ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Event Viewer displaying application event logs with unknown source entries on a monitoring dashboard
Event ID 300InformationUnknownWindows

ID d'événement Windows 300 – Inconnu : Événement générique d'application ou de système

L'ID d'événement 300 provenant d'une source inconnue indique généralement un événement d'application ou de système générique qui nécessite une enquête pour déterminer la source réelle et son importance.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 300Unknown 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 300 provenant d'une source inconnue représente l'un des scénarios de diagnostic les plus difficiles dans la gestion des événements Windows. Cet événement se produit lorsque le service de journal des événements Windows reçoit une entrée de journal mais ne peut pas identifier ou résoudre correctement l'application ou le composant source qui l'a générée. La désignation de source inconnue résulte généralement de plusieurs problèmes sous-jacents au sein de l'infrastructure de journalisation des événements Windows.

Le service de journal des événements Windows s'appuie sur des sources d'événements enregistrées et des fichiers de ressources de messages associés pour formater et afficher correctement les informations sur les événements. Lorsqu'une application tente d'écrire dans le journal des événements sans enregistrement approprié, ou lorsque l'enregistrement devient corrompu, le système affiche par défaut la source comme 'Inconnue'. Cette situation survient souvent avec des applications tierces qui mettent en œuvre des mécanismes de journalisation personnalisés, des logiciels hérités qui précèdent les normes modernes de journalisation des événements Windows, ou des applications qui rencontrent des échecs d'installation partiels.

Dans les environnements d'entreprise exécutant Windows Server 2025 et Windows 11, l'ID d'événement 300 provenant de sources inconnues est souvent corrélé à des problèmes de déploiement d'applications, des problèmes de permissions de compte de service, ou une corruption du registre affectant les enregistrements de sources d'événements. L'événement peut contenir des informations de diagnostic précieuses dans son champ de description, mais sans identification correcte de la source, les administrateurs doivent utiliser des techniques d'investigation supplémentaires pour déterminer la cause profonde et les étapes de remédiation appropriées.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Applications tierces écrivant dans les journaux d'événements sans enregistrement de source approprié
  • Fichiers de ressources de messages d'événements corrompus ou manquants (fichiers DLL contenant des descriptions d'événements)
  • Corruption du registre affectant les enregistrements de sources d'événements dans HKLM\SYSTEM\CurrentControlSet\Services\EventLog
  • Applications héritées utilisant des API de journalisation d'événements obsolètes
  • Installations d'applications incomplètes ou désinstallations échouées laissant des sources d'événements orphelines
  • Problèmes de permissions de compte de service empêchant l'enregistrement correct de la source d'événements
  • Windows Update ou corruption de fichiers système affectant l'infrastructure des journaux d'événements
  • Logiciels malveillants ou de sécurité interférant avec les mécanismes de journalisation d'événements
  • Scripts personnalisés ou modules PowerShell utilisant des méthodes de journalisation d'événements inappropriées
Méthodes de résolution

Étapes de dépannage

01

Analyser les détails de l'événement et corréler le timing

Commencez par examiner les détails complets de l'événement pour recueillir des indices sur la source :

  1. Ouvrez Observateur d'événementsJournaux WindowsApplication
  2. Localisez les entrées d'ID d'événement 300 et double-cliquez pour voir les détails
  3. Notez l'horodatage exact, le nom de l'ordinateur et tout texte de description
  4. Utilisez PowerShell pour filtrer et analyser les motifs :
Get-WinEvent -FilterHashtable @{LogName='Application'; Id=300} -MaxEvents 50 | Select-Object TimeCreated, LevelDisplayName, Message | Format-Table -Wrap
  1. Recoupez les horodatages avec d'autres activités système :
# Vérifiez les installations d'applications autour de la même période
Get-WinEvent -FilterHashtable @{LogName='Application'; Id=1033,1034,11707,11708} | Where-Object {$_.TimeCreated -gt (Get-Date).AddHours(-24)} | Select-Object TimeCreated, Id, LevelDisplayName, Message
  1. Examinez le journal Système pour les événements connexes :
Get-WinEvent -FilterHashtable @{LogName='System'; StartTime=(Get-Date).AddHours(-2)} | Where-Object {$_.TimeCreated -eq (Get-Date "2026-03-18 14:30:00")} | Format-List
Astuce pro : Recherchez des motifs dans le texte de description de l'événement qui pourraient révéler des noms d'applications, des chemins de fichiers ou des codes d'erreur pouvant aider à identifier la source.
02

