ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Event Viewer displaying Event ID 5 process termination details on system administrator workstation
Event ID 5ErrorKernelWindows

ID d'événement Windows 5 – Noyau : Processus terminé de manière inattendue

L'ID d'événement 5 indique qu'un processus ou un service critique s'est terminé de manière inattendue, souvent en raison de violations d'accès, de corruption de mémoire ou d'instabilité du système nécessitant une enquête immédiate.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 20269 min de lecture 0
Event ID 5Kernel 5 méthodes 9 min
Référence événement

Signification de cet événement

L'ID d'événement Windows 5 représente l'un des événements liés aux processus les plus graves dans le système d'événements Windows. Lorsque le noyau détecte qu'un processus s'est terminé en dehors des procédures d'arrêt normales, il génère cet événement pour alerter les administrateurs d'une instabilité potentielle du système. L'événement capture des informations critiques, y compris le nom exécutable du processus, l'identifiant du processus (PID), le code de sortie et le contexte utilisateur sous lequel le processus s'exécutait.

Le sous-système de surveillance des processus du noyau suit en continu les processus en cours d'exécution et leur état de santé. Lorsqu'un processus se termine de manière inattendue—que ce soit en raison de violations d'accès, de débordement de pile, de corruption de tas ou de terminaison externe—le noyau enregistre immédiatement l'ID d'événement 5 avant de tenter toute action de récupération. Ce timing garantit que les informations de diagnostic sont préservées même si les tentatives de récupération ultérieures échouent.

Dans Windows Server 2025 et Windows 11 24H2, Microsoft a amélioré la journalisation des événements pour inclure un contexte supplémentaire tel que les informations sur le processus parent et les statistiques d'utilisation de la mémoire au moment de la terminaison. Cette journalisation améliorée aide les administrateurs à corréler les échecs de processus avec les contraintes de ressources système ou les scénarios de défaillance en cascade. L'événement déclenche également la collecte de Windows Error Reporting (WER) lorsqu'elle est configurée, fournissant des informations de débogage supplémentaires pour les processus système critiques.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Violations d'accès à la mémoire ou dépassements de tampon dans le code de l'application
  • Fichiers système corrompus ou dépendances DLL causant des plantages de processus
  • Pilotes de périphériques défectueux interférant avec l'exécution des processus
  • Mémoire système insuffisante entraînant la terminaison des processus
  • Logiciels malveillants ou de sécurité terminant de force les processus
  • Défaillances matérielles affectant les opérations de mémoire ou de CPU
  • Corruption du registre impactant l'initialisation des processus
  • Conflits de logiciels tiers ou problèmes de compatibilité
  • Corruption de fichiers système due à des arrêts incorrects ou des erreurs de disque
Méthodes de résolution

Étapes de dépannage

01

Analyser les détails de l'événement dans l'Observateur d'événements

Commencez par examiner les détails spécifiques de l'ID d'événement 5 pour identifier le processus défaillant et la raison de la terminaison.

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSystème
  3. Filtrez pour l'ID d'événement 5 en cliquant avec le bouton droit sur SystèmeFiltrer le journal actuel → entrez 5 dans le champ ID d'événements
  4. Double-cliquez sur l'entrée la plus récente de l'ID d'événement 5 pour voir les détails
  5. Notez le nom du processus, le PID, et le code de sortie à partir de la description de l'événement
  6. Vérifiez l'onglet Détails pour des données XML supplémentaires incluant le SID de l'utilisateur et les informations du processus parent

Utilisez PowerShell pour interroger plusieurs occurrences de l'ID d'événement 5 :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=5} -MaxEvents 20 | Select-Object TimeCreated, Id, LevelDisplayName, Message | Format-Table -Wrap
Astuce pro : Recherchez des motifs dans les noms de processus ou le timing qui pourraient indiquer un déclencheur spécifique ou un problème récurrent.
02

Vérifier l'intégrité des fichiers système

Les fichiers système corrompus provoquent souvent une terminaison inattendue des processus. Exécutez des vérifications complètes des fichiers système pour identifier et réparer la corruption.

