ID d'événement Windows 258 – Système : Terminaison du processus avec code de sortie

Commencez par examiner les entrées spécifiques de l'ID d'événement 258 pour comprendre le modèle et les processus affectés.

1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
2. Accédez à Journaux Windows → Système
3. Filtrez le journal en cliquant sur Filtrer le journal actuel dans le volet Actions
4. Entrez 258 dans le champ ID d'événements et cliquez sur OK
5. Double-cliquez sur chaque entrée d'ID d'événement 258 pour examiner les détails
6. Notez le nom du processus, le PID, le code de sortie et l'horodatage pour l'analyse des modèles
7. Cherchez des processus récurrents ou des codes de sortie spécifiques qui apparaissent fréquemment

PowerShell offre des capacités puissantes de filtrage et d'analyse pour l'investigation de l'ID d'événement 258.

1. Ouvrir PowerShell en tant qu'administrateur
2. Récupérer les entrées récentes de l'ID d'événement 258 :

   Get-WinEvent -FilterHashtable @{LogName='System'; Id=258} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap

3. Analyser les codes de sortie et les modèles de processus :

   Get-WinEvent -FilterHashtable @{LogName='System'; Id=258} -MaxEvents 100 | ForEach-Object { $_.Message -match 'exit code (\d+)'; $matches[1] } | Group-Object | Sort-Object Count -Descending

4. Filtrer les événements par plage de temps spécifique :

   $StartTime = (Get-Date).AddDays(-7)
   $Events = Get-WinEvent -FilterHashtable @{LogName='System'; Id=258; StartTime=$StartTime}
   $Events | Select-Object TimeCreated, Message | Export-Csv -Path "C:\Temp\Event258_Analysis.csv" -NoTypeInformation

5. Identifier les processus les plus fréquemment terminés :

   Get-WinEvent -FilterHashtable @{LogName='System'; Id=258} -MaxEvents 200 | ForEach-Object { if($_.Message -match 'Process (.+?) \(') { $matches[1] } } | Group-Object | Sort-Object Count -Descending | Select-Object -First 10

Corrélez l'ID d'événement 258 avec les journaux spécifiques à l'application et les vidages sur incident pour une analyse plus approfondie.

1. Vérifiez le journal Application pour les événements d'erreur associés :

   Get-WinEvent -FilterHashtable @{LogName='Application'; Level=2} -MaxEvents 100 | Where-Object {$_.TimeCreated -gt (Get-Date).AddHours(-24)} | Format-Table TimeCreated, Id, ProviderName, LevelDisplayName, Message -Wrap

2. Examinez les vidages sur incident de Windows Error Reporting (WER) dans C:\ProgramData\Microsoft\Windows\WER\ReportQueue
3. Activez la collecte des vidages sur incident de l'application :

   New-Item -Path "HKLM:\SOFTWARE\Microsoft\Windows\Windows Error Reporting\LocalDumps" -Force
   Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\Windows Error Reporting\LocalDumps" -Name "DumpType" -Value 2 -Type DWord
   Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\Windows Error Reporting\LocalDumps" -Name "DumpFolder" -Value "C:\CrashDumps" -Type String

4. Examinez l'historique de fiabilité : Exécutez perfmon /rel pour ouvrir le Moniteur de fiabilité
5. Recherchez des motifs entre l'ID d'événement 258 et les échecs d'application dans la chronologie de fiabilité

Enquêter pour savoir si des contraintes de ressources provoquent des terminaisons de processus enregistrées sous l'ID d'événement 258.

1. Vérifier l'utilisation actuelle des ressources système :

   Get-Counter "\Memory\Available MBytes", "\Processor(_Total)\% Processor Time", "\Process(_Total)\Handle Count" -SampleInterval 5 -MaxSamples 12

2. Surveiller les processus avec une consommation élevée de ressources :

   Get-Process | Sort-Object WorkingSet -Descending | Select-Object -First 10 Name, Id, WorkingSet, CPU, Handles | Format-Table -AutoSize

3. Configurer une surveillance continue pour les processus gourmands en ressources :

   $ProcessName = "YourApplicationName"
   while($true) {
       $Process = Get-Process -Name $ProcessName -ErrorAction SilentlyContinue
       if($Process) {
           Write-Host "$(Get-Date): $ProcessName - Memory: $([math]::Round($Process.WorkingSet/1MB,2)) MB, CPU: $($Process.CPU)"
       }
       Start-Sleep -Seconds 30
   }

4. Activer les compteurs de performance des processus et des threads dans le Moniteur de performance (perfmon.exe)
5. Créer un ensemble de collecteurs de données personnalisé pour suivre les événements du cycle de vie des processus et les corréler avec les occurrences de l'ID d'événement 258

Utilisez des outils de diagnostic avancés pour capturer le comportement détaillé du processus menant à la génération de l'ID d'événement 258.

1. Téléchargez et exécutez Process Monitor de Microsoft Sysinternals
2. Configurez les filtres de Process Monitor pour vous concentrer sur l'application problématique:
   • Réglez Process and Thread Activity pour inclure les démarrages et arrêts de processus
   • Filtrez par nom de processus si vous avez identifié une application spécifique
   • Activez Show Process and Thread Activity dans le menu Options
3. Activez la journalisation avancée dans le journal des événements Windows:

   wevtutil sl Microsoft-Windows-Kernel-Process/Analytic /e:true
   wevtutil sl Microsoft-Windows-ProcessStateManager/Operational /e:true

4. Utilisez Windows Performance Toolkit (WPT) pour une analyse détaillée des processus:

   # Installez WPT à partir du SDK Windows si non disponible
   wpr -start GeneralProfile -start CPU -start DiskIO

5. Configurez Application Verifier pour les applications problématiques:

   appverif.exe /verify YourApplication.exe /with Heaps Handles Locks

6. Analysez les données collectées après avoir reproduit le scénario de l'ID d'événement 258
7. Désactivez la journalisation avancée lorsque le dépannage est terminé:

   wevtutil sl Microsoft-Windows-Kernel-Process/Analytic /e:false
   wpr -stop C:\Temp\ProcessAnalysis.etl