ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Event Viewer displaying critical system events on a server monitoring dashboard
Event ID 26CriticalApplication PopupWindows

ID d'événement Windows 26 – Fenêtre contextuelle de l'application : Processus système terminé de manière inattendue

L'ID d'événement 26 indique qu'un processus système critique s'est terminé de manière inattendue, déclenchant le rapport d'erreurs Windows. Cet événement signale généralement une instabilité système grave nécessitant une enquête immédiate.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 26Application Popup 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 26 sert de système d'alerte précoce de Windows pour les défaillances critiques de processus pouvant entraîner une instabilité à l'échelle du système. Lorsque le service Application Popup détecte qu'un processus critique du système s'est terminé de manière anormale, il enregistre cet événement avec des informations détaillées sur la défaillance. L'événement inclut le nom du processus, l'ID du processus, le code de sortie et l'horodatage, fournissant aux administrateurs des données judiciaires essentielles.

Le service Application Popup surveille les processus que Windows considère comme essentiels pour le fonctionnement du système. Ceux-ci incluent les services Windows de base, les processus de sécurité et les composants système qui, s'ils sont terminés, pourraient provoquer des défaillances en cascade dans tout le système d'exploitation. Le service utilise des mécanismes de surveillance des processus internes pour détecter quand ces processus se terminent de manière inattendue, que ce soit en raison de plantages, de terminaisons forcées ou d'autres conditions anormales.

Dans les environnements Windows 11 et Server 2025, Microsoft a amélioré les capacités de détection pour inclure une surveillance des processus plus granulaire et une meilleure corrélation avec la télémétrie matérielle. L'événement offre désormais une meilleure intégration avec les fonctionnalités de Windows Defender et System Guard, offrant plus de contexte sur les implications potentielles en matière de sécurité des terminaisons de processus.

La criticité de cet événement ne peut être surestimée. Les systèmes connaissant des occurrences fréquentes de l'ID d'événement 26 présentent souvent des symptômes tels que des redémarrages aléatoires, des écrans bleus, des défaillances de service ou des blocages complets du système. L'événement sert à la fois d'outil de diagnostic et de système d'alerte précoce, permettant aux administrateurs d'identifier et de résoudre les problèmes sous-jacents avant qu'ils ne conduisent à une défaillance complète du système.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Défaillances matérielles, y compris la corruption de la mémoire, l'instabilité du CPU ou les erreurs de périphériques de stockage
  • Conflits de pilotes ou pilotes de périphériques corrompus provoquant des plantages de processus système
  • Activité de malware ou de rootkit terminant des processus de sécurité ou des composants système
  • Corruption de fichiers système affectant des processus critiques de Windows
  • Problèmes d'alimentation provoquant une terminaison inattendue des processus
  • Surchauffe des composants entraînant une instabilité du système
  • Corruption du registre affectant le démarrage ou le fonctionnement des processus
  • Conflits de logiciels de sécurité tiers avec les processus Windows
  • Échecs de Windows Update laissant les processus système dans des états instables
  • Épuisement des ressources provoquant l'échec de processus critiques
Méthodes de résolution

Étapes de dépannage

01

Analyser les détails de l'événement et le contexte système

Commencez par examiner les détails spécifiques de l'ID d'événement 26 pour comprendre quel processus s'est terminé et dans quelles circonstances.

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSystème
  3. Filtrez pour l'ID d'événement 26 en cliquant avec le bouton droit sur le journal Système et en sélectionnant Filtrer le journal actuel
  4. Entrez 26 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur l'entrée la plus récente de l'ID d'événement 26 pour voir des informations détaillées
  6. Notez le nom du processus, le PID, le code de sortie et l'horodatage à partir de la description de l'événement
  7. Utilisez PowerShell pour recueillir un contexte supplémentaire sur les événements système récents :
Get-WinEvent -FilterHashtable @{LogName='System'; Id=26} -MaxEvents 10 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap

# Vérifiez les événements critiques liés dans la même période
Get-WinEvent -FilterHashtable @{LogName='System'; Level=1,2,3} -MaxEvents 50 | Where-Object {$_.TimeCreated -gt (Get-Date).AddHours(-24)} | Format-Table TimeCreated, Id, LevelDisplayName, ProviderName

Documentez le nom du processus et tous les codes d'erreur pour une enquête plus approfondie dans les méthodes suivantes.

