Windows Event Viewer displaying system service startup events on a monitoring dashboard

Event ID 6004InformationEventLogWindows

ID d'événement Windows 6004 – EventLog : Service du journal des événements démarré

L'ID d'événement 6004 indique que le service de journal des événements Windows a démarré avec succès. Cet événement informatif confirme que le sous-système de journalisation est opérationnel et prêt à enregistrer les événements système.

Emanuel DE ALMEIDA

18 mars 20268 min de lecture 0

Event ID 6004EventLog 5 méthodes 8 min

Référence événement

Signification de cet événement

L'ID d'événement 6004 représente une étape critique dans le processus de démarrage de Windows, signalant que le service de journal des événements a été initialisé avec succès et est prêt à accepter des entrées de journal provenant d'autres composants système et applications. Le service EventLog est responsable de la gestion de tous les journaux d'événements Windows, y compris les journaux Système, Application, Sécurité et les journaux d'application personnalisés.

Lorsque Windows démarre, le Gestionnaire de contrôle des services lance les services essentiels dans un ordre prédéterminé basé sur les dépendances. Le service de journal des événements démarre relativement tôt car de nombreux autres services et applications dépendent de la fonctionnalité de journalisation. Une fois démarré, le service crée cet événement pour documenter sa propre initialisation réussie, créant une entrée de journal auto-référentielle qui confirme que le sous-système de journalisation est opérationnel.

L'événement contient peu de données au-delà des en-têtes d'événement standard, car son objectif principal est simplement de marquer le démarrage du service. Cependant, l'horodatage devient précieux pour l'analyse médico-légale et les scénarios de dépannage où les administrateurs doivent établir quand les capacités de journalisation ont été restaurées après des problèmes système. Dans les environnements en cluster ou les systèmes avec des séquences de démarrage complexes, l'ID d'événement 6004 aide à établir la base pour l'analyse des dépendances de service.

Cet événement est particulièrement important dans les environnements où la conformité exige une journalisation continue des audits. Les cadres réglementaires exigent souvent que les organisations puissent démontrer des capacités de journalisation ininterrompues, et l'ID d'événement 6004 fournit la preuve que l'infrastructure de journalisation a été correctement restaurée après tout redémarrage du système ou activité de maintenance.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025

Analyse

Causes possibles

Démarrage normal du système ou redémarrage
Redémarrage manuel du service Journal des événements Windows
Récupération du système après hibernation ou mode veille
Récupération du service après une défaillance précédente du service Journal des événements
Démarrage du système après une panne de courant ou un arrêt inattendu
Démarrage du service après maintenance ou mises à jour du système

Méthodes de résolution

Étapes de dépannage

Vérifier l'état du service de journal des événements

Vérifiez l'état actuel du service Journal des événements pour vous assurer qu'il fonctionne correctement :

Ouvrez la console Services en appuyant sur Win + R, en tapant services.msc, et en appuyant sur Entrée
Localisez le service Journal des événements Windows dans la liste
Vérifiez que l'état indique En cours d'exécution et que le type de démarrage est Automatique
Alternativement, utilisez PowerShell pour vérifier l'état du service :

Get-Service -Name "EventLog" | Select-Object Name, Status, StartType
Get-WinEvent -FilterHashtable @{LogName='System'; Id=6004} -MaxEvents 5 | Format-Table TimeCreated, Id, LevelDisplayName, Message

Si le service ne fonctionne pas, démarrez-le manuellement ou examinez pourquoi il n'a pas démarré automatiquement.

Examiner les dépendances du service de journal des événements

Examinez les dépendances de service pour comprendre l'ordre de démarrage et les problèmes potentiels :

Ouvrez l'invite de commande en tant qu'administrateur
Vérifiez les dépendances du service Event Log :

sc qc EventLog
sc enumdepend EventLog

Utilisez PowerShell pour obtenir des informations détaillées sur les dépendances :

Get-Service -Name "EventLog" -DependentServices
Get-Service -Name "EventLog" -RequiredServices

Examinez le registre pour la configuration du service :

Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog"

Cela aide à identifier si des problèmes de dépendance causent un démarrage retardé ou échoué du service Event Log.

Analyser la chronologie de démarrage et le démarrage des services

Enquêter sur le timing de la séquence de démarrage pour identifier les retards ou problèmes potentiels :

Ouvrir Observateur d'événements → Journaux Windows → Système
Filtrer pour l'ID d'événement 6004 pour voir l'historique de démarrage du service de journalisation des événements :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=6004} -MaxEvents 20 | 
  Select-Object TimeCreated, @{Name='Message';Expression={$_.Message}} | 
  Format-Table -AutoSize

Comparer avec d'autres événements de démarrage de services critiques :

$StartTime = (Get-Date).AddDays(-7)
Get-WinEvent -FilterHashtable @{LogName='System'; Id=7036,6005,6004; StartTime=$StartTime} | 
  Sort-Object TimeCreated | 
  Select-Object TimeCreated, Id, LevelDisplayName, Message | 
  Format-Table -Wrap

