ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows server monitoring dashboard displaying critical system events in a professional data center environment
Event ID 4CriticalKernel-GeneralWindows

ID d'événement Windows 4 – Kernel-General : Processus système terminé de manière inattendue

L'ID d'événement 4 indique qu'un processus système critique s'est terminé de manière inattendue, signalant souvent des défaillances au niveau du noyau, des problèmes de pilote ou une instabilité du système nécessitant une enquête immédiate.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 4Kernel-General 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 4 représente une notification au niveau du noyau qui se produit lorsque Windows détecte la terminaison inattendue d'un processus critique pour le système. Le noyau Windows génère cet événement via le gestionnaire de processus et de threads (routine PspProcessDelete) lorsqu'un processus marqué comme critique pour le fonctionnement du système se termine de manière anormale. Ce mécanisme sert de système d'alerte précoce pour une instabilité potentielle du système.

La structure de l'événement comprend plusieurs champs de données clés : le nom et l'identifiant du processus terminé, le code de statut de sortie, et un contexte supplémentaire sur la cause de la terminaison. Les codes de sortie fournissent des informations spécifiques sur la raison de l'échec du processus - les codes courants incluent 0xC0000005 (violation d'accès), 0xC000001D (instruction illégale), et 0x80000003 (exception de point d'arrêt). Ces codes aident les administrateurs à distinguer entre la corruption de mémoire, les défauts matériels, et les bogues logiciels.

Dans Windows Server 2025 et Windows 11 24H2, Microsoft a amélioré le rapport de l'ID d'événement 4 pour inclure des données de télémétrie supplémentaires telles que les modèles d'utilisation de la mémoire, l'activité récente des pilotes, et les états des ressources système au moment de la terminaison du processus. Cet ensemble de données élargi améliore considérablement les capacités de diagnostic, permettant aux administrateurs de corréler les échecs de processus avec des conditions système spécifiques ou des changements de configuration récents.

Le niveau de gravité critique de l'événement garantit qu'il apparaît de manière proéminente dans les systèmes de surveillance et déclenche des alertes automatisées dans des environnements correctement configurés. System Center Operations Manager, Azure Monitor, et les solutions SIEM tierces classent généralement l'ID d'événement 4 comme une alerte de haute priorité nécessitant une enquête immédiate, car il précède souvent des défaillances système plus graves, y compris des écrans bleus ou des blocages complets du système.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Défaillances matérielles : Modules RAM défaillants, CPU en surchauffe ou dispositifs de stockage se dégradant causant une corruption de la mémoire ou des erreurs de lecture
  • Conflits de pilotes : Pilotes de périphériques incompatibles ou corrompus accédant à des adresses mémoire invalides ou provoquant des exceptions en mode noyau
  • Corruption de fichiers système : Fichiers système Windows endommagés, corruption du registre ou problèmes de secteur de démarrage affectant l'initialisation des processus critiques
  • Problèmes de gestion de la mémoire : Mémoire virtuelle insuffisante, fuites de mémoire ou corruption du tas dans les processus système
  • Interférence des logiciels de sécurité : Solutions antivirus ou de protection des points d'accès trop agressives terminant des processus système légitimes
  • Instabilité de l'alimentation électrique : Distribution de puissance incohérente causant des erreurs du sous-système CPU ou mémoire lors d'opérations critiques
  • Bugs de firmware : Problèmes de BIOS/UEFI, problèmes de microcode ou conflits de couche d'abstraction matérielle
  • Extensions de noyau tierces : Pilotes en mode noyau ou services système mal écrits causant des problèmes de stabilité
Méthodes de résolution

Étapes de dépannage

01

Analyser les détails de l'événement et le contexte système

Commencez par examiner les détails spécifiques de l'ID d'événement 4 pour comprendre quel processus a été terminé et pourquoi.

