ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Event Viewer showing system event logs on a monitoring dashboard
Event ID 6003InformationEventLogWindows

ID d'événement Windows 6003 – EventLog : Service du journal des événements démarré

L'ID d'événement 6003 indique que le service de journal des événements Windows a démarré avec succès. Cet événement informatif apparaît dans le journal Système lors du démarrage et confirme que le sous-système de journalisation est opérationnel.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 20268 min de lecture 0
Event ID 6003EventLog 5 méthodes 8 min
Référence événement

Signification de cet événement

The Windows Event Log service is fundamental to Windows operation, managing the collection and storage of events from all system components, applications, and security subsystems. Event ID 6003 represents the successful initialization of this critical service during system startup or manual service restart operations.

When Windows boots, the Service Control Manager starts the Event Log service early in the boot sequence to ensure that subsequent system events can be properly logged. The successful startup of this service triggers Event ID 6003, which becomes one of the first entries in the System log for each boot cycle. This event confirms that the logging infrastructure is ready to receive and process events from other Windows components.

The Event Log service manages multiple log files including System, Application, Security, and various operational logs. Without this service running, Windows components cannot write events to these logs, creating gaps in system monitoring and troubleshooting capabilities. Event ID 6003 serves as confirmation that this essential logging infrastructure is operational.

In enterprise environments, monitoring Event ID 6003 can help administrators track system boot times, identify systems that have restarted, and verify that logging capabilities are functioning across their infrastructure. The event's timestamp provides precise information about when the logging subsystem became available during the boot process.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Séquence de démarrage normale du système lorsque Windows démarre
  • Redémarrage manuel du service Journal des événements Windows via la console Services
  • Action de récupération du service redémarrant automatiquement le service Journal des événements après une défaillance
  • Récupération du système après une hibernation ou un mode veille
  • Démarrage du service après la récupération d'un crash système
  • Redémarrage administratif du service via PowerShell ou des outils en ligne de commande
Méthodes de résolution

Étapes de dépannage

01

Vérifier les détails de l'événement dans le Visualiseur d'événements

Ouvrez le Visualiseur d'événements pour examiner les détails de l'ID d'événement 6003 et confirmer le démarrage normal du service.

  1. Appuyez sur Windows + R, tapez eventvwr.msc, et appuyez sur Entrée
  2. Accédez à Journaux WindowsSystème
  3. Filtrez le journal en cliquant sur Filtrer le journal actuel dans le volet Actions
  4. Entrez 6003 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur l'ID d'événement 6003 le plus récent pour voir les détails
  6. Vérifiez que la source de l'événement affiche EventLog et que le niveau affiche Information
  7. Vérifiez l'horodatage pour confirmer quand le service du journal des événements a démarré
Astuce pro : L'horodatage de l'ID d'événement 6003 montre effectivement la dernière heure de démarrage de votre système, ce qui le rend utile pour les calculs de disponibilité.
02

Interroger l'ID d'événement 6003 avec PowerShell

Utilisez PowerShell pour récupérer et analyser les occurrences de l'ID d'événement 6003 de manière programmatique.

  1. Ouvrez PowerShell en tant qu'administrateur
  2. Exécutez la commande suivante pour obtenir les entrées récentes de l'ID d'événement 6003 :
Get-WinEvent -FilterHashtable @{LogName='System'; Id=6003} -MaxEvents 10 | Format-Table TimeCreated, Id, LevelDisplayName, Message -AutoSize
  1. Pour obtenir l'heure de démarrage la plus récente basée sur l'ID d'événement 6003 :
$LastBoot = Get-WinEvent -FilterHashtable @{LogName='System'; Id=6003} -MaxEvents 1
Write-Host "Dernier démarrage du service de journalisation des événements : $($LastBoot.TimeCreated)"
  1. Pour calculer le temps de fonctionnement du système en utilisant l'ID d'événement 6003 :
$LastBoot = (Get-WinEvent -FilterHashtable @{LogName='System'; Id=6003} -MaxEvents 1).TimeCreated
$Uptime = (Get-Date) - $LastBoot
Write-Host "Temps de fonctionnement du système : $($Uptime.Days) jours, $($Uptime.Hours) heures, $($Uptime.Minutes) minutes"
Astuce pro : Enregistrez ces commandes PowerShell en tant que script pour une surveillance régulière du temps de fonctionnement sur plusieurs systèmes.
03

Surveiller l'état du service de journal des événements

Vérifiez que le service Journal des événements Windows fonctionne correctement et vérifiez sa configuration.

