ID d'événement Windows 2000 – Gestionnaire de contrôle des services : Service démarré avec succès

Ouvrez Observateur d'événements pour examiner le service spécifique qui a démarré et recueillir des informations contextuelles sur l'événement de démarrage.

1. Appuyez sur Windows + R, tapez eventvwr.msc, et appuyez sur Entrée
2. Accédez à Journaux Windows → Système
3. Filtrez le journal en cliquant sur Filtrer le journal actuel dans le volet Actions
4. Entrez 2000 dans le champ ID d'événement et cliquez sur OK
5. Double-cliquez sur n'importe quelle entrée d'ID d'événement 2000 pour voir les détails
6. Consultez l'onglet Général pour le nom du service et les informations de démarrage
7. Vérifiez l'onglet Détails pour des métadonnées supplémentaires sur le service

La description de l'événement affichera le nom d'affichage du service et confirmera le démarrage réussi. Notez l'horodatage pour le corréler avec d'autres événements système ou problèmes de performance.

Utilisez PowerShell pour analyser de manière programmatique les modèles de démarrage des services et identifier les services spécifiques générant des entrées d'ID d'événement 2000.

# Obtenez les événements récents de démarrage de service
Get-WinEvent -FilterHashtable @{LogName='System'; Id=2000} -MaxEvents 50 | 
  Select-Object TimeCreated, Id, LevelDisplayName, Message | 
  Format-Table -AutoSize

# Filtrer pour les démarrages de services spécifiques dans les dernières 24 heures
$StartTime = (Get-Date).AddDays(-1)
Get-WinEvent -FilterHashtable @{LogName='System'; Id=2000; StartTime=$StartTime} | 
  ForEach-Object {
    [PSCustomObject]@{
      Time = $_.TimeCreated
      Service = ($_.Message -split '\n')[0] -replace 'The ', '' -replace ' service entered the running state.', ''
      ProcessId = $_.ProcessId
    }
  } | Sort-Object Time

Cette approche aide à identifier quels services démarrent fréquemment ou à des moments inattendus, utile pour résoudre les problèmes de performance ou l'activité de service non autorisée.

Analysez les modèles d'ID d'événement 2000 avec les métriques de performance système pour identifier les services impactant les temps de démarrage ou la réactivité du système.

# Créer un rapport complet de démarrage des services
$Events = Get-WinEvent -FilterHashtable @{LogName='System'; Id=2000} -MaxEvents 100
$ServiceStartups = @{}

foreach ($Event in $Events) {
  $ServiceName = ($Event.Message -split '\n')[0] -replace 'The ', '' -replace ' service entered the running state.', ''
  if ($ServiceStartups.ContainsKey($ServiceName)) {
    $ServiceStartups[$ServiceName]++
  } else {
    $ServiceStartups[$ServiceName] = 1
  }
}

# Afficher les services démarrant le plus fréquemment
$ServiceStartups.GetEnumerator() | Sort-Object Value -Descending | 
  Select-Object @{Name='Service';Expression={$_.Key}}, @{Name='StartCount';Expression={$_.Value}} | 
  Format-Table -AutoSize

Recoupez ces données avec les métriques de performance de démarrage en utilisant Performance Monitor ou Windows Performance Toolkit pour identifier les services causant des retards.

Enquêter sur les chaînes de dépendance des services pour comprendre pourquoi des services spécifiques démarrent et vérifier le bon séquencement de démarrage.

# Vérifier les dépendances de service pour un service spécifique
$ServiceName = 'Spooler'  # Remplacer par le service cible
$Service = Get-Service -Name $ServiceName
$Dependencies = $Service.ServicesDependedOn

Write-Host "Service : $($Service.DisplayName)" -ForegroundColor Green
Write-Host "Dépendances :" -ForegroundColor Yellow
foreach ($Dep in $Dependencies) {
  Write-Host "  - $($Dep.DisplayName) ($($Dep.Status))" -ForegroundColor Cyan
}

# Vérifier quels services dépendent de ce service
$Dependents = Get-Service | Where-Object { $_.ServicesDependedOn.Name -contains $ServiceName }
Write-Host "\nServices qui dépendent de $ServiceName :" -ForegroundColor Yellow
foreach ($Dependent in $Dependents) {
  Write-Host "  - $($Dependent.DisplayName) ($($Dependent.Status))" -ForegroundColor Cyan
}

Utilisez la console des Services (services.msc) pour vérifier les configurations de dépendance et les types de démarrage. Naviguez vers les propriétés du service et vérifiez l'onglet Dépendances pour une cartographie visuelle des dépendances.

Configurez la surveillance automatisée pour les modèles de démarrage de service inhabituels ou les installations de service non autorisées en utilisant Windows Event Forwarding et des scripts PowerShell personnalisés.

# Créer une tâche planifiée pour surveiller les démarrages de service
$TaskName = 'ServiceStartupMonitor'
$ScriptPath = 'C:\Scripts\ServiceMonitor.ps1'

# Créer le script de surveillance
$MonitorScript = @'
$RecentEvents = Get-WinEvent -FilterHashtable @{LogName='System'; Id=2000; StartTime=(Get-Date).AddMinutes(-5)}
if ($RecentEvents) {
  $ServiceList = $RecentEvents | ForEach-Object {
    ($_.Message -split '\n')[0] -replace 'The ', '' -replace ' service entered the running state.', ''
  }
  
  # Enregistrer dans le journal d'événements personnalisé ou envoyer une alerte
  Write-EventLog -LogName Application -Source 'ServiceMonitor' -EventId 1001 -EntryType Information -Message "Services démarrés : $($ServiceList -join ', ')"
}
'@

$MonitorScript | Out-File -FilePath $ScriptPath -Encoding UTF8

# Enregistrer la tâche planifiée
$Action = New-ScheduledTaskAction -Execute 'PowerShell.exe' -Argument "-ExecutionPolicy Bypass -File $ScriptPath"
$Trigger = New-ScheduledTaskTrigger -RepetitionInterval (New-TimeSpan -Minutes 5) -RepetitionDuration (New-TimeSpan -Days 365) -At (Get-Date)
$Settings = New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries -DontStopIfGoingOnBatteries
Register-ScheduledTask -TaskName $TaskName -Action $Action -Trigger $Trigger -Settings $Settings -RunLevel Highest

Configurez Windows Event Forwarding pour centraliser la collecte de l'ID d'événement 2000 dans tout votre environnement pour une visibilité à l'échelle de l'entreprise sur le démarrage des services.