  1. Ouvrez Invite de commandes en tant qu'administrateur
  2. Exécutez le Vérificateur de fichiers système pour rechercher les fichiers corrompus :
sfc /scannow
  1. Si SFC trouve des problèmes, exécutez DISM pour réparer l'image Windows :
DISM /Online /Cleanup-Image /RestoreHealth
  1. Redémarrez le système et surveillez les occurrences supplémentaires de l'ID d'événement 5
  2. Vérifiez le journal SFC pour les réparations de fichiers spécifiques :
Get-Content $env:windir\Logs\CBS\CBS.log | Select-String "\[SR\]" | Select-Object -Last 20
Avertissement : Les opérations de réparation DISM peuvent prendre plus de 30 minutes et nécessitent une connexion Internet pour télécharger les fichiers de remplacement.
03

Surveiller les performances des processus et l'utilisation de la mémoire

Utilisez le Moniteur de performance et le Gestionnaire des tâches pour identifier les contraintes de ressources qui pourraient entraîner la terminaison du processus.

  1. Ouvrez Moniteur de performance en exécutant perfmon.msc
  2. Créez un nouvel ensemble de collecteurs de données : Défini par l'utilisateurCréer nouveauEnsemble de collecteurs de données
  3. Ajoutez ces compteurs critiques :
    • Processus → Octets privés → [nom du processus défaillant]
    • Processus → Nombre de poignées → [nom du processus défaillant]
    • Mémoire → Mo disponibles
    • Mémoire → Octets de pool non paginés
  4. Réglez l'intervalle de collecte à 15 secondes et exécutez pendant 24 heures
  5. Utilisez PowerShell pour identifier les processus avec une utilisation élevée de la mémoire :
Get-Process | Sort-Object WorkingSet64 -Descending | Select-Object -First 10 Name, Id, @{Name='Memory(MB)';Expression={[math]::Round($_.WorkingSet64/1MB,2)}}
  1. Activez le suivi des processus dans la stratégie de groupe : gpedit.mscConfiguration de l'ordinateurParamètres WindowsParamètres de sécuritéConfiguration avancée de la stratégie d'auditSuivi détailléAudit de la terminaison du processus
04

Analyser les vidages sur incident et le rapport d'erreurs Windows

Configurez et analysez les vidages sur incident pour identifier la cause principale de la terminaison du processus.

  1. Activez la collecte de vidages sur incident en modifiant les paramètres du registre :
Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\Windows Error Reporting\LocalDumps" -Name "DumpType" -Value 2 -Type DWord
Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\Windows Error Reporting\LocalDumps" -Name "DumpCount" -Value 10 -Type DWord
  1. Vérifiez les vidages sur incident existants dans l'emplacement par défaut :
Get-ChildItem -Path "$env:LOCALAPPDATA\CrashDumps" -Recurse | Sort-Object LastWriteTime -Descending
  1. Installez le SDK Windows ou les outils de débogage pour Windows pour analyser les vidages
  2. Utilisez WinDbg pour analyser les vidages sur incident du processus défaillant
  3. Vérifiez les journaux de Windows Error Reporting :
Get-WinEvent -FilterHashtable @{LogName='Application'; ProviderName='Windows Error Reporting'} -MaxEvents 50
  1. Examinez le journal des événements d'application pour les erreurs connexes survenant au même moment que l'ID d'événement 5
Conseil pro : Les vidages sur incident sont stockés par utilisateur dans LocalAppData. Vérifiez à la fois les profils utilisateur et les emplacements système pour une analyse complète.
05

Diagnostics avancés des pilotes et du matériel

Effectuez une analyse complète des pilotes et du matériel lorsque d'autres méthodes ne résolvent pas le problème.

