ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Event Viewer showing system event logs with error events on a monitoring dashboard
Event ID 4108ErrorMicrosoft-Windows-EventlogWindows

ID d'événement Windows 4108 – Microsoft-Windows-Eventlog : Le service du journal des événements a rencontré une erreur

L'ID d'événement 4108 indique que le service de journal des événements Windows a rencontré une erreur lors du traitement des journaux d'événements, souvent liée à la corruption des fichiers journaux, à des problèmes d'espace disque ou à des problèmes de configuration du service.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 20269 min de lecture 0
Event ID 4108Microsoft-Windows-Eventlog 5 méthodes 9 min
Référence événement

Signification de cet événement

L'ID d'événement 4108 représente une condition d'erreur critique au sein de l'infrastructure du service de journal des événements Windows. Le service EventLog fonctionne comme un composant central de Windows responsable de la gestion de la collecte, du stockage et de la récupération des événements système à travers tous les journaux Windows, y compris Système, Application, Sécurité et les journaux d'application personnalisés.

Lorsque cet événement se produit, il indique généralement que le service de journal des événements a rencontré une condition inattendue qui a empêché le traitement normal des journaux. L'erreur peut se manifester de plusieurs manières : échec de l'écriture des événements dans les fichiers journaux, incapacité à lire les entrées de journal existantes, corruption dans les en-têtes de fichiers journaux ou problèmes avec les mécanismes de rotation des fichiers journaux. La description de l'événement contient généralement des codes d'erreur spécifiques tels que 0x80070070 (espace disque insuffisant) ou 0xC0000188 (fichier journal corrompu).

Le moment de l'ID d'événement 4108 est crucial pour le diagnostic. S'il se produit lors du démarrage du système, il peut indiquer une corruption de fichier journal due à un arrêt incorrect. S'il apparaît pendant les opérations normales, il pointe souvent vers une épuisement de l'espace disque ou des problèmes de sous-système de stockage. L'événement peut également se déclencher lors des opérations de maintenance programmées des journaux, suggérant des problèmes avec les processus d'archivage ou de nettoyage des journaux.

D'un point de vue administration système, l'ID d'événement 4108 nécessite une attention immédiate car il peut entraîner une perte de pistes d'audit, une incapacité à résoudre d'autres problèmes système et des violations potentielles de conformité dans des environnements réglementés. L'événement précède souvent une instabilité système plus grave si la cause sous-jacente implique une corruption de stockage ou de système de fichiers.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Espace disque insuffisant sur le lecteur contenant les journaux d'événements Windows (généralement C:\Windows\System32\winevt\Logs)
  • Fichiers de journaux d'événements corrompus (.evtx) en raison d'un arrêt incorrect du système ou de problèmes de stockage
  • Problèmes de configuration du service de journalisation des événements ou corruption du registre
  • Défaillances du sous-système de stockage ou erreurs de disque affectant l'accès aux fichiers journaux
  • Logiciel antivirus interférant avec les opérations sur les fichiers journaux d'événements
  • Limites de taille des fichiers journaux atteintes sans rotation correctement configurée
  • Problèmes de permissions du système de fichiers empêchant l'accès aux fichiers journaux
  • Épuisement de la mémoire empêchant le service de journalisation des événements de traiter les événements
  • Applications tierces détenant des verrous exclusifs sur les fichiers journaux
Méthodes de résolution

Étapes de dépannage

01

Vérifier l'espace disque et l'état du fichier journal des événements

Commencez par vérifier l'espace disque disponible et examiner l'intégrité des fichiers journaux d'événements :