02

Vérifier l'intégrité des fichiers système et la santé de Windows

Vérifiez que les fichiers système critiques sont intacts et que les composants Windows fonctionnent correctement.

  1. Ouvrez une invite de commande avec élévation de privilèges en appuyant sur Win + X et en sélectionnant Windows Terminal (Admin)
  2. Exécutez le vérificateur de fichiers système pour rechercher des fichiers système corrompus :
sfc /scannow
  1. Si SFC trouve des problèmes, exécutez DISM pour réparer l'image Windows :
DISM /Online /Cleanup-Image /RestoreHealth
  1. Vérifiez la santé des composants Windows à l'aide de PowerShell :
# Vérifiez la santé de Windows Update
Get-WindowsUpdateLog

# Vérifiez que les services critiques sont en cours d'exécution
Get-Service | Where-Object {$_.Status -eq 'Stopped' -and $_.StartType -eq 'Automatic'} | Format-Table Name, Status, StartType

# Vérifiez les redémarrages en attente
if (Get-ChildItem "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\RebootRequired" -ErrorAction SilentlyContinue) {
    Write-Host "Redémarrage en attente requis pour les mises à jour Windows" -ForegroundColor Yellow
}
  1. Examinez le fichier CBS.log pour obtenir des informations détaillées sur les réparations des fichiers système :
Get-Content C:\Windows\Logs\CBS\CBS.log | Select-String "error|corrupt|fail" | Select-Object -Last 20
Astuce pro : Exécutez ces analyses pendant les fenêtres de maintenance car elles peuvent être gourmandes en ressources et peuvent nécessiter des redémarrages du système.
03

Enquêter sur les problèmes matériels et de pilotes

Examinez la stabilité du matériel et les conflits de pilotes qui pourraient entraîner l'arrêt critique du processus.

  1. Vérifiez la stabilité du système en utilisant le Diagnostic de mémoire Windows :
mdsched.exe

Planifiez un test de mémoire pour le prochain redémarrage et redémarrez le système.

  1. Après le test de mémoire, vérifiez les résultats dans le Visualiseur d'événements sous Journaux WindowsSystème, en filtrant pour Source : MemoryDiagnostics-Results
  2. Examinez les installations et mises à jour récentes des pilotes :
# Vérifiez les pilotes récemment installés
Get-WinEvent -FilterHashtable @{LogName='System'; ProviderName='Microsoft-Windows-Kernel-PnP'} -MaxEvents 50 | Where-Object {$_.TimeCreated -gt (Get-Date).AddDays(-7)} | Format-Table TimeCreated, Id, Message -Wrap

# Listez tous les pilotes installés avec les dates
Get-WindowsDriver -Online | Sort-Object Date -Descending | Select-Object -First 20 | Format-Table ProviderName, ClassName, DriverVersion, Date
  1. Vérifiez le Gestionnaire de périphériques pour les appareils problématiques :
# Obtenez les appareils avec des problèmes
Get-PnpDevice | Where-Object {$_.Status -ne 'OK'} | Format-Table FriendlyName, Status, InstanceId
  1. Examinez les journaux d'erreurs matérielles :
# Vérifiez les erreurs matérielles
Get-WinEvent -FilterHashtable @{LogName='System'; ProviderName='Microsoft-Windows-Kernel-Processor-Power','Microsoft-Windows-Kernel-General'} -MaxEvents 20 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap
Avertissement : Si des erreurs de mémoire sont détectées, planifiez immédiatement le remplacement du matériel car une utilisation continue peut entraîner une corruption des données.
04

Analyser les vidages de processus et le rapport d'erreurs Windows

Examinez les vidages sur incident et les données de Windows Error Reporting pour identifier la cause principale de la terminaison du processus.