  1. Ouvrez Observateur d'événementsJournaux WindowsSystème
  2. Filtrez pour l'ID d'événement 4 en utilisant l'option de filtre ou la fonctionnalité de recherche
  3. Double-cliquez sur l'entrée la plus récente de l'ID d'événement 4 pour voir les informations détaillées
  4. Notez le nom du processus, le PID et le code de sortie à partir de la description de l'événement
  5. Utilisez PowerShell pour recueillir un contexte supplémentaire :
    Get-WinEvent -FilterHashtable @{LogName='System'; Id=4} -MaxEvents 10 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap
  6. Faites une référence croisée avec les journaux Application et Sécurité pour les événements connexes :
    $TimeRange = (Get-Date).AddHours(-2)
Get-WinEvent -FilterHashtable @{LogName='Application','System','Security'; StartTime=$TimeRange} | Where-Object {$_.Id -in @(1000,1001,6008,6009,41)} | Sort-Object TimeCreated
  7. Vérifiez le Moniteur de fiabilité Windows pour un contexte supplémentaire sur le crash : perfmon /rel
Astuce pro : Le code de sortie dans l'ID d'événement 4 fournit des informations de diagnostic cruciales. Le code 0xC0000005 indique des violations d'accès, tandis que 0x80000003 suggère des points d'arrêt de débogage ou des exceptions logicielles.
02

Examiner le matériel du système et l'état des pilotes

Les problèmes matériels causent fréquemment l'ID d'événement 4, donc une vérification systématique du matériel est essentielle.

  1. Exécutez le Diagnostic de mémoire Windows pour vérifier les problèmes de RAM :
    mdsched.exe
  2. Vérifiez les températures du système et l'état du matériel :
    Get-WmiObject -Class Win32_TemperatureProbe | Select-Object Name, CurrentReading, Status
Get-WmiObject -Class Win32_Fan | Select-Object Name, DesiredSpeed, Status
  3. Vérifiez l'intégrité des pilotes et identifiez les pilotes problématiques :
    Get-WindowsDriver -Online | Where-Object {$_.Driver -like "*sys"} | Sort-Object Date -Descending | Select-Object -First 20
  4. Exécutez le Vérificateur de pilotes pour détecter les problèmes de pilotes :
    verifier /standard /all
  5. Vérifiez le Gestionnaire de périphériques pour les conflits matériels : devmgmt.msc
  6. Examinez les journaux d'événements système pour les avertissements liés au matériel :
    Get-WinEvent -FilterHashtable @{LogName='System'; Level=2,3} -MaxEvents 50 | Where-Object {$_.ProviderName -like "*disk*" -or $_.ProviderName -like "*memory*" -or $_.ProviderName -like "*hardware*"}
Avertissement : Le Vérificateur de pilotes peut causer une instabilité du système. Ne l'activez que lorsque vous pouvez vous permettre des plantages potentiels du système pendant les tests.
03

Effectuer des vérifications d'intégrité des fichiers système et du registre

La corruption du système se manifeste souvent par des terminaisons de processus inattendues enregistrées dans l'ID d'événement 4.

  1. Exécutez le Vérificateur de fichiers système pour détecter et réparer les fichiers système corrompus :
    sfc /scannow
  2. Utilisez DISM pour réparer l'image Windows si SFC trouve des problèmes :
    DISM /Online /Cleanup-Image /CheckHealth
DISM /Online /Cleanup-Image /ScanHealth
DISM /Online /Cleanup-Image /RestoreHealth
  3. Vérifiez l'intégrité du registre et sauvegardez les ruches critiques :
    reg export HKLM\SYSTEM C:\Backup\system_backup.reg
reg export HKLM\SOFTWARE C:\Backup\software_backup.reg
  4. Vérifiez la configuration de démarrage du système :
    bcdedit /enum all
bcdedit /v
  5. Vérifiez les opérations de fichiers en attente qui pourraient causer des conflits :
    reg query "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager" /v PendingFileRenameOperations
  6. Exécutez Windows Update pour garantir les derniers correctifs :
    Get-WindowsUpdate -Install -AcceptAll -AutoReboot
Astuce pro : Exécutez toujours ces commandes à partir d'une invite de commande ou d'une session PowerShell élevée. Le fichier CBS.log dans C:\Windows\Logs\CBS\ contient des informations détaillées sur les opérations SFC.
04

Configurer la surveillance avancée et l'analyse des vidages sur incident

Configurez une surveillance complète pour capturer des informations détaillées sur les futures occurrences de l'ID d'événement 4.