  1. Ouvrez Explorateur de fichiers et accédez à C:\Windows\System32\winevt\Logs
  2. Vérifiez l'espace disque disponible sur le lecteur C:. Les journaux d'événements nécessitent au moins 100 Mo d'espace libre pour un fonctionnement normal
  3. Exécutez PowerShell en tant qu'administrateur et exécutez :
    Get-WinEvent -ListLog * | Where-Object {$_.RecordCount -eq $null -or $_.LogFilePath -eq $null} | Select-Object LogName, LogFilePath, RecordCount
  4. Vérifiez les fichiers journaux corrompus :
    Get-ChildItem "C:\Windows\System32\winevt\Logs\*.evtx" | ForEach-Object { try { Get-WinEvent -Path $_.FullName -MaxEvents 1 -ErrorAction Stop; Write-Host "$($_.Name): OK" -ForegroundColor Green } catch { Write-Host "$($_.Name): CORRUPTED" -ForegroundColor Red } }
  5. Si l'espace disque est faible, nettoyez les anciens fichiers journaux ou augmentez les limites de taille des journaux à l'aide de l'Observateur d'événements
02

Redémarrer le service de journalisation des événements et effacer les journaux corrompus

Redémarrez le service du journal des événements et effacez tous les fichiers journaux corrompus :

  1. Ouvrez Services.msc en tant qu'administrateur
  2. Localisez le service Windows Event Log et notez les services dépendants
  3. Arrêtez le service du journal des événements :
    Stop-Service -Name "EventLog" -Force
  4. Attendez 30 secondes, puis redémarrez le service :
    Start-Service -Name "EventLog"
  5. Si une corruption est détectée, effacez les journaux corrompus spécifiques :
    wevtutil cl System
wevtutil cl Application
  6. Vérifiez l'état du service :
    Get-Service -Name "EventLog" | Select-Object Name, Status, StartType
  7. Vérifiez si l'ID d'événement 4108 continue d'apparaître dans le journal Système
Avertissement : Effacer les journaux d'événements supprimera définitivement les données historiques des journaux. Assurez-vous d'avoir des sauvegardes si des pistes d'audit sont nécessaires.
03

Examiner la configuration du registre des journaux d'événements

Enquêter et réparer les paramètres du registre du service Journal des événements :

  1. Ouvrir Éditeur du Registre (regedit.exe) en tant qu'Administrateur
  2. Accéder à HKLM\SYSTEM\CurrentControlSet\Services\EventLog
  3. Vérifier que les valeurs de registre suivantes existent et sont correctes :
    • ImagePath : %SystemRoot%\System32\svchost.exe -k LocalServiceNetworkRestricted -p
    • Start : 2 (Automatique)
  4. Vérifier les configurations de journaux individuels à HKLM\SYSTEM\CurrentControlSet\Services\EventLog\System
  5. Exporter les paramètres actuels du registre pour sauvegarde :
    reg export "HKLM\SYSTEM\CurrentControlSet\Services\EventLog" "C:\Temp\EventLog_Registry_Backup.reg"
  6. Si une corruption du registre est suspectée, restaurer à partir d'une bonne sauvegarde connue ou réinitialiser aux valeurs par défaut
  7. Redémarrer le système pour appliquer les modifications du registre
04

Effectuer une vérification des fichiers système et une réparation du journal des événements

Utilisez les outils intégrés de Windows pour réparer les fichiers système et l'infrastructure du journal des événements :

  1. Exécutez le Vérificateur de fichiers système pour réparer les fichiers système corrompus :
    sfc /scannow
  2. Vérifiez le journal SFC pour les réparations liées au journal des événements :
    findstr /c:"[SR]" %windir%\Logs\CBS\CBS.log | findstr /i "event"
  3. Exécutez DISM pour réparer l'image Windows :
    DISM /Online /Cleanup-Image /RestoreHealth
  4. Reconstruisez la configuration du journal des événements en utilisant PowerShell :
    Get-WinEvent -ListLog * | ForEach-Object { if($_.IsEnabled) { wevtutil set-log $_.LogName /enabled:false; wevtutil set-log $_.LogName /enabled:true } }
  5. Vérifiez les dépendances du service Windows Event Log :
    sc qc EventLog
  6. Vérifiez que tous les services dépendants fonctionnent correctement
05