Vérifier les échecs du service de journalisation des événements précédant les démarrages réussis :

Get-WinEvent -FilterHashtable @{LogName='System'; ProviderName='Service Control Manager'} -MaxEvents 50 | 
  Where-Object {$_.Message -like "*EventLog*"} | 
  Format-Table TimeCreated, Id, LevelDisplayName, Message

Surveiller les performances et la santé du journal des événements

Configurez la surveillance pour suivre les performances du service Journal des événements et détecter les problèmes :

Créez un script de surveillance PowerShell personnalisé :

# Surveiller l'état de santé du service Journal des événements
$LogName = "System"
$EventID = 6004
$Hours = 24

$Events = Get-WinEvent -FilterHashtable @{
    LogName = $LogName
    Id = $EventID
    StartTime = (Get-Date).AddHours(-$Hours)
} -ErrorAction SilentlyContinue

if ($Events) {
    Write-Host "Le service Journal des événements a démarré $($Events.Count) fois au cours des dernières $Hours heures"
    $Events | Select-Object TimeCreated, Message | Format-Table
} else {
    Write-Warning "Aucun événement de démarrage du service Journal des événements trouvé au cours des dernières $Hours heures"
}

Vérifiez les compteurs de performance du service Journal des événements :

Get-Counter "\Process(services)\% Processor Time" -SampleInterval 5 -MaxSamples 3
Get-Counter "\Process(services)\Working Set" -SampleInterval 5 -MaxSamples 3

Vérifiez l'intégrité et l'espace du fichier journal :

Get-WinEvent -ListLog * | Where-Object {$_.RecordCount -gt 0} | 
  Select-Object LogName, RecordCount, FileSize, MaximumSizeInBytes | 
  Sort-Object FileSize -Descending | Format-Table

Dépannage avancé et analyse du registre

Effectuer une analyse approfondie de la configuration du service Journal des événements et des problèmes potentiels :

Examiner en détail la configuration du registre du service Journal des événements :

$EventLogKey = "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog"
Get-ChildItem $EventLogKey -Recurse | 
  ForEach-Object { 
    Write-Host "Key: $($_.Name)"
    Get-ItemProperty $_.PSPath -ErrorAction SilentlyContinue
  }

Vérifier les plantages ou échecs du service Journal des événements :

# Rechercher les échecs de service
Get-WinEvent -FilterHashtable @{LogName='System'; Id=7034,7031,7032} -MaxEvents 50 | 
  Where-Object {$_.Message -like "*EventLog*" -or $_.Message -like "*Event Log*"} | 
  Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap

# Vérifier le journal des événements d'application pour les problèmes du service EventLog
Get-WinEvent -FilterHashtable @{LogName='Application'; ProviderName='EventLog'} -MaxEvents 20 -ErrorAction SilentlyContinue

Analyser l'intégrité des fichiers système liés au service Journal des événements :

sfc /scannow
Dism /Online /Cleanup-Image /CheckHealth

Créer un rapport complet du service Journal des événements :

$Report = @{
    ServiceStatus = Get-Service -Name "EventLog"
    RecentStarts = Get-WinEvent -FilterHashtable @{LogName='System'; Id=6004} -MaxEvents 10 -ErrorAction SilentlyContinue
    ServiceConfig = Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog"
    LogSizes = Get-WinEvent -ListLog * | Where-Object {$_.RecordCount -gt 0} | Select-Object LogName, RecordCount, FileSize
}
$Report | ConvertTo-Json -Depth 3

Avertissement : Modifier les paramètres du registre du service Journal des événements peut empêcher Windows de journaliser correctement les événements. Sauvegardez toujours les clés de registre avant de faire des modifications.

Aperçu

L'ID d'événement 6004 de la source EventLog se déclenche chaque fois que le service Windows Event Log (Eventlog) démarre avec succès lors du démarrage du système ou du redémarrage du service. Cet événement apparaît dans le journal Système et sert d'indicateur fondamental que l'infrastructure de journalisation de Windows est opérationnelle. L'événement se produit généralement tôt dans la séquence de démarrage, peu après l'initialisation des services système de base.

Cet événement est purement informatif et indique un comportement normal du système. Vous le verrez après chaque redémarrage du système, sortie de l'hibernation ou redémarrage manuel du service Event Log. L'événement confirme que Windows peut désormais enregistrer correctement les activités système, les événements d'application et les audits de sécurité. Sans un service Event Log fonctionnel, Windows ne peut pas enregistrer les informations système critiques, rendant le dépannage presque impossible.

Le moment de cet événement est crucial pour les administrateurs système surveillant les séquences de démarrage et les dépendances de service. L'ID d'événement 6004 sert souvent de référence temporelle pour corréler d'autres événements système qui se produisent lors du démarrage. Dans les environnements d'entreprise, les systèmes de surveillance automatisés utilisent fréquemment cet événement pour vérifier que les capacités de journalisation sont restaurées après les fenêtres de maintenance ou les arrêts inattendus.