  1. Configurez le système pour générer des vidages mémoire complets :
    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\CrashControl" -Name "CrashDumpEnabled" -Value 1
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\CrashControl" -Name "DumpFile" -Value "C:\Windows\MEMORY.DMP"
  2. Activez la journalisation de Process Monitor pour les processus système critiques :
    $ProcessList = @("winlogon.exe", "csrss.exe", "smss.exe", "lsass.exe")
foreach ($Process in $ProcessList) {
    Get-Process $Process -ErrorAction SilentlyContinue | ForEach-Object {
        Write-Host "Monitoring process: $($_.ProcessName) (PID: $($_.Id))"
    }
}
  3. Configurez Windows Performance Toolkit pour une analyse avancée :
    wpr -start GeneralProfile -start CPU -start DiskIO
  4. Configurez les abonnements au journal des événements pour une surveillance centralisée :
    wecutil cs subscription.xml
  5. Installez et configurez les outils de débogage Windows :
    winget install Microsoft.WindowsSDK
  6. Créez des vues personnalisées du journal des événements pour la corrélation de l'ID d'événement 4 :
    $Query = @"

  
    
  

"@
Get-WinEvent -FilterXml $Query
Astuce pro : Les vidages mémoire complets nécessitent un espace disque égal à la taille de votre RAM plus 1 Mo. Assurez-vous d'avoir suffisamment d'espace libre sur votre lecteur système avant d'activer cette fonctionnalité.
05

Mettre en œuvre des mesures préventives et le renforcement du système

Établir des mesures proactives pour prévenir les occurrences futures de l'ID d'événement 4 et améliorer la stabilité du système.

  1. Configurer la surveillance automatique de l'état du système :
    $Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-Command Get-WinEvent -FilterHashtable @{LogName='System'; Id=4; StartTime=(Get-Date).AddMinutes(-5)} | Export-Csv C:\Logs\Event4_Monitor.csv -Append"
$Trigger = New-ScheduledTaskTrigger -Once -At (Get-Date) -RepetitionInterval (New-TimeSpan -Minutes 5) -RepetitionDuration (New-TimeSpan -Days 365)
Register-ScheduledTask -TaskName "Event4Monitor" -Action $Action -Trigger $Trigger -RunLevel Highest
  2. Mettre en œuvre la surveillance des ressources système :
    Get-Counter "\Memory\Available MBytes","\Processor(_Total)\% Processor Time","\System\Processor Queue Length" -Continuous -SampleInterval 30
  3. Configurer le rapport d'erreurs Windows pour une analyse détaillée des plantages :
    Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\Windows Error Reporting" -Name "Disabled" -Value 0
Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\Windows Error Reporting\LocalDumps" -Name "DumpType" -Value 2
  4. Mettre en place une maintenance système automatisée :
    schtasks /change /tn "\Microsoft\Windows\TaskScheduler\Regular Maintenance" /enable
schtasks /run /tn "\Microsoft\Windows\Defrag\ScheduledDefrag"
  5. Créer des points de restauration système avant les changements majeurs :
    Enable-ComputerRestore -Drive "C:\"
Checkpoint-Computer -Description "Pre-Event4-Investigation" -RestorePointType "MODIFY_SETTINGS"
  6. Configurer des politiques d'audit avancées pour le suivi des processus :
    auditpol /set /subcategory:"Process Termination" /success:enable /failure:enable
Avertissement : La surveillance continue des performances peut affecter les performances du système. Ajustez les intervalles d'échantillonnage en fonction de la capacité de votre système et des exigences de surveillance.