Examiner les entrées du registre des sources d'événements

Examinez le registre Windows pour identifier les enregistrements de source d'événements corrompus ou manquants :

  1. Ouvrez l'Éditeur du Registre en tant qu'Administrateur
  2. Accédez à HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application
  3. Cherchez des entrées suspectes ou corrompues qui pourraient correspondre à vos événements inconnus
  4. Utilisez PowerShell pour énumérer toutes les sources d'événements enregistrées :
# Lister toutes les sources d'événements d'application enregistrées
Get-ChildItem "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\Application" | Select-Object PSChildName | Sort-Object PSChildName
  1. Vérifiez les entrées de source d'événements orphelines ou invalides :
# Identifier les sources d'événements avec des fichiers de messages manquants
$EventSources = Get-ChildItem "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\Application"
foreach ($Source in $EventSources) {
    $MessageFile = Get-ItemProperty -Path $Source.PSPath -Name "EventMessageFile" -ErrorAction SilentlyContinue
    if ($MessageFile -and !(Test-Path $MessageFile.EventMessageFile)) {
        Write-Host "Fichier de message manquant pour la source : $($Source.PSChildName)" -ForegroundColor Red
        Write-Host "Chemin attendu : $($MessageFile.EventMessageFile)" -ForegroundColor Yellow
    }
}
  1. Si vous trouvez des entrées corrompues, sauvegardez le registre et supprimez les sources invalides :
# Sauvegarder le registre avant de faire des modifications
reg export "HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application" "C:\Temp\EventLog_Backup.reg"
Avertissement : Sauvegardez toujours le registre avant de faire des modifications. Des modifications incorrectes peuvent causer une instabilité du système.
03

Surveiller l'activité des processus pendant la génération d'événements

Utilisez des outils de surveillance des processus pour identifier quelle application génère les événements inconnus :

  1. Téléchargez et exécutez Process Monitor (ProcMon) de Microsoft Sysinternals
  2. Configurez des filtres pour surveiller l'activité du registre et du système de fichiers liée à la journalisation des événements :
  3. Configurez les filtres de ProcMon :
  • Activité des processus et des threads : Inclure
  • Activité du système de fichiers : Inclure les chemins contenant "EventLog"
  • Activité du registre : Inclure les clés sous "HKLM\SYSTEM\CurrentControlSet\Services\EventLog"
  1. Alternativement, utilisez PowerShell pour surveiller la création d'événements en temps réel :
# Surveiller les nouvelles entrées Event ID 300 en temps réel
Register-WmiEvent -Query "SELECT * FROM Win32_NTLogEvent WHERE LogFile='Application' AND EventCode=300" -Action {
    $Event = $Event.SourceEventArgs.NewEvent
    Write-Host "Nouvel Event ID 300 détecté à $($Event.TimeGenerated)" -ForegroundColor Green
    Write-Host "Source : $($Event.SourceName)" -ForegroundColor Yellow
    Write-Host "Message : $($Event.Message)" -ForegroundColor Cyan
    
    # Obtenir les processus en cours d'exécution
    Get-Process | Where-Object {$_.StartTime -gt (Get-Date).AddMinutes(-5)} | Select-Object Name, Id, StartTime
}
  1. Utilisez Windows Performance Toolkit (WPT) pour une traçabilité avancée :
# Démarrer la traçabilité ETW pour l'activité du journal des événements
wpr -start GeneralProfile -filemode
  1. Reproduisez le problème pendant que la surveillance est active, puis arrêtez la traçabilité :
wpr -stop C:\Temp\EventTrace.etl
Astuce pro : Corrélez les heures de démarrage des processus avec les horodatages des événements pour identifier l'application source probable.
04

Réparer l'infrastructure du journal des événements

Adressez la corruption potentielle dans le service Windows Event Log et les composants associés :

  1. Exécutez le Vérificateur de fichiers système pour réparer les fichiers système corrompus :
# Exécuter l'analyse SFC en tant qu'administrateur
sfc /scannow
  1. Vérifiez et réparez le service Windows Event Log :
# Arrêter le service Event Log
Stop-Service -Name "EventLog" -Force

# Effacer les fichiers journaux corrompus (sauvegarder d'abord)
Copy-Item "C:\Windows\System32\winevt\Logs\Application.evtx" "C:\Temp\Application_backup.evtx"