  1. Vérifiez si Windows Error Reporting a capturé des vidages sur incident :
# Vérifiez les emplacements des rapports WER
$WERPath = "$env:LOCALAPPDATA\Microsoft\Windows\WER\ReportQueue"
Get-ChildItem $WERPath -Recurse | Where-Object {$_.Name -like "*.dmp"} | Sort-Object LastWriteTime -Descending | Select-Object -First 10 | Format-Table Name, LastWriteTime, Length
  1. Configurez le système pour créer des vidages mémoire complets pour les échecs de processus critiques :
# Activez les vidages mémoire complets (nécessite un redémarrage)
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\CrashControl" -Name "CrashDumpEnabled" -Value 1
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\CrashControl" -Name "DumpFile" -Value "C:\Windows\MEMORY.DMP"
  1. Vérifiez les paramètres de Windows Error Reporting et les rapports récents :
# Affichez la configuration WER
Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\Windows Error Reporting" | Format-List

# Vérifiez les rapports d'erreurs récents
Get-WinEvent -FilterHashtable @{LogName='Application'; ProviderName='Windows Error Reporting'} -MaxEvents 20 | Format-Table TimeCreated, Id, Message -Wrap
  1. Utilisez Process Monitor pour capturer l'activité des processus en temps réel :

Téléchargez et exécutez Process Monitor (ProcMon) de Microsoft Sysinternals pour capturer l'activité détaillée des processus et du système de fichiers pendant le moment où l'ID d'événement 26 se produit.

  1. Activez la journalisation avancée pour le processus spécifique qui se termine :
# Activez le suivi des processus dans la politique d'audit
auditpol /set /subcategory:"Process Termination" /success:enable /failure:enable

# Vérifiez les événements de terminaison de processus
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4689} -MaxEvents 20 | Format-Table TimeCreated, Message -Wrap
05

Récupération Système Avancée et Prévention

Mettre en œuvre des mesures de récupération système complètes et établir une surveillance pour prévenir les occurrences futures.

  1. Créer un point de restauration système avant de faire des modifications :
# Créer un point de restauration
Checkpoint-Computer -Description "Avant l'enquête sur l'ID d'événement 26" -RestorePointType "MODIFY_SETTINGS"
  1. Réinitialiser le rapport d'erreurs Windows et les services associés :
# Arrêter et redémarrer le service WER
Stop-Service -Name "WerSvc" -Force
Start-Service -Name "WerSvc"

# Vider la file d'attente des rapports WER
Remove-Item "$env:LOCALAPPDATA\Microsoft\Windows\WER\ReportQueue\*" -Recurse -Force -ErrorAction SilentlyContinue

# Réinitialiser le service Application Experience
Restart-Service -Name "AeLookupSvc" -Force
  1. Configurer une surveillance et des alertes améliorées :
# Créer une tâche planifiée pour surveiller l'ID d'événement 26
$Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-Command Get-WinEvent -FilterHashtable @{LogName='System'; Id=26} -MaxEvents 1 | Out-File C:\Logs\Event26Alert.log -Append"
$Trigger = New-ScheduledTaskTrigger -AtStartup
$Settings = New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries -DontStopIfGoingOnBatteries
Register-ScheduledTask -TaskName "Event26Monitor" -Action $Action -Trigger $Trigger -Settings $Settings -User "SYSTEM"
  1. Mettre en œuvre des mesures de renforcement du système :
# Activer DEP pour tous les programmes
bcdedit /set nx AlwaysOn

# Configurer les paramètres de redémarrage automatique
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\CrashControl" -Name "AutoReboot" -Value 0

# Activer la journalisation de démarrage
bcdedit /set bootlog yes
  1. Configurer une journalisation complète et établir une surveillance de référence :
# Augmenter la taille du journal système
Limit-EventLog -LogName System -MaximumSize 100MB -OverflowAction OverwriteAsNeeded

# Activer des politiques d'audit supplémentaires
auditpol /set /subcategory:"System Integrity" /success:enable /failure:enable
auditpol /set /subcategory:"Security System Extension" /success:enable /failure:enable

# Créer un script de surveillance
$MonitorScript = @"
Get-WinEvent -FilterHashtable @{LogName='System'; Id=26; StartTime=(Get-Date).AddHours(-1)} -ErrorAction SilentlyContinue | 
ForEach-Object {
    Send-MailMessage -To 'admin@company.com' -From 'server@company.com' -Subject 'Critique : ID d'événement 26 détecté' -Body `$_.Message -SmtpServer 'mail.company.com'
}
"@
$MonitorScript | Out-File C:\Scripts\Event26Monitor.ps1
Astuce pro : Envisagez de mettre en œuvre Windows Performance Toolkit (WPT) pour une analyse avancée des performances si l'ID d'événement 26 continue de se produire après un dépannage de base.