Questions Fréquentes

Que signifie l'ID d'événement 6004 et est-ce normal ?+

L'ID d'événement 6004 est tout à fait normal et indique que le service de journal des événements Windows a démarré avec succès. Cet événement informatif apparaît chaque fois que Windows démarre ou lorsque le service de journal des événements redémarre. Il confirme que le sous-système de journalisation est opérationnel et prêt à enregistrer les événements système. Vous devriez voir cet événement après chaque redémarrage du système, et son absence pourrait indiquer des problèmes avec le service de journalisation.

À quelle fréquence devrais-je voir l'ID d'événement 6004 dans mes journaux système ?+

Vous devriez voir l'ID d'événement 6004 chaque fois que votre système démarre ou que le service de journal des événements redémarre. Pour un poste de travail typique, cela signifie une fois par cycle de démarrage. Sur les serveurs qui redémarrent rarement, vous pourriez le voir uniquement pendant les fenêtres de maintenance. Si vous voyez plusieurs occurrences en peu de temps, cela pourrait indiquer que le service de journal des événements plante et redémarre, ce qui nécessite une enquête.

L'ID d'événement 6004 peut-il m'aider à résoudre les problèmes de démarrage du système ?+

Oui, l'ID d'événement 6004 sert de référence temporelle excellente pour résoudre les problèmes de démarrage. Puisqu'il se produit tôt dans le processus de démarrage, vous pouvez utiliser son horodatage pour corréler d'autres événements système et identifier les services qui démarrent avant ou après que la journalisation soit disponible. Si cet événement est manquant ou considérablement retardé par rapport au temps de démarrage, cela indique des problèmes avec les services système de base ou les dépendances.

Que dois-je faire si l'ID d'événement 6004 est absent de mes journaux système ?+

Si l'ID d'événement 6004 est manquant, cela suggère que le service du journal des événements n'a pas démarré correctement. Tout d'abord, vérifiez si le service est en cours d'exécution en utilisant services.msc ou Get-Service EventLog. S'il n'est pas en cours d'exécution, essayez de le démarrer manuellement. Recherchez les événements d'erreur connexes dans le journal Système qui pourraient expliquer pourquoi le service n'a pas démarré. Vérifiez les dépendances du service et assurez-vous que les services requis sont en cours d'exécution. Dans les cas graves, vous devrez peut-être réparer les fichiers système de Windows en utilisant sfc /scannow.

Comment puis-je surveiller l'ID d'événement 6004 à des fins de conformité ou d'audit ?+

Pour la surveillance de la conformité, créez des scripts automatisés qui vérifient l'ID d'événement 6004 après les redémarrages du système pour s'assurer que les capacités de journalisation sont restaurées. Utilisez des tâches planifiées PowerShell ou des outils de surveillance pour interroger cet événement et alerter s'il manque après les heures de redémarrage prévues. Documentez les horodatages de ces événements comme preuve de la restauration continue des capacités de journalisation. De nombreux systèmes SIEM peuvent être configurés pour suivre cet événement dans le cadre de la surveillance de la santé du système et du rapport de conformité.

Documentation

Références (2)

Windows Event Log Service OverviewOfficial Microsoft documentation covering the Windows Event Log service architecture and functionality.https://docs.microsoft.com/en-us/windows/win32/eventlog/event-logging

Service Control Manager and Service DependenciesMicrosoft documentation explaining how Windows manages service startup and dependencies.https://docs.microsoft.com/en-us/windows/win32/services/service-control-manager

Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Événements Windows associés

Event 6006

EventLog

Windows EventInformation

ID d'événement Windows 6006 – EventLog : Service du journal des événements arrêté

L'ID d'événement 6006 indique que le service de journal des événements Windows s'est arrêté. Cet événement informatif se déclenche lors de l'arrêt normal du système ou lorsque le service EventLog est arrêté manuellement.

18 mars8 min

Windows Event Viewer displaying Event ID 6005 system startup logs on a professional monitoring dashboard

Event 6005

EventLog

Windows EventInformation

ID d'événement Windows 6005 – EventLog : Service du journal des événements démarré

L'ID d'événement 6005 indique que le service de journal des événements Windows a démarré avec succès. Cet événement informatif apparaît dans le journal Système lors du démarrage du système et des redémarrages de service.

18 mars9 min

Event 6003

EventLog

Windows EventInformation

ID d'événement Windows 6003 – EventLog : Service du journal des événements démarré

L'ID d'événement 6003 indique que le service de journal des événements Windows a démarré avec succès. Cet événement informatif apparaît dans le journal Système lors du démarrage et confirme que le sous-système de journalisation est opérationnel.

18 mars8 min

Event 6000

EventLog

Windows EventInformation

ID d'événement Windows 6000 – EventLog : Service du journal des événements démarré

L'ID d'événement 6000 indique que le service de journal des événements Windows a démarré avec succès. Cet événement informatif se déclenche lors du démarrage du système et confirme que le sous-système de journalisation est opérationnel.

18 mars8 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter

Chargement des commentaires...