# Redémarrer le service Event Log
Start-Service -Name "EventLog"
  1. Réenregistrez les DLLs liées à Event Log :
# Réenregistrer les DLLs critiques d'Event Log
regsvr32 /s wevtapi.dll
regsvr32 /s wevtsvc.dll
regsvr32 /s wer.dll
  1. Reconstruisez les enregistrements de source d'événements en utilisant PowerShell :
# Créer une nouvelle source d'événements pour les tests
if (![System.Diagnostics.EventLog]::SourceExists("TestSource")) {
    [System.Diagnostics.EventLog]::CreateEventSource("TestSource", "Application")
    Write-Host "Source d'événement de test créée avec succès" -ForegroundColor Green
} else {
    Write-Host "La source d'événement de test existe déjà" -ForegroundColor Yellow
}

# Tester l'écriture sur la nouvelle source
[System.Diagnostics.EventLog]::WriteEntry("TestSource", "Message de test depuis PowerShell", "Information", 100)
  1. Exécutez DISM pour réparer l'image Windows si SFC trouve des problèmes :
# Vérifier l'état de santé de l'image Windows
DISM /Online /Cleanup-Image /CheckHealth

# Réparer si des problèmes sont trouvés
DISM /Online /Cleanup-Image /RestoreHealth
Avertissement : Arrêter le service Event Log empêchera temporairement la journalisation des événements à l'échelle du système. Planifiez cela pendant les fenêtres de maintenance.
05

Analyse médico-légale avancée avec scripts personnalisés

Déployer des scripts de surveillance et d'analyse complets pour les problèmes d'événements inconnus persistants :

  1. Créer un script PowerShell pour capturer l'état détaillé du système lors de l'occurrence de l'événement :
# Script d'enquête avancée sur l'ID d'événement 300
$LogPath = "C:\Temp\Event300_Investigation.log"
$StartTime = Get-Date

function Write-InvestigationLog {
    param([string]$Message)
    $Timestamp = Get-Date -Format "yyyy-MM-dd HH:mm:ss"
    "[$Timestamp] $Message" | Out-File -FilePath $LogPath -Append
}

# Surveiller l'ID d'événement 300 et capturer l'état du système
Register-WmiEvent -Query "SELECT * FROM Win32_NTLogEvent WHERE LogFile='Application' AND EventCode=300" -Action {
    $EventTime = Get-Date
    Write-InvestigationLog "ID d'événement 300 détecté à $EventTime"
    
    # Capturer les processus en cours
    $Processes = Get-Process | Select-Object Name, Id, CPU, WorkingSet, StartTime
    Write-InvestigationLog "Processus actifs : $($Processes.Count)"
    
    # Capturer l'activité récente du système de fichiers
    $RecentFiles = Get-ChildItem "C:\Windows\Temp", "C:\Temp" -Recurse -ErrorAction SilentlyContinue | 
                   Where-Object {$_.LastWriteTime -gt $EventTime.AddMinutes(-5)}
    Write-InvestigationLog "Modifications récentes de fichiers : $($RecentFiles.Count)"
    
    # Capturer les connexions réseau
    $Connections = Get-NetTCPConnection | Where-Object {$_.State -eq "Established"}
    Write-InvestigationLog "Connexions actives : $($Connections.Count)"
    
    # Exporter des informations détaillées sur l'événement
    $Event = $Event.SourceEventArgs.NewEvent
    Write-InvestigationLog "Détails de l'événement : Source=$($Event.SourceName), Message=$($Event.Message)"
}
  1. Mettre en œuvre la surveillance du registre pour les changements de source d'événement :
# Surveiller les changements de registre pour les sources de journal d'événements
$RegistryWatcher = New-Object System.IO.FileSystemWatcher
$RegistryWatcher.Path = "C:\Windows\System32\config"
$RegistryWatcher.Filter = "SYSTEM"
$RegistryWatcher.NotifyFilter = [System.IO.NotifyFilters]::LastWrite
$RegistryWatcher.EnableRaisingEvents = $true

Register-ObjectEvent -InputObject $RegistryWatcher -EventName "Changed" -Action {
    Write-InvestigationLog "Ruche SYSTEM du registre modifiée - changement potentiel de source d'événement"
}
  1. Créer une analyse de corrélation automatisée :
# Corréler l'ID d'événement 300 avec les activités du système
$CorrelationScript = {
    $Event300Times = Get-WinEvent -FilterHashtable @{LogName='Application'; Id=300} -MaxEvents 10 | 
                     Select-Object TimeCreated
    
    foreach ($EventTime in $Event300Times) {
        $WindowStart = $EventTime.TimeCreated.AddMinutes(-2)
        $WindowEnd = $EventTime.TimeCreated.AddMinutes(2)
        
