ID d'événement Windows 1035 – MsiInstaller : Reconfiguration du service d'installation Windows

Commencez par examiner les détails complets de l'événement pour comprendre quel produit a été reconfiguré et pourquoi.

1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
2. Accédez à Journaux Windows → Application
3. Filtrez pour l'ID d'événement 1035 en cliquant avec le bouton droit sur Application → Filtrer le journal actuel
4. Entrez 1035 dans le champ ID d'événements et cliquez sur OK
5. Double-cliquez sur l'événement pour voir des informations détaillées, y compris le nom du produit, la version et le contexte utilisateur
6. Notez l'horodatage exact et corrélez-le avec les rapports d'utilisateurs ou les changements système

Utilisez PowerShell pour extraire plusieurs événements pour analyse :

Get-WinEvent -FilterHashtable @{LogName='Application'; Id=1035; StartTime=(Get-Date).AddDays(-7)} | Select-Object TimeCreated, Id, LevelDisplayName, Message | Format-Table -Wrap

Activez la journalisation MSI détaillée pour capturer des informations détaillées sur les opérations de reconfiguration.

1. Ouvrez l'Éditeur du Registre en tant qu'administrateur
2. Accédez à HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer
3. Créez une nouvelle valeur DWORD nommée Logging avec la valeur voicewarmupx (si elle n'existe pas)
4. Créez une valeur de chaîne LoggingPolicy avec la valeur voicewarmupx
5. Redémarrez le service Windows Installer :

Restart-Service -Name msiserver -Force

Vérifiez le répertoire des journaux MSI pour les journaux de reconfiguration récents :

Get-ChildItem -Path "$env:TEMP" -Filter "MSI*.log" | Sort-Object LastWriteTime -Descending | Select-Object -First 5

Examinez les journaux pour des modèles d'erreurs ou des tentatives de réparation répétées qui pourraient indiquer des problèmes sous-jacents.

Utilisez WMI pour interroger les produits installés et leur état actuel afin d'identifier les problèmes potentiels.

# Obtenez tous les produits MSI installés
Get-WmiObject -Class Win32_Product | Where-Object {$_.InstallDate -gt (Get-Date).AddDays(-30).ToString('yyyyMMdd')} | Select-Object Name, Version, InstallDate, InstallState

Pour des informations plus détaillées sur le produit :

# Interroger les détails spécifiques du produit
$ProductCode = "{PRODUCT-GUID-HERE}"
Get-WmiObject -Query "SELECT * FROM Win32_Product WHERE IdentifyingNumber='$ProductCode'" | Format-List *

Vérifiez les produits dans des états incohérents :

# Trouver les produits qui peuvent nécessiter une réparation
Get-WmiObject -Class Win32_Product | Where-Object {$_.InstallState -ne 5} | Select-Object Name, InstallState, @{Name='StateDescription';Expression={switch($_.InstallState){1{'Advertised'};2{'Absent'};3{'Default'};4{'Source'};5{'Local'};default{'Unknown'}}}}

Recoupez ces résultats avec les occurrences de l'ID d'événement 1035 pour identifier les applications problématiques.

Utilisez Process Monitor pour suivre l'activité du système de fichiers lors des événements de reconfiguration MSI.

1. Téléchargez et exécutez Process Monitor (ProcMon) depuis Microsoft Sysinternals
2. Définissez des filtres pour surveiller les processus msiexec.exe
3. Configurez des filtres supplémentaires pour le répertoire de l'application subissant la reconfiguration
4. Déclenchez une réparation manuelle de l'application affectée :

# Exemple : Réparer Microsoft Office
msiexec /f {PRODUCT-CODE} /qb

Analysez les journaux ProcMon pour :

• Les fichiers étant accédés, modifiés ou recréés
• Les clés de registre mises à jour
• Les services arrêtés/démarrés
• Les fichiers temporaires créés pendant le processus

Exportez les résultats de ProcMon et corrélez les horodatages avec les entrées de l'ID d'événement 1035 pour comprendre le flux de travail complet de reconfiguration.

Configurez la surveillance automatisée des événements MSI dans votre environnement en utilisant PowerShell et les tâches planifiées.

Créez un script de surveillance :

# Script de surveillance des événements MSI
$LogName = 'Application'
$EventID = 1035
$Hours = 24

$Events = Get-WinEvent -FilterHashtable @{
    LogName = $LogName
    Id = $EventID
    StartTime = (Get-Date).AddHours(-$Hours)
} -ErrorAction SilentlyContinue

if ($Events) {
    $Report = $Events | ForEach-Object {
        [PSCustomObject]@{
            TimeCreated = $_.TimeCreated
            Computer = $env:COMPUTERNAME
            User = $_.UserId
            Message = $_.Message.Split('`n')[0]
        }
    }
    
    # Exporter en CSV pour analyse
    $Report | Export-Csv -Path "C:\Logs\MSI_Reconfig_$(Get-Date -Format 'yyyyMMdd').csv" -NoTypeInformation -Append
    
    # Envoyer une alerte par email si le seuil est dépassé
    if ($Events.Count -gt 5) {
        # Ajouter la logique de notification par email ici
        Write-Warning "Nombre élevé de reconfigurations MSI détecté : $($Events.Count)"
    }
}

Planifiez ce script pour qu'il s'exécute toutes les heures en utilisant le Planificateur de tâches ou déployez-le via la stratégie de groupe pour une surveillance à l'échelle de l'entreprise.