  1. Exécutez Driver Verifier pour identifier les pilotes problématiques :
verifier /standard /all
  1. Vérifiez les événements liés aux pilotes dans le journal Système :
Get-WinEvent -FilterHashtable @{LogName='System'; Level=1,2,3} | Where-Object {$_.Message -match "driver|hardware"} | Select-Object -First 20
  1. Exécutez le Diagnostic de la mémoire Windows pour vérifier les problèmes de RAM :
mdsched.exe
  1. Utilisez le Gestionnaire de périphériques pour vérifier les conflits matériels : devmgmt.msc
  2. Examinez les mises à jour et les pilotes installés qui coïncident avec les occurrences de l'ID d'événement 5 :
Get-HotFix | Sort-Object InstalledOn -Descending | Select-Object -First 10
  1. Vérifiez la température du système et la santé du matériel à l'aide de diagnostics intégrés ou d'outils tiers
  2. Examinez les paramètres du BIOS/UEFI pour le timing de la mémoire, les paramètres du CPU et la compatibilité matérielle
Avertissement : Driver Verifier peut causer une instabilité du système. Activez-le uniquement sur des systèmes de test ou lorsque vous pouvez accéder au mode sans échec pour la récupération.

Aperçu

L'ID d'événement 5 se déclenche lorsque le noyau Windows détecte qu'un processus ou service système critique s'est terminé de manière inattendue. Cet événement apparaît généralement dans le journal Système et indique une instabilité grave du système nécessitant une attention immédiate. Contrairement aux arrêts normaux ou aux redémarrages planifiés, l'ID d'événement 5 représente une terminaison de processus non planifiée pouvant entraîner des plantages système, des pertes de données ou des interruptions de service.

L'événement se produit couramment lors de charges système élevées, de situations de pression mémoire, ou lorsque des pilotes défectueux interagissent avec des processus au niveau du noyau. Windows génère cet événement dans le cadre de son sous-système de surveillance des processus, aidant les administrateurs à identifier quels processus échouent et causent potentiellement des problèmes système plus larges. Les détails de l'événement incluent le nom du processus, l'ID du processus et le code de raison de la terminaison.

Cet événement est particulièrement critique dans les environnements serveurs où une terminaison de processus inattendue peut affecter plusieurs utilisateurs ou services. Le noyau enregistre cet événement avant de tenter des procédures de récupération, ce qui le rend précieux pour l'analyse post-incident et la surveillance proactive du système.

Questions Fréquentes

Que signifie l'ID d'événement Windows 5 et quelle est sa gravité ?+
L'ID d'événement 5 indique qu'un processus s'est terminé de manière inattendue, ce qui est un événement système grave. Contrairement à une terminaison normale de processus, cet événement signale qu'il y a eu un problème—que ce soit en raison de corruption de mémoire, de violations d'accès ou de facteurs externes. La gravité dépend du processus qui s'est terminé : l'échec de processus système critiques peut entraîner une instabilité du système ou des plantages, tandis que les processus d'application peuvent n'affecter que des fonctionnalités spécifiques. Vous devriez enquêter immédiatement, surtout si l'événement se répète ou implique des processus critiques pour le système.
Comment puis-je identifier quel processus spécifique cause l'ID d'événement 5 ?+
Les détails de l'ID d'événement 5 contiennent le nom du processus, l'ID de processus (PID) et le code de sortie. Dans le Visualiseur d'événements, double-cliquez sur l'événement et vérifiez les onglets Général et Détails. Le nom du processus apparaît dans la description de l'événement, tandis que l'onglet Détails fournit des données XML supplémentaires, y compris le chemin complet de l'exécutable. Vous pouvez également utiliser PowerShell pour extraire cette information : Get-WinEvent -FilterHashtable @{LogName='System'; Id=5} | ForEach-Object {$_.Message}. Recherchez des motifs dans les noms de processus pour identifier si la même application échoue de manière répétée.
L'ID d'événement 5 peut-il être causé par un logiciel malveillant ou un logiciel de sécurité ?+
Oui, à la fois les logiciels malveillants et les logiciels de sécurité légitimes peuvent déclencher l'ID d'événement 5. Les logiciels malveillants peuvent forcer l'arrêt des processus de sécurité ou des utilitaires système pour éviter la détection. À l'inverse, les logiciels antivirus peuvent terminer des processus suspects dans le cadre de l'atténuation des menaces. Les logiciels de sécurité avec protection en temps réel peuvent également provoquer le plantage de processus légitimes s'ils détectent un comportement suspect. Vérifiez les journaux de votre logiciel de sécurité autour du même moment que l'ID d'événement 5, et envisagez de désactiver temporairement la protection en temps réel pour tester si c'est la cause. Réactivez toujours la protection après le test.
Que dois-je faire si l'ID d'événement 5 se produit fréquemment pour le même processus ?+
Des occurrences fréquentes de l'ID d'événement 5 pour le même processus indiquent un problème persistant nécessitant une enquête systématique. Tout d'abord, vérifiez si le processus est un composant système critique ou une application tierce. Pour les processus système, exécutez sfc /scannow et les réparations DISM. Pour les applications, essayez de réinstaller ou de mettre à jour vers la dernière version. Surveillez les ressources système pendant l'exécution du processus pour identifier les fuites de mémoire ou l'épuisement des ressources. Activez la collecte de vidage sur incident pour une analyse détaillée, et vérifiez les conflits de pilotes si c'est un processus lié au matériel. Envisagez de faire fonctionner le système en mode sans échec pour isoler le problème.
Comment puis-je empêcher l'ID d'événement 5 de se reproduire après avoir corrigé la cause immédiate ?+
La prévention nécessite de s'attaquer à la cause profonde et de mettre en œuvre une surveillance. Après avoir résolu le problème immédiat, établissez une surveillance de référence en utilisant le Moniteur de performance pour suivre l'utilisation de la mémoire, le nombre de poignées et la performance des processus. Gardez Windows et les pilotes à jour, car de nombreux problèmes de terminaison de processus proviennent de problèmes de compatibilité. Configurez le Rapport d'erreurs Windows pour collecter automatiquement les vidages sur incident. Mettez en œuvre une maintenance régulière du système, y compris le nettoyage du disque, le nettoyage du registre et les vérifications de l'intégrité des fichiers système. Pour les environnements serveurs, envisagez de mettre en œuvre des politiques de redémarrage de processus et des scripts de surveillance de la santé qui peuvent redémarrer automatiquement les services critiques lorsqu'ils échouent.
Documentation