Dépannage avancé avec Process Monitor et suivi des événements

Utilisez des outils de diagnostic avancés pour identifier la cause principale des erreurs du service Journal des événements :

  1. Téléchargez et exécutez Process Monitor de Microsoft Sysinternals
  2. Définissez des filtres pour surveiller l'activité du service EventLog :
    • Nom du processus : svchost.exe
    • Le chemin contient : winevt
  3. Activez le traçage du service Journal des événements :
    wevtutil set-log Microsoft-Windows-Eventlog/Debug /enabled:true
  4. Surveillez les opérations du journal des événements en temps réel :
    Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-Eventlog/Debug'} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap
  5. Vérifiez les erreurs du système de fichiers sur le lecteur système :
    chkdsk C: /f /r
  6. Analysez les journaux de Process Monitor pour les échecs d'accès aux fichiers, les problèmes de permissions ou les erreurs de disque
  7. Examinez le Moniteur de fiabilité Windows pour corréler les événements système
  8. Désactivez le traçage de débogage du Journal des événements après le dépannage :
    wevtutil set-log Microsoft-Windows-Eventlog/Debug /enabled:false
Astuce pro : Planifiez une maintenance régulière du journal des événements à l'aide du Planificateur de tâches pour éviter la corruption des fichiers journaux et les problèmes d'espace.

Aperçu

L'ID d'événement 4108 se déclenche lorsque le service de journal des événements Windows (EventLog) rencontre une erreur lors des opérations de traitement des journaux. Cet événement système critique apparaît généralement dans le journal Système et indique des problèmes de gestion des journaux d'événements, y compris la corruption des fichiers journaux, un espace disque insuffisant ou des problèmes de configuration du service.

Le service de journal des événements est fondamental pour les opérations Windows, responsable de la collecte, du stockage et de la gestion de tous les événements système et applicatifs. Lorsque ce service rencontre des erreurs, cela peut affecter la surveillance du système, les capacités de dépannage et les exigences de conformité. L'événement inclut souvent des codes d'erreur spécifiques et des descriptions qui aident à identifier la cause première.

Cet événement se produit couramment lors de la rotation des journaux, lorsque les journaux atteignent les limites de taille maximale, ou lorsque le service tente d'écrire dans des fichiers journaux corrompus. Les administrateurs système doivent enquêter sur cet événement immédiatement car il peut indiquer des problèmes de stockage sous-jacents ou des erreurs de configuration du service qui peuvent affecter la stabilité du système et l'intégrité de la piste d'audit.