Aperçu

L'ID d'événement 26 de l'Application Popup représente l'un des événements système les plus graves que vous rencontrerez dans les environnements Windows. Cet événement se déclenche lorsqu'un processus système critique se termine de manière inattendue, entraînant souvent une instabilité du système ou un arrêt immédiat. Le service Application Popup génère cet événement dans le cadre du rapport d'erreurs Windows (WER) lorsque le système détecte qu'un processus vital s'est écrasé ou a été forcé de se terminer.

Contrairement aux plantages d'applications standard, l'ID d'événement 26 cible spécifiquement les processus au niveau du système qui sont essentiels au fonctionnement de Windows. Lorsque cet événement apparaît dans vos journaux, il indique que Windows a détecté une terminaison de processus qui pourrait compromettre la stabilité du système. L'événement inclut généralement des détails sur le processus terminé, les codes de sortie et les informations de synchronisation qui sont cruciales pour l'analyse des causes profondes.

Cet événement apparaît couramment dans le journal Système et nécessite une attention immédiate des administrateurs système. Le moment et la fréquence de ces événements peuvent indiquer des défaillances matérielles, des conflits de pilotes, une activité malveillante ou une corruption critique de fichiers système. Comprendre le contexte et enquêter sur la cause sous-jacente est essentiel pour maintenir la fiabilité du système et prévenir une perte de données potentielle ou un temps d'arrêt prolongé.

Questions Fréquentes

Que signifie l'ID d'événement 26 de Application Popup et à quel point est-il critique ?+
L'ID d'événement 26 de Application Popup indique qu'un processus système critique s'est terminé de manière inattendue. C'est l'un des événements les plus graves dans Windows, car il signale qu'un processus essentiel à la stabilité du système s'est écrasé ou a été forcé de se terminer. L'événement est critique car il précède souvent une instabilité du système, des écrans bleus ou une défaillance complète du système. Lorsque vous voyez cet événement, il nécessite une enquête immédiate car il indique généralement des problèmes matériels sous-jacents, des conflits de pilotes, une activité malveillante ou une corruption sévère du système. Le service Application Popup génère cet événement dans le cadre du rapport d'erreurs Windows pour alerter les administrateurs que l'intégrité du système peut être compromise.
Quels processus déclenchent généralement l'ID d'événement 26 et que signifient-ils ?+
L'ID d'événement 26 est généralement déclenché par la terminaison de processus Windows critiques tels que csrss.exe (Client Server Runtime Process), winlogon.exe (Windows Logon Process), lsass.exe (Local Security Authority Subsystem), services.exe (Service Control Manager) ou smss.exe (Session Manager Subsystem). Chaque terminaison de processus indique différents problèmes potentiels : les échecs de csrss.exe pointent souvent vers des problèmes matériels ou des conflits de pilotes, la terminaison de winlogon.exe suggère des problèmes du système d'authentification ou des logiciels malveillants, les plantages de lsass.exe indiquent des problèmes du sous-système de sécurité, les échecs de services.exe pointent vers des problèmes de gestion des services, et la terminaison de smss.exe suggère des problèmes fondamentaux de démarrage du système. Le processus spécifique mentionné dans les détails de l'événement fournit des indices cruciaux sur la cause profonde et aide à orienter les efforts de dépannage.
Comment puis-je empêcher l'apparition de l'ID d'événement 26 dans mon environnement Windows ?+
Prévenir l'ID d'événement 26 nécessite une approche multi-couches axée sur la stabilité du système et la surveillance proactive. Mettez en œuvre des vérifications régulières de la santé du matériel, y compris des diagnostics de mémoire, la surveillance de la santé des disques et la surveillance de la température pour détecter les problèmes matériels tôt. Maintenez les pilotes et les mises à jour Windows à jour tout en les testant d'abord dans des environnements non productifs. Déployez une protection complète des points de terminaison pour prévenir les logiciels malveillants susceptibles de terminer des processus critiques. Établissez une surveillance de base à l'aide de Performance Monitor et de Windows Event Forwarding pour détecter les anomalies avant qu'elles ne causent l'arrêt des processus. Configurez une allocation et une surveillance appropriées des ressources système pour éviter l'épuisement des ressources. Mettez en œuvre des vérifications régulières de l'intégrité des fichiers système à l'aide de SFC et DISM. Plus important encore, établissez des systèmes de redondance et de sauvegarde afin que si l'ID d'événement 26 se produit, vous puissiez rapidement rétablir le service avec un temps d'arrêt minimal.
Que dois-je faire immédiatement lorsque l'ID d'événement 26 apparaît dans mes journaux ?+
Lorsqu'un ID d'événement 26 apparaît, prenez des mesures immédiates pour prévenir une défaillance du système et recueillir des informations de diagnostic. Tout d'abord, vérifiez si le système est encore stable et réactif - sinon, planifiez un arrêt contrôlé et un redémarrage. Capturez immédiatement les détails de l'événement, y compris le nom du processus terminé, le PID, le code de sortie et l'horodatage. Vérifiez les événements supplémentaires liés dans les journaux Système et Application dans la même période. Exécutez des diagnostics matériels rapides, y compris la planification de tests de mémoire et des vérifications de l'état du disque. Vérifiez que les services critiques fonctionnent toujours et redémarrez ceux qui se sont arrêtés. Créez un point de restauration système si le système est suffisamment stable. Documentez tous les symptômes et les changements récents du système. Si plusieurs occurrences de l'ID d'événement 26 apparaissent en succession rapide, préparez-vous à une éventuelle défaillance du système et assurez-vous que les sauvegardes sont à jour. Contactez les fournisseurs de matériel si les événements sont en corrélation avec des composants matériels spécifiques.
Comment analyser les vidages sur incident liés à l'ID d'événement 26 pour l'analyse des causes profondes ?+
L'analyse des vidages sur incident pour l'ID d'événement 26 nécessite un examen systématique des vidages mémoire et des données de rapport d'erreurs Windows. Tout d'abord, localisez les vidages sur incident dans les répertoires %LOCALAPPDATA%\Microsoft\Windows\WER\ReportQueue\ et C:\Windows\Minidump\. Utilisez les outils de débogage Windows (WinDbg) ou Visual Studio pour analyser les fichiers de vidage - recherchez le module défaillant, les codes d'exception et les informations de pile d'appels. Vérifiez l'analyse du vidage pour détecter des modèles de corruption de mémoire, des problèmes de pilote ou des conflits de logiciels tiers. Corrélez les horodatages des vidages avec les occurrences de l'ID d'événement 26 pour confirmer la relation. Utilisez la commande !analyze -v dans WinDbg pour obtenir une analyse automatisée de l'incident. Recherchez des modèles courants tels que IRQL_NOT_LESS_OR_EQUAL, SYSTEM_SERVICE_EXCEPTION ou CRITICAL_PROCESS_DIED. Recoupez les pilotes ou modules identifiés avec les mises à jour récentes ou les problèmes connus. Si les vidages pointent systématiquement vers le même module ou pilote, recherchez des solutions spécifiques au fournisseur ou envisagez de revenir aux modifications récentes. Documentez les conclusions et créez un plan de remédiation basé sur la cause racine identifiée dans l'analyse du vidage.
Documentation

