiguration.

Recoupez l'ID d'événement 1034 avec les journaux MSI détaillés pour comprendre le processus de reconfiguration complet.

1. Activez la journalisation MSI en modifiant le registre. Ouvrez Éditeur du Registre en tant qu'administrateur
2. Accédez à HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer
3. Créez une nouvelle valeur DWORD nommée Logging avec la valeur voicewarmupx (si elle n'est pas déjà présente)
4. Vérifiez l'emplacement du journal Windows Installer, généralement :

Get-ChildItem -Path "$env:TEMP" -Filter "MSI*.log" | Sort-Object LastWriteTime -Descending | Select-Object -First 5

5. Localisez les journaux correspondant à l'horodatage de l'ID d'événement 1034
6. Ouvrez le fichier journal MSI pertinent et recherchez les détails de reconfiguration
7. Cherchez les entrées contenant "Reconfiguring" ou "MaintenanceMode"
8. Recoupez le code produit de l'événement avec les entrées du journal
9. Utilisez PowerShell pour rechercher des motifs spécifiques dans les fichiers journaux :

$LogFiles = Get-ChildItem -Path "$env:TEMP" -Filter "MSI*.log"
foreach ($Log in $LogFiles) {
    $Content = Get-Content $Log.FullName | Select-String "Reconfiguring|MaintenanceMode"
    if ($Content) {
        Write-Host "Found reconfiguration entries in: $($Log.Name)"
        $Content | Select-Object -First 3
    }
}

Cette corrélation aide à identifier la cause principale de la reconfiguration et tout problème survenu pendant le processus.

Vérifiez l'état actuel de l'installation des produits qui ont généré l'ID d'événement 1034 pour garantir une reconfiguration réussie.

1. Utilisez PowerShell pour interroger les produits MSI installés et leurs états :

Get-WmiObject -Class Win32_Product | Where-Object {$_.InstallState -eq 5} | Select-Object Name, Version, InstallDate, InstallState | Sort-Object InstallDate -Descending

2. Pour des informations plus détaillées sur le produit, interrogez le registre :

$UninstallKeys = @(
    "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\*",
    "HKLM:\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\*"
)
Get-ItemProperty $UninstallKeys | Where-Object {$_.DisplayName -and $_.UninstallString -like "*msiexec*"} | Select-Object DisplayName, DisplayVersion, InstallDate | Sort-Object InstallDate -Descending

3. Vérifiez s'il y a des produits dans un état cassé ou incomplet :

Get-WmiObject -Class Win32_Product | Where-Object {$_.InstallState -ne 5} | Select-Object Name, InstallState, @{Name="StateDescription";Expression={
    switch($_.InstallState) {
        1 {"Advertised"}
        2 {"Absent"}
        3 {"Default"}
        4 {"Source"}
        5 {"Local"}
        default {"Unknown"}
    }
}}

4. Validez les fonctionnalités spécifiques du produit si la reconfiguration impliquait des changements de fonctionnalités :

# Remplacez {PRODUCT-GUID} par le code produit réel de l'événement 1034
$ProductCode = "{PRODUCT-GUID}"
try {
    $Product = Get-WmiObject -Class Win32_Product -Filter "IdentifyingNumber='$ProductCode'"
    if ($Product) {
        Write-Host "Product: $($Product.Name) - State: $($Product.InstallState)"
    }
} catch {
    Write-Host "Product not found or query failed"
}

Cette analyse confirme si la reconfiguration s'est terminée avec succès et identifie les problèmes restants.

Configurez la surveillance proactive pour l'ID d'événement 1034 afin de suivre les modèles de maintenance logicielle et d'identifier les problèmes potentiels.

1. Créez un script PowerShell pour une surveillance continue :

# Script de surveillance de la reconfiguration MSI
$ScriptPath = "C:\Scripts\MSI-Monitor.ps1"
$LogPath = "C:\Logs\MSI-Reconfig.log"

# Créer le script de surveillance
@'
$LastCheck = (Get-Date).AddMinutes(-5)
$Events = Get-WinEvent -FilterHashtable @{LogName="Application"; Id=1034; StartTime=$LastCheck} -ErrorAction SilentlyContinue

foreach ($Event in $Events) {
    $LogEntry = "$(Get-Date -Format "yyyy-MM-dd HH:mm:ss") - Reconfiguration MSI : $($Event.Message.Split("`n")[0])"
    Add-Content -Path "C:\Logs\MSI-Reconfig.log" -Value $LogEntry
    
    # Optionnel : Envoyer une alerte pour des produits spécifiques
    if ($Event.Message -like "*Critical Application*") {
        # Ajouter la logique d'alerte ici
        Write-EventLog -LogName Application -Source "MSI Monitor" -EventId 9999 -EntryType Warning -Message "Application critique reconfigurée : $($Event.Message)"
    }
}
'@ | Out-File -FilePath $ScriptPath -Encoding UTF8

2. Créez une tâche planifiée pour exécuter le script de surveillance :

$TaskName = "MSI Reconfiguration Monitor"
$Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-ExecutionPolicy Bypass -File C:\Scripts\MSI-Monitor.ps1"
$Trigger = New-ScheduledTaskTrigger -RepetitionInterval (New-TimeSpan -Minutes 5) -RepetitionDuration (New-TimeSpan -Days 365) -At (Get-Date)
$Settings = New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries -DontStopIfGoingOnBatteries -StartWhenAvailable

Register-ScheduledTask -TaskName $TaskName -Action $Action -Trigger $Trigger -Settings $Settings -User "SYSTEM" -RunLevel Highest

3. Configurez des vues personnalisées dans le Visualiseur d'événements pour une surveillance plus facile :

# Créer un XML de vue personnalisée (enregistrer sous MSI-Reconfig-View.xml)
<?xml version="1.0" encoding="UTF-8"?>
<ViewerConfig>
  <QueryConfig>
    <QueryParams>
      <Simple>
        <Channel>Application</Channel>
        <EventId>1034</EventId>
        <RelativeTimeInfo>604800000</RelativeTimeInfo>
      </Simple>
    </QueryParams>
  </QueryConfig>
</ViewerConfig>

4. Importez la vue personnalisée dans le Visualiseur d'événements en cliquant avec le bouton droit sur Vues personnalisées et en sélectionnant Importer une vue personnalisée
5. Configurez le transfert d'événements Windows (WEF) pour une surveillance centralisée dans les environnements d'entreprise :

# Sur le serveur collecteur, configurez l'abonnement
wecutil cs MSI-Reconfig-Subscription.xml

# Contenu XML de l'abonnement :
# <Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
#   <SubscriptionId>MSI-Reconfig</SubscriptionId>
#   <Query><![CDATA[<QueryList><Query Id="0"><Select Path="Application">*[System[EventID=1034]]</Select></Query></QueryList>]]></Query>
# </Subscription>

Cette approche de surveillance complète permet une gestion proactive des applications basées sur MSI et une détection précoce des problèmes de reconfiguration.