ID d'événement Windows 1066 – WinLogon : Initialisation du sous-système du gestionnaire de session

Commencez par examiner les détails complets de l'ID d'événement 1066 pour comprendre le contexte et le timing de l'initialisation.

1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
2. Accédez à Journaux Windows → Système
3. Filtrez le journal en cliquant sur Filtrer le journal actuel dans le volet Actions
4. Entrez 1066 dans le champ ID d'événements et cliquez sur OK
5. Double-cliquez sur l'entrée la plus récente de l'ID d'événement 1066 pour voir les informations détaillées
6. Notez l'horodatage, le nom de l'ordinateur et toute donnée supplémentaire dans la description de l'événement
7. Comparez l'horodatage avec d'autres événements de démarrage comme l'ID d'événement 12 (démarrage du noyau) pour évaluer le timing de l'initialisation

Utilisez PowerShell pour récupérer les occurrences récentes de l'ID d'événement 1066 :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=1066} -MaxEvents 10 | Select-Object TimeCreated, Id, LevelDisplayName, Message

Corrélez l'ID d'événement 1066 avec d'autres événements de démarrage pour évaluer les performances globales du démarrage du système et identifier les goulets d'étranglement potentiels.

1. Utilisez PowerShell pour recueillir des données complètes sur les événements de démarrage :

# Obtenez les événements de séquence de démarrage, y compris l'ID d'événement 1066
$BootEvents = @(12, 1066, 6005, 6009)
Get-WinEvent -FilterHashtable @{LogName='System'; Id=$BootEvents; StartTime=(Get-Date).AddDays(-7)} | Sort-Object TimeCreated | Select-Object TimeCreated, Id, LevelDisplayName, Message

2. Calculez la différence de temps entre le démarrage du noyau (ID d'événement 12) et l'initialisation du gestionnaire de session (ID d'événement 1066) :

# Calculez le temps d'initialisation du gestionnaire de session
$KernelBoot = Get-WinEvent -FilterHashtable @{LogName='System'; Id=12} -MaxEvents 1
$SessionMgr = Get-WinEvent -FilterHashtable @{LogName='System'; Id=1066} -MaxEvents 1
$InitTime = ($SessionMgr.TimeCreated - $KernelBoot.TimeCreated).TotalSeconds
Write-Host "L'initialisation du gestionnaire de session a pris : $InitTime secondes"

3. Examinez le temps calculé par rapport aux métriques de performance de référence
4. Documentez tout retard significatif (généralement plus de 60 secondes indique des problèmes)

Examinez le processus Session Manager (SMSS.exe) et les processus système associés pour assurer une initialisation correcte et une santé continue.

1. Vérifiez l'état du processus SMSS.exe en utilisant PowerShell :

# Vérifiez les détails du processus Session Manager
Get-Process -Name "smss" -ErrorAction SilentlyContinue | Select-Object Name, Id, StartTime, WorkingSet, PagedMemorySize

2. Examinez les processus système critiques créés par Session Manager :

# Vérifiez les processus essentiels initialisés par Session Manager
$CriticalProcesses = @("csrss", "wininit", "winlogon")
foreach ($proc in $CriticalProcesses) {
    Get-Process -Name $proc -ErrorAction SilentlyContinue | Select-Object Name, Id, StartTime
}

3. Vérifiez la configuration du registre de Session Manager :

# Examinez les paramètres du registre de Session Manager
Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Session Manager" | Select-Object BootExecute, PendingFileRenameOperations

4. Examinez les journaux d'événements système pour toute erreur ou avertissement lié à Session Manager
5. Utilisez Gestionnaire des tâches → onglet Détails pour vérifier que SMSS.exe fonctionne avec les privilèges appropriés

Lorsque l'ID d'événement 1066 apparaît en retard ou est manquant, effectuez une analyse complète du démarrage pour identifier les causes sous-jacentes.

1. Activez la journalisation du démarrage pour capturer des informations détaillées sur le démarrage :

# Activer la journalisation du démarrage (nécessite un redémarrage)
bcdedit /set bootlog yes

2. Utilisez Windows Performance Analyzer (WPA) ou les outils intégrés pour analyser les performances du démarrage :

# Générer un rapport de performance de démarrage
xperf -on PROC_THREAD+LOADER+PROFILE -stackwalk Profile -BufferSize 1024 -MaxFile 256 -FileMode Circular

3. Vérifiez les opérations de fichiers en attente qui pourraient retarder le gestionnaire de session :

# Vérifier les opérations de renommage de fichiers en attente
$PendingOps = Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Session Manager" -Name "PendingFileRenameOperations" -ErrorAction SilentlyContinue
if ($PendingOps) {
    Write-Host "Opérations de fichiers en attente détectées :"
    $PendingOps.PendingFileRenameOperations
}

4. Examinez l'intégrité des fichiers système :

# Exécuter le vérificateur de fichiers système
sfc /scannow

5. Examinez les journaux d'événements matériels pour détecter d'éventuels problèmes affectant les performances du démarrage
6. Désactivez la journalisation du démarrage après l'analyse :

# Désactiver la journalisation du démarrage
bcdedit /set bootlog no

Effectuez des diagnostics avancés lorsque les problèmes d'ID d'événement 1066 persistent ou indiquent des problèmes système plus profonds.

1. Créez une chronologie complète des événements de démarrage :

# Créer un script d'analyse de démarrage détaillé
$StartTime = (Get-Date).AddHours(-2)
$BootEvents = Get-WinEvent -FilterHashtable @{LogName='System'; StartTime=$StartTime} | Where-Object {$_.Id -in @(12, 13, 1066, 6005, 6009, 6013)} | Sort-Object TimeCreated

foreach ($event in $BootEvents) {
    Write-Host "$($event.TimeCreated) - Event ID $($event.Id): $($event.LevelDisplayName)"
}

2. Examinez les vidages mémoire du gestionnaire de session si disponibles :

# Vérifiez les fichiers de vidage mémoire
Get-ChildItem -Path "C:\Windows\Minidump\" -Filter "*.dmp" | Sort-Object LastWriteTime -Descending | Select-Object -First 5

3. Analysez les performances de chargement des ruches de registre :

# Vérifiez les tailles des ruches de registre et les heures de modification
$HiveFiles = @("SYSTEM", "SOFTWARE", "SECURITY", "SAM", "DEFAULT")
foreach ($hive in $HiveFiles) {
    $hivePath = "C:\Windows\System32\config\$hive"
    if (Test-Path $hivePath) {
        $hiveInfo = Get-Item $hivePath
        Write-Host "$hive hive: Size=$([math]::Round($hiveInfo.Length/1MB,2))MB, Modified=$($hiveInfo.LastWriteTime)"
    }
}

4. Activez la journalisation de débogage du gestionnaire de session (avancé) :

# Activer le débogage du gestionnaire de session (nécessite un redémarrage)
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Session Manager\Debug" -Name "DebugFlags" -Value 0x00000001 -Type DWord -Force

5. Examinez le rapport d'erreurs Windows pour les plantages du gestionnaire de session :

# Vérifiez les rapports d'erreurs liés au gestionnaire de session
Get-WinEvent -FilterHashtable @{LogName='Application'; ProviderName='Windows Error Reporting'} -MaxEvents 50 | Where-Object {$_.Message -like "*smss*"}