ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Event Viewer showing multiple Event ID 18 entries from various application sources on an administrator's workstation
Event ID 18InformationVariousWindows

ID d'événement Windows 18 – Sources diverses : Événement d'application ou de service générique

L'ID d'événement 18 est un identifiant générique utilisé par plusieurs applications et services Windows pour enregistrer divers événements opérationnels, allant des messages d'information aux conditions d'erreur selon la source.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 20269 min de lecture 0
Event ID 18Various 5 méthodes 9 min
Référence événement

Signification de cet événement

L'ID d'événement 18 sert d'identifiant générique dans l'architecture du journal des événements Windows, permettant aux applications et services d'enregistrer des événements sans nécessiter une allocation d'ID d'événement unique de la part de Microsoft. Ce modèle de conception est né du besoin de fournir de la flexibilité aux développeurs tiers et aux composants internes de Windows qui nécessitent des capacités de journalisation de base.

L'événement contient généralement des données spécifiques à l'application dans son champ de description, qui fournit le contexte et la signification réels. Les scénarios courants incluent les notifications de démarrage d'application, les modifications de configuration, les résultats de validation de licence ou les mises à jour de l'état opérationnel. Le niveau de l'événement peut varier de l'information à l'erreur selon ce que l'application source rapporte.

Dans les environnements d'entreprise, l'ID d'événement 18 apparaît fréquemment dans les journaux des applications métiers, des services de base de données et des outils de surveillance. Les administrateurs système rencontrent souvent cet événement lors du dépannage des problèmes d'application ou lors de l'analyse de routine des journaux. Le défi réside dans la corrélation de l'événement avec le comportement spécifique de l'application et la détermination de la nécessité d'une action.

Les versions modernes de Windows en 2026 ont amélioré les capacités de corrélation des événements, facilitant le suivi des occurrences de l'ID d'événement 18 à travers plusieurs sources. Cependant, la nature générique de cet ID d'événement nécessite toujours une analyse minutieuse de la source, du moment et du contenu de la description pour comprendre ses implications sur la santé du système et la performance des applications.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Démarrage ou arrêt de l'application enregistrant l'état opérationnel
  • Modifications de configuration du service ou mises à jour des paramètres
  • Validation ou activation de licence dans les logiciels commerciaux
  • Établissement ou déconnexion de connexion à la base de données
  • Outils de surveillance tiers rapportant l'état du système
  • Applications d'entreprise personnalisées enregistrant des événements de logique métier
  • Composants de Windows Update rapportant la progression de l'installation
  • Logiciels de sécurité enregistrant les résultats de l'analyse ou les modifications de politique
  • Événements d'authentification ou d'autorisation de service réseau
  • Outils de surveillance des performances enregistrant les violations de seuil
Méthodes de résolution

Étapes de dépannage

01

Identifier la source de l'événement et le contexte

Commencez par examiner la source de l'événement pour comprendre quelle application ou service a généré l'ID d'événement 18.

1. Ouvrez Observateur d'événements en appuyant sur Windows + R, en tapant eventvwr.msc, et en appuyant sur Entrée.

2. Accédez au journal contenant l'événement (généralement Journaux WindowsApplication ou Système).

3. Localisez l'ID d'événement 18 et examinez le champ Source dans les propriétés de l'événement.

4. Utilisez PowerShell pour filtrer les événements par source pour une analyse de modèle :

Get-WinEvent -FilterHashtable @{LogName='Application'; Id=18} | Group-Object ProviderName | Sort-Object Count -Descending

5. Examinez la description de l'événement et tout champ de données supplémentaire pour comprendre le contexte spécifique.

6. Vérifiez le moment de l'événement pour le corréler avec tout changement récent du système ou activité d'application.

Astuce pro : Utilisez le champ Source pour rechercher la documentation spécifique de l'application pour les significations de l'ID d'événement 18.
02

Analyser la fréquence et les motifs des événements

Examinez les modèles de fréquence et de synchronisation de l'ID d'événement 18 pour déterminer s'il représente un fonctionnement normal ou un problème.

1. Interrogez les événements des dernières 24 heures pour établir la fréquence de référence :

$StartTime = (Get-Date).AddDays(-1)
Get-WinEvent -FilterHashtable @{LogName='Application'; Id=18; StartTime=$StartTime} | Measure-Object

2. Regroupez les événements par heure pour identifier les heures de pointe :

Get-WinEvent -FilterHashtable @{LogName='Application'; Id=18; StartTime=$StartTime} | Group-Object {$_.TimeCreated.Hour} | Sort-Object Name

3. Vérifiez la corrélation avec les événements système tels que le démarrage, l'arrêt ou les redémarrages de service :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=@(6005,6006,7034,7036)} -MaxEvents 50

4. Exportez les événements en CSV pour une analyse détaillée :

Get-WinEvent -FilterHashtable @{LogName='Application'; Id=18} -MaxEvents 100 | Select-Object TimeCreated, ProviderName, LevelDisplayName, Message | Export-Csv -Path "C:\Temp\EventID18_Analysis.csv" -NoTypeInformation

5. Examinez les données exportées pour détecter des modèles, des pics ou des anomalies pouvant indiquer des problèmes.

03

Recouper avec les journaux d'application

Enquêter sur les journaux et la documentation spécifiques à l'application pour comprendre la signification de l'ID d'événement 18 pour la source identifiée.