  1. Ouvrez la console Services en appuyant sur Windows + R, en tapant services.msc, et en appuyant sur Entrée
  2. Localisez Journal des événements Windows dans la liste des services
  3. Vérifiez que le Statut indique En cours d'exécution et que le Type de démarrage indique Automatique
  4. Cliquez avec le bouton droit sur le service et sélectionnez Propriétés
  5. Dans l'onglet Général, confirmez que le type de démarrage est défini sur Automatique
  6. Vérifiez l'onglet Récupération pour voir ce qui se passe si le service échoue
  7. Utilisez PowerShell pour vérifier l'état du service de manière programmatique :
Get-Service -Name EventLog | Format-List Name, Status, StartType, ServiceType
  1. Pour redémarrer le service Journal des événements si nécessaire (nécessite des privilèges d'administrateur) :
Restart-Service -Name EventLog -Force
Avertissement : Le redémarrage du service Journal des événements interrompra temporairement la journalisation des événements. Ne redémarrez que si nécessaire pour le dépannage.
04

Analyser la séquence de démarrage et les dépendances de service

Examinez les dépendances du service Journal des événements et la séquence de démarrage pour comprendre l'ordre de démarrage.

  1. Vérifiez les dépendances du service en utilisant PowerShell :
Get-Service -Name EventLog | Select-Object -ExpandProperty ServicesDependedOn
  1. Affichez les services qui dépendent du Journal des événements :
Get-Service | Where-Object {$_.ServicesDependedOn -contains (Get-Service EventLog)} | Select-Object Name, Status
  1. Examinez la configuration du registre pour le service Journal des événements :
Get-ItemProperty -Path "HKLM\SYSTEM\CurrentControlSet\Services\EventLog" | Format-List
  1. Vérifiez les erreurs de démarrage du service Journal des événements dans le journal Système :
Get-WinEvent -FilterHashtable @{LogName='System'; ProviderName='Service Control Manager'} -MaxEvents 50 | Where-Object {$_.Message -like "*EventLog*"} | Format-Table TimeCreated, Id, Message -Wrap
  1. Examinez les données de performance de démarrage pour voir le timing de démarrage du Journal des événements :
Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-Diagnostics-Performance/Operational'; Id=100} -MaxEvents 5 | Format-Table TimeCreated, Message -Wrap
05

Configuration avancée du journal des événements et dépannage

Effectuer des vérifications de configuration avancées et un dépannage pour les problèmes de service du journal des événements.

  1. Vérifiez les emplacements et les tailles des fichiers du journal des événements :
Get-WinEvent -ListLog * | Where-Object {$_.LogName -match "System|Application|Security"} | Select-Object LogName, FileSize, MaximumSizeInBytes, LogFilePath | Format-Table -AutoSize
  1. Vérifiez les paramètres du registre du journal des événements :
$RegPath = "HKLM\SYSTEM\CurrentControlSet\Services\EventLog\System"
Get-ItemProperty -Path $RegPath | Select-Object MaxSize, Retention, File
  1. Vérifiez la corruption ou les problèmes du journal des événements :
wevtutil el | ForEach-Object { 
    try { 
        $LogInfo = wevtutil gli $_ 
        Write-Host "$_`: OK" -ForegroundColor Green 
    } catch { 
        Write-Host "$_`: ERROR - $($_.Exception.Message)" -ForegroundColor Red 
    } 
}
  1. Surveillez les compteurs de performance du service du journal des événements :
Get-Counter "\Event Log\Events/sec" -SampleInterval 5 -MaxSamples 12
  1. Créez un événement personnalisé pour tester la fonctionnalité de journalisation :
Write-EventLog -LogName Application -Source "Application" -EventId 1000 -EntryType Information -Message "Test event created to verify Event Log service functionality"
  1. Exportez les événements ID 6003 pour analyse :
$Events = Get-WinEvent -FilterHashtable @{LogName='System'; Id=6003} -MaxEvents 100
$Events | Export-Csv -Path "C:\temp\EventID6003_History.csv" -NoTypeInformation
Conseil pro : Une surveillance régulière des modèles d'ID d'événement 6003 peut aider à identifier des redémarrages inattendus ou des problèmes de redémarrage de service dans votre environnement.