Aperçu

L'ID d'événement 4 de la source Kernel-General représente l'un des événements système les plus graves que vous rencontrerez dans les environnements Windows. Cet événement critique se déclenche lorsqu'un processus système central se termine de manière inattendue, indiquant une instabilité potentielle au niveau du noyau, des pannes matérielles ou des composants système corrompus. Contrairement aux plantages d'applications qui génèrent des ID d'événements différents, l'ID d'événement 4 cible spécifiquement les processus critiques du système dont l'échec peut compromettre la stabilité globale du système.

Cet événement apparaît généralement dans le journal Système immédiatement avant ou pendant les plantages du système, les écrans bleus ou les redémarrages inattendus. L'événement contient des informations de diagnostic cruciales, y compris le nom du processus, l'ID du processus, le code de sortie et la raison de la terminaison. Les administrateurs système surveillant les environnements Windows Server en 2026 rencontrent fréquemment cet événement lors de transitions matérielles, de mises à jour de pilotes ou lorsque des composants de serveur vieillissants commencent à défaillir.

Le moment et la fréquence des occurrences de l'ID d'événement 4 fournissent des informations précieuses sur les schémas de santé du système. Des instances uniques peuvent indiquer des problèmes transitoires, tandis que des occurrences répétées suggèrent des problèmes matériels sous-jacents, des conflits de pilotes ou une corruption du système nécessitant une attention immédiate. Les versions modernes de Windows incluent des données de télémétrie améliorées avec cet événement, rendant l'analyse des causes profondes plus efficace que les générations précédentes.

Questions Fréquentes

Que signifie l'ID d'événement 4 et pourquoi est-il critique ?+
L'ID d'événement 4 indique qu'un processus critique pour le système s'est terminé de manière inattendue, ce qui représente une menace sérieuse pour la stabilité du système. Contrairement aux plantages d'applications réguliers, cet événement suit spécifiquement les processus que Windows considère essentiels pour le bon fonctionnement du système. Le niveau de gravité critique signifie que le système a détecté une défaillance pouvant entraîner une instabilité plus large du système, des écrans bleus ou des plantages complets du système. L'événement inclut des informations de diagnostic telles que le nom du processus, le code de sortie et la raison de la terminaison, ce qui le rend inestimable pour le dépannage des problèmes au niveau du noyau, des défaillances matérielles et des conflits de pilotes.
Comment puis-je déterminer quel processus a causé l'ID d'événement 4 ?+
Les détails de l'ID d'événement 4 contiennent des informations spécifiques sur le processus terminé. Ouvrez l'Observateur d'événements, accédez à Journaux Windows → Système, et double-cliquez sur l'entrée de l'ID d'événement 4. La description de l'événement inclut le nom du processus, l'ID du processus (PID) et le code de sortie. Vous pouvez également utiliser PowerShell : Get-WinEvent -FilterHashtable @{LogName='System'; Id=4} -MaxEvents 1 | Format-List * pour voir toutes les propriétés de l'événement. Le code de sortie fournit un contexte supplémentaire - par exemple, 0xC0000005 indique une violation d'accès, tandis que 0x80000003 suggère une exception logicielle. Recoupez le nom du processus avec le Gestionnaire des tâches ou Process Explorer pour comprendre la fonction du processus et son importance pour le fonctionnement du système.
L'ID d'événement 4 est-il toujours lié à des problèmes matériels ?+
Non, l'ID d'événement 4 peut résulter de diverses causes au-delà des problèmes matériels. Bien que les défaillances matérielles comme la RAM défaillante, les composants en surchauffe ou les problèmes d'alimentation soient des déclencheurs courants, les causes liées aux logiciels sont tout aussi fréquentes. Celles-ci incluent des fichiers système corrompus, des pilotes de périphériques incompatibles ou bogués, une corruption du registre, une mémoire virtuelle insuffisante ou des conflits avec les logiciels de sécurité. Les pilotes en mode noyau tiers, les échecs de service système et même les mises à jour Windows peuvent déclencher l'ID d'événement 4. L'essentiel est d'examiner le processus spécifique qui s'est terminé, le code de sortie, et de corréler avec d'autres événements système pour déterminer si la cause première est liée au matériel, au logiciel ou à la configuration.
À quelle fréquence devrais-je m'attendre à voir l'ID d'événement 4 sur un système sain ?+
Sur un système fonctionnant correctement, l'ID d'événement 4 devrait être extrêmement rare ou inexistant. Les systèmes Windows en bonne santé ne subissent généralement pas de résiliation inattendue de processus système critiques. Si vous voyez régulièrement l'ID d'événement 4 - même une fois par semaine - cela indique des problèmes sous-jacents qui nécessitent une enquête. Des occurrences occasionnelles lors de changements majeurs du système, de mises à jour de pilotes ou de maintenance matérielle peuvent être acceptables, mais des entrées récurrentes de l'ID d'événement 4 suggèrent une dégradation matérielle, une instabilité des pilotes ou une corruption du système. Dans les environnements d'entreprise, toute occurrence de l'ID d'événement 4 devrait déclencher une enquête immédiate, car elle précède souvent des défaillances système plus graves pouvant impacter les opérations commerciales.
L'ID d'événement 4 peut-il causer une perte de données ou une corruption du système ?+
L'ID d'événement 4 en lui-même ne provoque pas directement de perte de données, mais il indique des conditions pouvant entraîner une corruption ou une perte de données. Lorsque des processus système critiques se terminent de manière inattendue, cela peut interrompre les opérations de fichiers, les transactions de base de données ou les écritures en mémoire, potentiellement corrompant les données. Les causes sous-jacentes de l'ID d'événement 4 - telles que les pannes matérielles, la corruption de la mémoire ou les problèmes de stockage - posent des risques significatifs pour l'intégrité des données. Si le processus terminé gérait des opérations d'E/S de fichiers ou des ressources système, des opérations incomplètes pourraient entraîner des fichiers ou des entrées de registre corrompus. De plus, l'ID d'événement 4 précède souvent des plantages système ou des écrans bleus, ce qui peut entraîner la perte de travaux non sauvegardés et, dans les cas graves, une corruption du système de fichiers nécessitant des procédures de récupération.
Documentation