1. Vérifiez si l'application source a des fichiers journaux dédiés dans les répertoires C:\ProgramData ou C:\Program Files.

2. Consultez la documentation de l'application ou la base de connaissances du fournisseur pour les définitions de l'ID d'événement 18.

3. Interrogez les journaux d'application personnalisés s'ils existent :

Get-WinEvent -ListLog * | Where-Object {$_.LogName -like "*Application*" -or $_.LogName -like "*Custom*"}

4. Pour les applications Microsoft, vérifiez les journaux spécifiques à Office ou à d'autres produits :

Get-WinEvent -FilterHashtable @{LogName='OAlerts'} -ErrorAction SilentlyContinue

5. Utilisez Process Monitor (ProcMon) pour tracer l'accès aux fichiers et au registre lors de la génération de l'ID d'événement 18 :

- Téléchargez ProcMon depuis Microsoft Sysinternals

- Définissez des filtres pour le processus de l'application source

- Surveillez pendant l'occurrence de l'événement pour identifier les activités liées

6. Vérifiez les journaux de compatibilité des applications Windows pour d'éventuels problèmes :

Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-Application-Experience/Program-Compatibility-Assistant/Analytic'} -MaxEvents 20
04

Enquêter sur l'impact de la performance du système

Déterminez si les occurrences de l'ID d'événement 18 sont corrélées avec des problèmes de performance du système ou une consommation de ressources.

1. Surveillez la performance du système lors de la génération de l'ID d'événement 18 en utilisant le Moniteur de performance :

- Ouvrez perfmon.exe

- Ajoutez des compteurs pour l'utilisation du processeur, de la mémoire et du disque

- Corrélez les pics de performance avec les horodatages des événements

2. Vérifiez les fuites de mémoire ou l'épuisement des ressources :

Get-Process | Sort-Object WorkingSet -Descending | Select-Object -First 10 Name, WorkingSet, CPU

3. Examinez l'utilisation des ressources système autour des heures des événements :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=@(2004,2019)} -MaxEvents 20

4. Utilisez le Moniteur de ressources pour identifier les applications consommant des ressources excessives :

- Ouvrez resmon.exe

- Surveillez les onglets CPU, Mémoire, Disque et Réseau

- Recherchez les modèles d'utilisation des ressources de l'application source

5. Vérifiez le Visualiseur d'événements pour les avertissements de performance liés :

Get-WinEvent -FilterHashtable @{LogName='Application'; Level=3; StartTime=(Get-Date).AddHours(-2)} | Where-Object {$_.Message -like "*performance*" -or $_.Message -like "*slow*"}
Avertissement : Des occurrences fréquentes de l'ID d'événement 18 peuvent indiquer un dysfonctionnement de l'application ou des problèmes de configuration nécessitant une attention immédiate.
05

Dépannage avancé et résolution

Mettre en œuvre des techniques de diagnostic avancées et des résolutions potentielles basées sur les résultats de l'analyse de l'ID d'événement 18.

1. Activer la journalisation détaillée pour l'application source si disponible :

- Vérifier les fichiers de configuration de l'application pour les paramètres de verbosité de la journalisation

- Examiner les clés de registre sous HKLM\SOFTWARE pour l'application

- Modifier temporairement les niveaux de journalisation pour une analyse plus approfondie

2. Utiliser Windows Performance Toolkit (WPT) pour une analyse de trace détaillée :

# Installer WPT à partir du SDK Windows si non disponible
wpr.exe -start GeneralProfile -start CPU

3. Créer des abonnements personnalisés au journal des événements pour une surveillance centralisée :

wecutil cs "C:\Temp\EventID18_Subscription.xml"

4. Mettre en œuvre un script de surveillance PowerShell pour le suivi en temps réel de l'ID d'événement 18 :

Register-WmiEvent -Query "SELECT * FROM Win32_NTLogEvent WHERE EventCode = 18" -Action {
    $Event = $Event.SourceEventArgs.NewEvent
    Write-Host "ID d'événement 18 détecté de $($Event.SourceName) à $($Event.TimeGenerated)"
}

5. Configurer le transfert d'événements Windows (WEF) pour une surveillance à l'échelle de l'entreprise :

- Configurer le serveur collecteur avec winrm quickconfig

- Configurer les ordinateurs sources avec wecutil qc

- Créer un abonnement pour l'ID d'événement 18 sur plusieurs systèmes

6. Si l'ID d'événement 18 indique des erreurs d'application, envisager :

- Réinstaller ou mettre à jour l'application source

- Vérifier les problèmes de compatibilité de l'application

- Contacter le support du fournisseur avec des détails spécifiques sur l'événement

Astuce pro : Documenter les modèles et résolutions de l'ID d'événement 18 dans la base de connaissances de votre organisation pour référence future.