Aperçu

L'ID d'événement 6003 de la source EventLog se déclenche chaque fois que le service Windows Event Log démarre avec succès lors du démarrage du système ou lorsqu'il est démarré manuellement après avoir été arrêté. Cet événement sert de marqueur fondamental indiquant que l'infrastructure de journalisation Windows est opérationnelle et prête à enregistrer les événements système. L'événement apparaît dans le journal Système et se produit généralement dans les premières secondes du démarrage du système, ce qui en fait l'un des premiers événements que vous verrez lors d'un cycle de démarrage frais.

Cet événement est purement informatif et indique un comportement normal du système. Le service Event Log (Windows Event Log) est un composant Windows critique responsable de la collecte, du stockage et de la gestion de tous les événements système, applicatifs et de sécurité. Lorsque ce service démarre avec succès, il permet à tous les autres composants et applications Windows d'écrire leurs événements dans les journaux appropriés.

Les administrateurs système utilisent souvent l'ID d'événement 6003 comme point de référence pour dépanner les séquences de démarrage, déterminer le temps de fonctionnement du système et vérifier que le sous-système de journalisation fonctionne correctement. L'événement contient peu de données supplémentaires au-delà de l'horodatage, ce qui en fait un indicateur clair du démarrage du service.

Questions Fréquentes

Que signifie l'ID d'événement 6003 et est-il normal de voir cet événement ?+
L'ID d'événement 6003 indique que le service de journal des événements Windows a démarré avec succès. C'est un comportement tout à fait normal et attendu qui se produit à chaque démarrage de Windows ou lorsque le service de journal des événements est redémarré manuellement. L'événement confirme que le sous-système de journalisation est opérationnel et prêt à enregistrer des événements provenant d'autres composants Windows. Vous devriez voir cet événement au début de chaque cycle de démarrage, et son absence pourrait indiquer des problèmes avec le service de journalisation.
Comment puis-je utiliser l'ID d'événement 6003 pour déterminer quand mon système a redémarré pour la dernière fois ?+
L'ID d'événement 6003 offre un excellent moyen de déterminer le temps de démarrage du système puisqu'il s'agit de l'un des premiers événements enregistrés lors du démarrage. Utilisez la commande PowerShell 'Get-WinEvent -FilterHashtable @{LogName='System'; Id=6003} -MaxEvents 1' pour récupérer l'occurrence la plus récente. La propriété TimeCreated de cet événement indique exactement quand le service de journal des événements a démarré, ce qui correspond étroitement au temps de démarrage du système. Cette méthode est souvent plus fiable que l'utilisation de 'systeminfo' ou d'autres commandes de temps de fonctionnement.
Dois-je m'inquiéter si je vois plusieurs entrées d'ID d'événement 6003 en peu de temps ?+
Plusieurs entrées d'ID d'événement 6003 dans un court laps de temps indiquent généralement soit des redémarrages du système, soit des redémarrages du service de journal des événements. Si vous voyez plusieurs entrées en quelques minutes ou heures, vérifiez si le système a subi des redémarrages inattendus, des écrans bleus, ou si quelqu'un a redémarré manuellement le service de journal des événements. Consultez les événements environnants dans le journal Système pour les événements d'arrêt (ID d'événement 1074), les événements de redémarrage inattendu ou les messages de défaillance de service. Des occurrences fréquentes peuvent indiquer une instabilité du système ou des problèmes matériels nécessitant une enquête.
L'ID d'événement 6003 peut-il m'aider à dépanner les événements manquants dans mes journaux ?+
Oui, l'ID d'événement 6003 est crucial pour dépanner les événements manquants. Si vous remarquez des lacunes dans vos journaux d'événements, vérifiez les entrées de l'ID d'événement 6003 pendant ces périodes. L'absence de cet événement pendant une période où le système aurait dû fonctionner indique que le service de journalisation des événements n'était pas opérationnel, ce qui explique les événements manquants. À l'inverse, si l'ID d'événement 6003 existe mais que d'autres événements attendus sont manquants, le problème réside probablement dans des applications ou services spécifiques qui ne journalisent pas correctement plutôt que dans l'infrastructure de journalisation principale.
Comment l'ID d'événement 6003 est-il lié à la surveillance des performances du système et au suivi du temps de fonctionnement ?+
L'ID d'événement 6003 sert de marqueur temporel fiable pour les calculs de disponibilité du système et la surveillance des performances. Puisqu'il marque le début du sous-système de journalisation à chaque démarrage, vous pouvez calculer précisément le temps de disponibilité en comparant l'heure actuelle avec le dernier horodatage de l'ID d'événement 6003. De nombreuses solutions de surveillance utilisent cet événement comme marqueur de démarrage pour suivre la disponibilité du système et la fréquence des redémarrages. Dans les environnements d'entreprise, des scripts automatisés interrogent souvent l'ID d'événement 6003 sur plusieurs systèmes pour générer des rapports de disponibilité et identifier les systèmes avec des modèles de redémarrage inattendus.
Documentation