Références (2)

1
Windows Error Reporting OverviewOfficial Microsoft documentation covering Windows Error Reporting architecture and configurationhttps://docs.microsoft.com/en-us/windows/win32/wer/windows-error-reporting
2
Debugging Tools for WindowsMicrosoft's comprehensive guide to Windows debugging tools including WinDbg for crash dump analysishttps://docs.microsoft.com/en-us/windows-hardware/drivers/debugger/
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#system-stability#critical-events#event-id-26

Événements Windows associés

Windows Event Viewer displaying critical system events on a professional monitoring setup in a server room
Event 76
Application Popup
Windows EventError

ID d'événement Windows 76 – Fenêtre contextuelle de l'application : Processus système terminé de manière inattendue

L'ID d'événement 76 indique qu'un processus système critique s'est terminé de manière inattendue, ce qui entraîne l'affichage d'une fenêtre contextuelle d'erreur d'application par Windows et peut potentiellement initier des procédures de récupération du système.

18 mars12 min
System administrator analyzing Windows Event Viewer showing critical system errors on monitoring dashboard
Event 25
Application Popup
Windows EventError

ID d'événement Windows 25 – Fenêtre contextuelle de l'application : Processus système terminé de manière inattendue

L'ID d'événement 25 indique qu'un processus système critique s'est terminé de manière inattendue, déclenchant le rapport d'erreurs Windows. Cet événement signale généralement des problèmes de pilote, une corruption de la mémoire ou une instabilité du système nécessitant une enquête immédiate.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...