        # Vérifier les événements d'application dans la fenêtre temporelle
        $RelatedEvents = Get-WinEvent -FilterHashtable @{
            LogName='Application','System'
            StartTime=$WindowStart
            EndTime=$WindowEnd
        } | Where-Object {$_.Id -ne 300}
        
        Write-Host "Événement à $($EventTime.TimeCreated) - Événements liés : $($RelatedEvents.Count)" -ForegroundColor Cyan
        $RelatedEvents | Select-Object Id, LevelDisplayName, ProviderName | Format-Table
    }
}

Invoke-Command -ScriptBlock $CorrelationScript
Conseil pro : Exécutez cette surveillance complète pendant 24 à 48 heures pour établir des modèles et identifier l'application source grâce à l'analyse de corrélation.

Aperçu

L'ID d'événement 300 avec une source inconnue présente un défi unique pour les administrateurs Windows. Cet événement apparaît généralement lorsqu'une application ou un composant système enregistre un événement sans s'identifier correctement, ou lorsque le service de journal des événements ne peut pas déterminer la source d'origine. Contrairement aux événements système bien documentés, l'ID d'événement 300 provenant d'une source inconnue nécessite un travail de détective pour identifier le composant réel générant l'entrée de journal.

Cet événement se produit couramment lors des installations d'applications, des opérations de services tiers, ou lorsque des applications héritées interagissent avec les mécanismes de journalisation modernes de Windows. La désignation de source inconnue résulte souvent de fichiers de messages d'événements manquants ou corrompus, de sources d'événements mal enregistrées, ou d'applications qui ne respectent pas les normes de journalisation des événements Windows.

Dans les environnements Windows 11 et Server 2025, les fonctionnalités de sécurité améliorées et le sandboxing d'applications plus strict peuvent contribuer à ces événements de source inconnue. L'événement apparaît généralement dans le journal des applications mais peut également apparaître dans les journaux système ou de sécurité selon le composant sous-jacent. Une enquête appropriée implique de corréler les horodatages avec les activités système, d'examiner les journaux d'exécution des processus, et d'analyser les événements d'installation ou de mise à jour d'applications qui coïncident avec les occurrences de l'ID d'événement 300.