Références (2)

1
Windows Event Logging and MonitoringOfficial Microsoft documentation covering Windows event logging architecture and process monitoringhttps://docs.microsoft.com/en-us/windows/win32/eventlog/event-logging
2
Debugging Tools for WindowsMicrosoft's comprehensive guide to debugging tools including WinDbg for crash dump analysishttps://docs.microsoft.com/en-us/windows-hardware/drivers/debugger/
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#event-id-5#process-termination#system-diagnostics

Événements Windows associés

Windows Event Viewer displaying system time change events on a professional monitoring dashboard
Event 16388
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 16388 – Microsoft-Windows-Kernel-General : Notification de changement de l'heure système

L'ID d'événement 16388 se déclenche lorsque Windows détecte un changement de l'heure système, soit par un ajustement manuel, soit par une synchronisation automatique. Critique pour l'audit de sécurité et le dépannage des problèmes liés au temps.

18 mars9 min
Windows Event Viewer showing system event logs on a monitoring dashboard
Event 16384
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 16384 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 16384 se déclenche lorsque Windows détecte un changement de l'heure système, soit manuel, soit automatique. Critique pour l'audit de sécurité et le dépannage des problèmes de synchronisation de l'heure dans les environnements de domaine.

18 mars9 min
Windows Event Viewer displaying system time change events on a monitoring dashboard
Event 11728
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 11728 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 11728 se déclenche lorsque Windows détecte un changement de l'heure système, généralement à partir de services de synchronisation de l'heure, d'ajustements manuels ou de corrections de dérive de l'horloge matérielle.

18 mars12 min
Windows Event Viewer displaying system time change events on a professional monitoring dashboard
Event 11724
Microsoft-Windows-Kernel-General
Windows EventInformation

ID d'événement Windows 11724 – Microsoft-Windows-Kernel-General : Changement de l'heure système détecté

L'ID d'événement 11724 indique que le noyau Windows a détecté un changement de l'heure système, généralement déclenché par des services de synchronisation de l'heure, des ajustements manuels ou des corrections de dérive de l'horloge matérielle.

18 mars9 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...