Aperçu

L'ID d'événement 18 représente l'un des identifiants d'événement les plus génériques dans le système de journal des événements Windows. Contrairement aux événements système spécifiques qui ont des ID dédiés, l'ID d'événement 18 est utilisé par de nombreuses applications, services et composants à travers Windows pour enregistrer divers types d'informations opérationnelles. Cet événement peut apparaître dans plusieurs fichiers journaux, y compris Application, Système et journaux d'applications personnalisés.

L'importance de l'ID d'événement 18 dépend entièrement de sa source. Les sources courantes incluent les applications Microsoft Office, les logiciels tiers, les services Windows et les applications d'entreprise personnalisées. L'événement peut aller de messages d'information de routine sur des opérations réussies à des avertissements concernant des problèmes de configuration ou des erreurs lors du démarrage de l'application.

Lors de l'investigation de l'ID d'événement 18, le champ source devient crucial pour une analyse appropriée. Chaque application source définit son propre contexte et sa signification pour cet ID d'événement. Cela rend l'ID d'événement 18 particulièrement difficile pour les administrateurs qui doivent comprendre l'application ou le service spécifique générant l'événement pour déterminer son importance et les actions requises.

Questions Fréquentes

Que signifie l'ID d'événement 18 dans le Visualiseur d'événements Windows ?+
L'ID d'événement 18 est un identifiant d'événement générique utilisé par plusieurs applications et services Windows pour enregistrer divers événements opérationnels. Sa signification dépend entièrement de l'application source qui l'a généré. L'événement peut représenter n'importe quoi, des messages d'information de routine aux conditions d'erreur, ce qui rend le champ source essentiel pour une interprétation correcte.
Pourquoi vois-je l'ID d'événement 18 provenant de différentes sources dans mon Observateur d'événements ?+
L'ID d'événement 18 n'est pas réservé à un composant Windows spécifique, permettant à plusieurs applications et services d'utiliser le même ID d'événement pour leurs propres besoins. Cela est courant avec les ID d'événements génériques dans les plages inférieures. Chaque application source définit sa propre signification pour l'ID d'événement 18, c'est pourquoi vous le voyez provenant de diverses sources comme les applications Office, les logiciels tiers ou les services Windows.
L'ID d'événement 18 est-il toujours une erreur ou un problème qui nécessite une correction ?+
Non, l'ID d'événement 18 n'est pas toujours une erreur. Le niveau de l'événement (Information, Avertissement, Erreur ou Critique) et l'application source déterminent si une action est nécessaire. De nombreuses occurrences de l'ID d'événement 18 sont des messages d'information sur le fonctionnement normal des applications. Vous devez examiner la description de l'événement, le niveau et la source pour déterminer si une action est requise.
Comment puis-je empêcher l'ID d'événement 18 d'apparaître dans mon Observateur d'événements ?+
Vous ne devriez généralement pas supprimer complètement l'ID d'événement 18, car il peut contenir des informations importantes provenant de diverses applications. Identifiez plutôt la source spécifique générant des événements indésirables et configurez les paramètres de journalisation de cette application. Pour les événements vraiment inutiles, vous pouvez créer des filtres personnalisés dans l'Observateur d'événements pour masquer des sources spécifiques ou utiliser la stratégie de groupe pour modifier les paramètres d'audit pour certaines applications.
L'ID d'événement 18 peut-il indiquer des problèmes de sécurité ou une activité de malware ?+
Bien que l'ID d'événement 18 ne soit pas en soi un indicateur de sécurité, un logiciel malveillant pourrait potentiellement utiliser cet ID d'événement générique pour enregistrer des activités. Examinez toujours attentivement le champ source et la description de l'événement. Si l'ID d'événement 18 apparaît à partir de sources inconnues, de lieux inhabituels ou contient un contenu suspect, enquêtez plus avant en utilisant des outils antimalware et la surveillance des processus. Les applications légitimes ont généralement des noms de source reconnaissables et des descriptions d'événements cohérentes.
Documentation

Références (2)

1
Windows Event Logging OverviewMicrosoft documentation covering Windows Event Log architecture and event ID usage patterns.https://docs.microsoft.com/en-us/windows/win32/eventlog/event-logging
2
Event Viewer DocumentationOfficial guide to using Event Viewer for system monitoring and troubleshooting.https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/eventvwr
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#windows-events#event-id-18#application-logging

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...