Références (2)

1
Windows Event Log Service OverviewOfficial Microsoft documentation covering the Windows Event Log service architecture and functionality.https://docs.microsoft.com/en-us/windows/win32/eventlog/event-logging
2
Event Viewer and Event LogsComprehensive guide to Windows Event Log infrastructure and Event Viewer usage.https://docs.microsoft.com/en-us/windows/win32/wes/windows-event-log
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#system-monitoring#windows-events#event-id-6003

Événements Windows associés

Windows Event Viewer showing system event logs on a monitoring dashboard
Event 6006
EventLog
Windows EventInformation

ID d'événement Windows 6006 – EventLog : Service du journal des événements arrêté

L'ID d'événement 6006 indique que le service de journal des événements Windows s'est arrêté. Cet événement informatif se déclenche lors de l'arrêt normal du système ou lorsque le service EventLog est arrêté manuellement.

18 mars8 min
Windows Event Viewer displaying Event ID 6005 system startup logs on a professional monitoring dashboard
Event 6005
EventLog
Windows EventInformation

ID d'événement Windows 6005 – EventLog : Service du journal des événements démarré

L'ID d'événement 6005 indique que le service de journal des événements Windows a démarré avec succès. Cet événement informatif apparaît dans le journal Système lors du démarrage du système et des redémarrages de service.

18 mars9 min
Windows Event Viewer displaying system service startup events on a monitoring dashboard
Event 6004
EventLog
Windows EventInformation

ID d'événement Windows 6004 – EventLog : Service du journal des événements démarré

L'ID d'événement 6004 indique que le service de journal des événements Windows a démarré avec succès. Cet événement informatif confirme que le sous-système de journalisation est opérationnel et prêt à enregistrer les événements système.

18 mars8 min
Windows Event Viewer showing system event logs on a monitoring dashboard
Event 6000
EventLog
Windows EventInformation

ID d'événement Windows 6000 – EventLog : Service du journal des événements démarré

L'ID d'événement 6000 indique que le service de journal des événements Windows a démarré avec succès. Cet événement informatif se déclenche lors du démarrage du système et confirme que le sous-système de journalisation est opérationnel.

18 mars8 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...