Références (2)

1
Microsoft Learn - Windows Event LogsComprehensive documentation on Windows Event Logging architecture and event managementhttps://learn.microsoft.com/en-us/windows/win32/eventlog/event-logging
2
Windows Hardware Compatibility ProgramOfficial guidance on driver compatibility and hardware certification requirementshttps://learn.microsoft.com/en-us/windows-hardware/drivers/install/
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#system-stability#kernel-events#event-id-4

Événements Windows associés

Windows Event Viewer displaying system time change events on a professional monitoring dashboard
Event 16388
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 16388 – Microsoft-Windows-Kernel-General : Notification de changement de l'heure système

L'ID d'événement 16388 se déclenche lorsque Windows détecte un changement de l'heure système, soit par un ajustement manuel, soit par une synchronisation automatique. Critique pour l'audit de sécurité et le dépannage des problèmes liés au temps.

18 mars9 min
Windows Event Viewer showing system event logs on a monitoring dashboard
Event 16384
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 16384 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 16384 se déclenche lorsque Windows détecte un changement de l'heure système, soit manuel, soit automatique. Critique pour l'audit de sécurité et le dépannage des problèmes de synchronisation de l'heure dans les environnements de domaine.

18 mars9 min
Windows Event Viewer displaying system time change events on a monitoring dashboard
Event 11728
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 11728 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 11728 se déclenche lorsque Windows détecte un changement de l'heure système, généralement à partir de services de synchronisation de l'heure, d'ajustements manuels ou de corrections de dérive de l'horloge matérielle.

18 mars12 min
Windows Event Viewer displaying system time change events on a professional monitoring dashboard
Event 11724
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 11724 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 11724 indique que le noyau Windows a détecté un changement de l'heure système, généralement déclenché par des services de synchronisation de l'heure, des ajustements manuels ou des corrections de dérive de l'horloge matérielle.

18 mars9 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...