ID d'événement Windows 32 – EventLog : Redirection du système de fichiers

Ouvrez Observateur d'événements pour examiner les détails spécifiques des occurrences de l'ID d'événement 32.

1. Appuyez sur Windows + R, tapez eventvwr.msc, et appuyez sur Entrée
2. Accédez à Journaux Windows → Système
3. Dans le volet Actions, cliquez sur Filtrer le journal actuel
4. Entrez 32 dans le champ ID d'événements et cliquez sur OK
5. Double-cliquez sur n'importe quelle entrée d'ID d'événement 32 pour voir les informations détaillées
6. Vérifiez l'onglet Général pour la description de l'événement et l'horodatage
7. Consultez l'onglet Détails pour des données système supplémentaires

Utilisez PowerShell pour interroger les occurrences récentes de l'ID d'événement 32 :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=32} -MaxEvents 10 | Format-Table TimeCreated, Id, LevelDisplayName, Message -AutoSize

Vérifiez que les services de système de fichiers fonctionnent correctement et correspondent au timing de l'ID d'événement 32.

1. Ouvrez la console Services en appuyant sur Windows + R, en tapant services.msc
2. Localisez et examinez ces services critiques :
   • Serveur - Prend en charge le partage de fichiers sur le réseau
   • Station de travail - Crée et maintient les connexions réseau client
   • Réplication du système de fichiers distribués (DFS) (si applicable)
3. Vérifiez les types de démarrage des services et leur statut actuel
4. Examinez les dépendances des services dans l'onglet Dépendances

Utilisez PowerShell pour vérifier les services liés au système de fichiers :

Get-Service | Where-Object {$_.Name -match 'lanman|dfs|rdr|srv'} | Format-Table Name, Status, StartType, DisplayName -AutoSize

Interrogez la corrélation du démarrage des services avec l'ID d'événement 32 :

$bootTime = (Get-CimInstance -ClassName Win32_OperatingSystem).LastBootUpTime
Get-WinEvent -FilterHashtable @{LogName='System'; StartTime=$bootTime} | Where-Object {$_.Id -eq 32 -or $_.Id -eq 7036} | Sort-Object TimeCreated

Examinez la séquence complète d'initialisation du système de fichiers pour comprendre le contexte de l'ID d'événement 32.

1. Ouvrez Gestionnaire de périphériques en cliquant avec le bouton droit sur Ce PC → Propriétés → Gestionnaire de périphériques
2. Développez Périphériques système et recherchez les entrées liées au système de fichiers
3. Vérifiez Contrôleurs de stockage pour tout indicateur d'avertissement
4. Examinez Cartes réseau si vous traitez des systèmes de fichiers réseau

Utilisez PowerShell pour examiner les pilotes de système de fichiers :

Get-WindowsDriver -Online | Where-Object {$_.ClassName -match 'System|Storage|Network'} | Format-Table Driver, ClassName, Version, Date

Vérifiez les pilotes de filtre de système de fichiers :

fltmc filters

Interrogez les événements système autour du moment de l'ID d'événement 32 :

$event32 = Get-WinEvent -FilterHashtable @{LogName='System'; Id=32} -MaxEvents 1
$startTime = $event32.TimeCreated.AddMinutes(-2)
$endTime = $event32.TimeCreated.AddMinutes(2)
Get-WinEvent -FilterHashtable @{LogName='System'; StartTime=$startTime; EndTime=$endTime} | Sort-Object TimeCreated | Format-Table TimeCreated, Id, LevelDisplayName, ProviderName

Pour les environnements utilisant des systèmes de fichiers en réseau, vérifiez la configuration et la connectivité qui affectent le Redirecteur de Système de Fichiers.

1. Ouvrez Invite de Commandes en tant qu'Administrateur
2. Vérifiez la configuration du client SMB :

   Get-SmbClientConfiguration

3. Vérifiez la connectivité réseau aux serveurs de fichiers :

   Test-NetConnection -ComputerName [FileServerName] -Port 445

4. Examinez la configuration DFS si applicable :

   Get-DfsnRoot

Vérifiez les paramètres du registre pour le redirecteur de système de fichiers :

Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters" | Format-List

Examinez l'ordre des fournisseurs de réseau :

Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order" -Name ProviderOrder

Effectuer une analyse approfondie du comportement du redirigeur de système de fichiers à l'aide d'outils de diagnostic avancés.

1. Téléchargez et exécutez Process Monitor de Microsoft Sysinternals
2. Définissez des filtres pour capturer l'activité du système de fichiers:
   • Nom du processus: System
   • Opération: Process and Thread Activity
   • Le chemin contient: redirector
3. Capturez la séquence de démarrage et corrélez avec le timing de l'ID d'événement 32

Examinez la configuration détaillée du registre:

$regPaths = @(
    "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation",
    "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer",
    "HKLM:\SYSTEM\CurrentControlSet\Services\Rdbss"
)

foreach ($path in $regPaths) {
    Write-Host "Registry Path: $path" -ForegroundColor Green
    Get-ItemProperty -Path $path -ErrorAction SilentlyContinue | Format-List
    Write-Host "`n" -NoNewline
}

Activez la journalisation détaillée du système de fichiers pour le dépannage:

wevtutil sl Microsoft-Windows-SMBClient/Audit /e:true
wevtutil sl Microsoft-Windows-SMBServer/Audit /e:true

Créez un script de surveillance d'événements personnalisé:

Register-WmiEvent -Query "SELECT * FROM Win32_VolumeChangeEvent" -Action {
    $Event = $Event.SourceEventArgs.NewEvent
    Write-Host "Volume change detected: $($Event.DriveName)" -ForegroundColor Yellow
    Get-WinEvent -FilterHashtable @{LogName='System'; Id=32} -MaxEvents 1
}