Questions Fréquentes

Que signifie généralement l'ID d'événement 300 provenant d'une source inconnue ?+
L'ID d'événement 300 provenant d'une source inconnue indique qu'une application ou un composant système a écrit un événement dans le journal des événements Windows, mais que le service de journal des événements ne peut pas identifier correctement la source. Cela se produit généralement lorsque des applications écrivent dans les journaux d'événements sans enregistrement approprié, lorsque les enregistrements de source d'événements sont corrompus ou lorsque les fichiers de ressources de messages sont manquants. L'événement lui-même peut contenir des informations utiles dans sa description, mais la source inconnue rend difficile l'identification de l'application ou du composant qui a généré l'événement.
Comment puis-je déterminer quelle application génère l'ID d'événement 300 avec une source inconnue ?+
Pour identifier l'application source, utilisez une combinaison de corrélation de timestamp, de surveillance des processus et d'analyse du registre. Commencez par noter l'heure exacte des occurrences de l'ID d'événement 300 et faites une référence croisée avec les journaux d'installation des applications, les événements système et les heures de démarrage des processus. Utilisez Process Monitor (ProcMon) pour surveiller l'activité du registre et du système de fichiers liée à la journalisation des événements. Vous pouvez également mettre en œuvre des scripts de surveillance PowerShell qui capturent l'état du système lorsque l'événement se produit, y compris les processus en cours, les modifications récentes de fichiers et l'activité réseau. La corrélation de ces points de données révèle généralement l'application source.
L'ID d'événement 300 provenant d'une source inconnue peut-il indiquer un problème de sécurité ?+
Bien que l'ID d'événement 300 provenant d'une source inconnue soit généralement bénin et lié à des problèmes de journalisation des applications, il peut parfois indiquer des préoccupations de sécurité. Les logiciels malveillants tentent parfois d'écrire dans les journaux d'événements sans enregistrement approprié, ce qui entraîne des événements de source inconnue. De plus, si les événements coïncident avec un comportement système suspect, une installation de logiciel non autorisée ou une activité réseau, ils méritent une enquête. Cependant, la plupart des cas sont causés par des applications tierces légitimes, des logiciels anciens ou des installations incomplètes plutôt que par des menaces de sécurité. Toujours corréler avec d'autres indicateurs de sécurité et des modèles de comportement du système.
Comment puis-je réparer les enregistrements de source d'événements corrompus causant des événements de source inconnue ?+
Pour corriger les enregistrements de source d'événements corrompus, sauvegardez d'abord le registre, puis examinez HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application pour les entrées invalides. Utilisez PowerShell pour identifier les sources d'événements avec des fichiers de messages manquants en vérifiant si les chemins EventMessageFile existent. Supprimez les entrées corrompues après avoir sauvegardé le registre. Réenregistrez les DLL critiques du journal des événements en utilisant les commandes regsvr32 pour wevtapi.dll, wevtsvc.dll et wer.dll. Si les problèmes persistent, exécutez les commandes de réparation System File Checker (sfc /scannow) et DISM pour corriger la corruption sous-jacente des composants Windows. Redémarrez le service du journal des événements après avoir apporté des modifications.
Dois-je m'inquiéter de plusieurs entrées Event ID 300 de source inconnue ?+
Les entrées multiples d'ID d'événement 300 de source inconnue ne sont généralement pas une cause de préoccupation immédiate, mais elles indiquent un problème sous-jacent qui devrait être investigué. Des occurrences fréquentes suggèrent soit une application problématique qui tente à plusieurs reprises d'enregistrer des événements de manière incorrecte, une infrastructure de journal d'événements corrompue, ou un service qui échoue à enregistrer correctement sa source d'événement. Bien que ces événements n'affectent généralement pas la fonctionnalité du système, ils peuvent encombrer les journaux d'événements et rendre le diagnostic des problèmes légitimes plus difficile. Examinez les schémas de synchronisation, de fréquence et toute activité système associée pour identifier et résoudre la cause profonde pour une gestion plus propre des journaux d'événements.
Documentation

Références (2)

1
Microsoft Learn - Windows Event LoggingOfficial documentation covering Windows Event Logging APIs, event sources, and message fileshttps://learn.microsoft.com/en-us/windows/win32/eventlog/event-logging
2
Microsoft Sysinternals Process MonitorDownload and documentation for Process Monitor tool used for monitoring file system and registry activityhttps://learn.microsoft.com/en-us/sysinternals/downloads/procmon
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#windows-events#event-id-300#event-log-troubleshooting

Événements Windows associés

Windows Event Viewer displaying system error logs on a professional monitoring dashboard
Event 16389
Unknown
Windows EventError

ID d'événement Windows 16389 – Inconnu : Échec de l'initialisation de l'application ou du service

L'ID d'événement 16389 indique qu'une application ou un service n'a pas réussi à s'initialiser correctement au démarrage, souvent en raison de problèmes de dépendance, de fichiers corrompus ou de permissions insuffisantes.

18 mars12 min
System administrator analyzing Windows Event Viewer logs on multiple monitoring screens
Event 10000
Unknown
Windows EventError

ID d'événement Windows 10000 – Inconnu : Événement d'erreur générique d'application ou de système

L'ID d'événement 10000 représente une condition d'erreur générique provenant de diverses applications et services Windows. Cet événement générique nécessite une enquête détaillée pour identifier le composant spécifique et la cause première.

18 mars9 min
Windows Event Viewer showing system event logs on a monitoring dashboard
Event 302
Unknown
Windows EventInformation

ID d'événement Windows 302 – Inconnu : Événement d'initialisation du processus ou du service système

L'ID d'événement 302 indique un événement d'initialisation de processus ou de service système qui se produit lors du démarrage de Windows ou des opérations de gestion des services, généralement enregistré lorsque les composants principaux du système commencent leur séquence d'initialisation.

18 mars9 min
Windows Performance Monitor dashboard displaying system performance counters and monitoring graphs
Event 301
Unknown
Windows EventError

ID d'événement Windows 301 – Inconnu : Erreur de collecte des compteurs de performance système

L'ID d'événement 301 indique une défaillance de la collecte des compteurs de performance ou une corruption du registre affectant les capacités de surveillance du système et la collecte des données de performance.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...