ID d'événement Windows 256 – Inconnu : Événement d'erreur générique d'application ou de système

Commencez par rassembler des informations détaillées sur les occurrences de l'ID d'événement 256 et les corréler avec d'autres événements système.

1. Ouvrez Observateur d'événements → Journaux Windows → Application et Système
2. Filtrez pour l'ID d'événement 256 en utilisant la commande PowerShell suivante :

Get-WinEvent -FilterHashtable @{LogName='Application','System'; Id=256} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -AutoSize

3. Notez les horodatages exacts et examinez les événements se produisant dans les 30 secondes avant et après chaque ID d'événement 256
4. Cherchez des motifs dans les détails de l'onglet Général, en particulier tout ID de processus ou ID de thread mentionné
5. Exportez les événements pour analyse :

Get-WinEvent -FilterHashtable @{LogName='Application','System'; Id=256} | Export-Csv -Path "C:\Temp\Event256Analysis.csv" -NoTypeInformation

Vérifiez que les sources d'événements sont correctement enregistrées et que les fichiers système sont intacts.

1. Vérifiez les enregistrements des sources d'événements dans le registre :

Get-ChildItem "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\Application" | Where-Object {$_.PSChildName -like "*Unknown*" -or $_.PSChildName -eq ""}

2. Exécutez le Vérificateur de fichiers système pour identifier les fichiers système corrompus :

sfc /scannow

3. Vérifiez le journal SFC pour plus de détails :

findstr /c:"[SR]" %windir%\Logs\CBS\CBS.log | findstr /c:"Cannot repair"

4. Exécutez DISM pour réparer l'image Windows si SFC a trouvé des problèmes :

DISM /Online /Cleanup-Image /RestoreHealth

5. Vérifiez l'état du service de journalisation des événements :

Get-Service -Name "EventLog" | Format-List *

Enquêter sur les processus en cours et les journaux spécifiques aux applications pour identifier la source de l'ID d'événement 256.

1. Surveiller la création et la terminaison des processus autour de l'occurrence de l'événement :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4688,4689} | Where-Object {$_.TimeCreated -gt (Get-Date).AddHours(-2)} | Format-Table TimeCreated, Id, @{Name='Process';Expression={$_.Properties[5].Value}}

2. Vérifier les journaux de Windows Error Reporting :

Get-WinEvent -FilterHashtable @{LogName='Application'; ProviderName='Windows Error Reporting'} -MaxEvents 20

3. Examiner les vidages sur incident des applications aux emplacements suivants :

• %LocalAppData%\CrashDumps
• %SystemRoot%\Minidump
• %SystemRoot%\Memory.dmp

4. Utiliser Process Monitor pour capturer l'accès en temps réel aux fichiers et au registre :

# Télécharger ProcMon depuis Microsoft Sysinternals
# Exécuter : procmon.exe /AcceptEula /Minimized /BackingFile C:\Temp\ProcMon.pml

5. Vérifier les journaux des applications tierces dans Observateur d'événements → Journaux des applications et des services

Utilisez des outils de diagnostic avancés de Windows pour capturer le comportement détaillé du système lors des occurrences de l'ID d'événement 256.

1. Activez le traçage ETW pour les événements du noyau :

wpr -start GeneralProfile -start CPU -start DiskIO -start FileIO

2. Reproduisez le problème ou attendez que l'ID d'événement 256 se produise, puis arrêtez le traçage :

wpr -stop C:\Temp\SystemTrace.etl

3. Analysez la trace à l'aide de Windows Performance Analyzer (WPA) ou convertissez-la en format lisible :

tracerpt C:\Temp\SystemTrace.etl -o C:\Temp\TraceReport.xml -of XML

4. Activez la journalisation détaillée des événements pour le dépannage :

wevtutil sl Microsoft-Windows-Kernel-General/Analytic /e:true
wevtutil sl Microsoft-Windows-Kernel-Process/Analytic /e:true

5. Créez une collection d'événements personnalisée pour la corrélation :

$Events = @()
$Events += Get-WinEvent -FilterHashtable @{LogName='Application'; Id=256; StartTime=(Get-Date).AddDays(-1)}
$Events += Get-WinEvent -FilterHashtable @{LogName='System'; Id=1074,6005,6006,6008; StartTime=(Get-Date).AddDays(-1)}
$Events | Sort-Object TimeCreated | Export-Csv -Path "C:\Temp\CorrelatedEvents.csv"

Effectuer une analyse approfondie du registre et tenter de reconstruire les informations de source d'événement manquantes ou corrompues.

1. Exporter la ruche complète du registre EventLog pour analyse :

reg export "HKLM\SYSTEM\CurrentControlSet\Services\EventLog" "C:\Temp\EventLogRegistry.reg"

2. Rechercher les entrées de source d'événement orphelines ou corrompues :

Get-ChildItem "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\Application" | ForEach-Object {
    $sourceName = $_.PSChildName
    $eventMessageFile = Get-ItemProperty -Path $_.PSPath -Name "EventMessageFile" -ErrorAction SilentlyContinue
    if (-not $eventMessageFile -or -not (Test-Path $eventMessageFile.EventMessageFile)) {
        Write-Output "Source potentiellement corrompue : $sourceName"
    }
}

3. Vérifier les enregistrements de source d'événement en double ou en conflit :

$AllSources = @()
@('Application', 'System', 'Security') | ForEach-Object {
    $LogName = $_
    Get-ChildItem "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$LogName" | ForEach-Object {
        $AllSources += [PSCustomObject]@{
            LogName = $LogName
            SourceName = $_.PSChildName
            RegistryPath = $_.PSPath
        }
    }
}
$AllSources | Group-Object SourceName | Where-Object {$_.Count -gt 1}

4. Reconstruire l'enregistrement de la source d'événement si une corruption est détectée :

# Exemple pour recréer une source manquante (remplacer par le nom réel de l'application)
$SourceName = "YourApplicationName"
$LogName = "Application"
New-EventLog -LogName $LogName -Source $SourceName

5. Vérifier la correction en testant la génération d'événements :

Write-EventLog -LogName "Application" -Source "YourApplicationName" -EventId 1001 -EntryType Information -Message "Événement de test après recréation de la source"