Questions Fréquentes

Que signifie l'ID d'événement 4108 et quelle est sa gravité ?+
L'ID d'événement 4108 indique que le service de journal des événements Windows a rencontré une erreur lors des opérations de traitement des journaux. Il s'agit d'une erreur grave qui peut affecter la surveillance du système, les capacités de dépannage et l'intégrité de la piste d'audit. L'événement apparaît généralement lorsqu'il y a des problèmes d'espace disque, de corruption de fichiers journaux ou de problèmes de configuration du service. Une enquête immédiate est requise car cela peut entraîner une perte de données d'événements système critiques et peut indiquer des problèmes de stockage ou de système sous-jacents qui pourraient affecter la stabilité globale du système.
L'ID d'événement 4108 peut-il provoquer des plantages système ou des problèmes de performance ?+
Bien que l'ID d'événement 4108 ne provoque pas directement de plantages système, les problèmes sous-jacents qui le déclenchent peuvent entraîner une instabilité du système. Si l'erreur est causée par l'épuisement de l'espace disque, elle peut empêcher d'autres opérations système de se terminer avec succès. Les journaux d'événements corrompus peuvent consommer des ressources CPU et mémoire excessives lorsque le service tente de traiter des fichiers endommagés. De plus, si le service de journalisation des événements échoue complètement, cela peut affecter d'autres services qui dépendent de la fonctionnalité de journalisation des événements, entraînant potentiellement des défaillances en cascade.
Comment puis-je empêcher l'événement ID 4108 de se produire à l'avenir ?+
Empêchez l'ID d'événement 4108 en mettant en œuvre une gestion proactive des journaux d'événements : configurez des limites de taille de journal appropriées et des politiques de rétention dans l'Observateur d'événements pour éviter que les journaux ne deviennent trop volumineux. Configurez des alertes de surveillance de l'espace disque pour le lecteur système, en particulier le répertoire C:\Windows\System32\winevt\Logs. Planifiez l'archivage et le nettoyage réguliers des journaux à l'aide du Planificateur de tâches ou de scripts PowerShell. Assurez-vous de suivre les procédures d'arrêt du système appropriées pour éviter la corruption des fichiers journaux. Configurez des exclusions antivirus pour les fichiers et répertoires de journaux d'événements. Surveillez régulièrement la santé du système à l'aide du Moniteur de performances et du Moniteur de fiabilité Windows pour identifier les problèmes potentiels de stockage ou de service avant qu'ils n'affectent la journalisation des événements.
Quelles informations dois-je collecter lorsque l'ID d'événement 4108 se produit ?+
Lorsque l'ID d'événement 4108 se produit, collectez les informations de diagnostic suivantes : Les détails complets de l'événement, y compris les codes d'erreur et les descriptions à partir de l'Observateur d'événements. État actuel de l'espace disque sur tous les lecteurs, en particulier le lecteur système. Liste de tous les journaux d'événements et leur statut actuel en utilisant Get-WinEvent -ListLog. Statut et configuration du service de journalisation des événements en utilisant les commandes Services.msc et sc query. Modifications récentes du système, y compris les installations de logiciels, les mises à jour ou les modifications de configuration. Journaux de Process Monitor montrant l'activité du système de fichiers pour le service EventLog. État d'intégrité des fichiers système à l'aide des résultats de sfc /scannow. Tout événement corrélatif dans les journaux Système, Application et Sécurité qui s'est produit à peu près au même moment.
Est-il sûr d'effacer les journaux d'événements pour résoudre l'ID d'événement 4108 ?+
Effacer les journaux d'événements peut résoudre l'ID d'événement 4108 causé par la corruption, mais cela doit être fait avec précaution. Avant d'effacer les journaux, exportez les événements importants pour sauvegarde en utilisant wevtutil export-log ou la fonction Enregistrer tous les événements de l'Observateur d'événements. Tenez compte des exigences réglementaires et de conformité qui peuvent imposer la conservation des journaux. Effacez uniquement les journaux corrompus spécifiques identifiés lors des tests plutôt que tous les journaux. Après l'effacement, surveillez le système pour vous assurer que l'erreur ne se reproduit pas, ce qui indiquerait un problème sous-jacent plus profond. Dans les environnements de production, coordonnez l'effacement des journaux avec les équipes de sécurité et de conformité. Des approches alternatives comme l'augmentation des limites de taille des journaux ou la résolution des problèmes sous-jacents de disque/stockage sont souvent préférables à l'effacement des journaux.
Documentation

Références (2)

1
Windows Event Log Service OverviewOfficial Microsoft documentation covering Windows Event Log service architecture and troubleshootinghttps://docs.microsoft.com/en-us/windows/win32/eventlog/event-logging
2
Event Viewer and Event Log ManagementMicrosoft documentation for wevtutil command-line tool and event log management procedureshttps://docs.microsoft.com/en-us/windows-server/administration/windows-commands/wevtutil
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#windows-events#event-id-4108#eventlog-service

Événements Windows associés

Windows Event Viewer displaying security logs on a professional monitoring workstation in a security operations center
Event 1102
Microsoft-Windows-Eventlog
Windows EventInformation

ID d'événement Windows 1102 – Microsoft-Windows-Eventlog : Journal de sécurité effacé

L'ID d'événement 1102 indique que le journal de sécurité Windows a été effacé manuellement par un administrateur ou un processus système, déclenchant une documentation immédiate de la piste d'audit.

18 mars9 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...