ID d'événement Windows 6005 – EventLog : Service du journal des événements démarré

Vérifiez l'état actuel et la configuration du service Journal des événements pour vous assurer qu'il fonctionne correctement.

1. Ouvrez la console Services en appuyant sur Win + R, en tapant services.msc, et en appuyant sur Entrée
2. Trouvez le service Journal des événements Windows dans la liste
3. Vérifiez que l'état du service indique En cours d'exécution et que le type de démarrage est Automatique
4. Cliquez avec le bouton droit sur le service et sélectionnez Propriétés pour vérifier les paramètres de récupération
5. Utilisez PowerShell pour obtenir des informations détaillées sur le service :

Get-Service -Name "EventLog" | Format-List *
Get-WmiObject -Class Win32_Service -Filter "Name='EventLog'" | Select-Object Name, State, StartMode, ProcessId

Vérifiez les occurrences récentes de l'ID d'événement 6005 pour identifier les schémas de redémarrage :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=6005} -MaxEvents 20 | Format-Table TimeCreated, Id, LevelDisplayName, Message -AutoSize

Examinez les événements de démarrage du système et les dépendances de service pour comprendre le contexte de l'ID d'événement 6005 dans la séquence de démarrage.

1. Ouvrez Observateur d'événements → Journaux Windows → Système
2. Filtrez les événements autour de l'heure de l'ID d'événement 6005 pour voir les événements de démarrage associés
3. Cherchez l'ID d'événement 6009 (démarrage du système) et l'ID d'événement 6013 (temps de fonctionnement du système) dans la même période
4. Vérifiez les dépendances de service en utilisant PowerShell :

# Vérifiez les services qui dépendent du journal des événements
Get-Service | Where-Object {$_.ServicesDependedOn -contains (Get-Service EventLog)} | Select-Object Name, Status

# Vérifiez de quoi dépend le journal des événements
(Get-Service EventLog).ServicesDependedOn | Select-Object Name, Status

5. Examinez les performances de démarrage du système en utilisant les outils intégrés :

# Obtenez la dernière heure de démarrage
(Get-CimInstance -ClassName Win32_OperatingSystem).LastBootUpTime

# Vérifiez la durée du démarrage
Get-WinEvent -FilterHashtable @{LogName='System'; Id=100} -MaxEvents 5

Implémentez une surveillance pour suivre la santé du service de journal des événements et identifier les problèmes potentiels affectant la fiabilité de la journalisation.

1. Créez un script PowerShell pour surveiller la fréquence de l'ID d'événement 6005 :

# Surveiller les redémarrages du service de journal des événements au cours des 30 derniers jours
$StartDate = (Get-Date).AddDays(-30)
$Events = Get-WinEvent -FilterHashtable @{LogName='System'; Id=6005; StartTime=$StartDate}

Write-Host "Démarrages du service de journal des événements au cours des 30 derniers jours : $($Events.Count)"
$Events | Group-Object {$_.TimeCreated.Date} | Sort-Object Name | Format-Table Name, Count -AutoSize

2. Vérifiez l'utilisation de la mémoire et les performances du service de journal des événements :

# Obtenez les informations sur le processus du service de journal des événements
$EventLogProcess = Get-Process | Where-Object {$_.ProcessName -eq "svchost" -and $_.Modules.ModuleName -contains "wevtsvc.dll"}
$EventLogProcess | Select-Object Id, ProcessName, WorkingSet, PagedMemorySize

3. Vérifiez l'intégrité et les tailles des fichiers de journal des événements :

# Vérifiez les propriétés du journal des événements système
Get-WinEvent -ListLog System | Select-Object LogName, FileSize, MaximumSizeInBytes, RecordCount, IsEnabled

4. Configurez une surveillance automatisée à l'aide du Planificateur de tâches Windows pour alerter en cas de redémarrages inattendus du service

Lorsque l'ID d'événement 6005 apparaît de manière inattendue, enquêtez sur les causes potentielles et les problèmes système qui pourraient déclencher des redémarrages de service.

1. Vérifiez les événements correspondants de l'ID d'événement 6006 (service du journal des événements arrêté) :

# Trouver les paires d'arrêt/démarrage du journal des événements
$StopEvents = Get-WinEvent -FilterHashtable @{LogName='System'; Id=6006} -MaxEvents 10
$StartEvents = Get-WinEvent -FilterHashtable @{LogName='System'; Id=6005} -MaxEvents 10

Write-Host "Arrêts récents du service du journal des événements :"
$StopEvents | Format-Table TimeCreated, Message -AutoSize
Write-Host "Démarrages récents du service du journal des événements :"
$StartEvents | Format-Table TimeCreated, Message -AutoSize

2. Examinez les journaux d'événements système pour les erreurs précédant l'ID d'événement 6005 :

# Rechercher les erreurs système dans l'heure précédant chaque ID d'événement 6005
foreach ($StartEvent in $StartEvents) {
    $SearchStart = $StartEvent.TimeCreated.AddHours(-1)
    $SearchEnd = $StartEvent.TimeCreated
    $Errors = Get-WinEvent -FilterHashtable @{LogName='System'; Level=2; StartTime=$SearchStart; EndTime=$SearchEnd} -ErrorAction SilentlyContinue
    if ($Errors) {
        Write-Host "Erreurs avant le redémarrage du journal des événements à $($StartEvent.TimeCreated) :"
        $Errors | Format-Table TimeCreated, Id, LevelDisplayName, Message -AutoSize
    }
}

3. Vérifiez les mises à jour Windows et les activités de maintenance :

# Vérifier les mises à jour Windows récentes
Get-HotFix | Sort-Object InstalledOn -Descending | Select-Object -First 10

# Vérifier le journal des mises à jour Windows pour les redémarrages de service
Get-WinEvent -FilterHashtable @{LogName='Setup'; StartTime=(Get-Date).AddDays(-7)} -ErrorAction SilentlyContinue | Where-Object {$_.Message -like "*restart*"}

4. Consultez l'historique de fiabilité du système dans Panneau de configuration → Système et sécurité → Sécurité et maintenance → Moniteur de fiabilité

Implémentez une surveillance complète pour l'ID d'événement 6005 et les événements connexes afin de maintenir la visibilité du système et la détection proactive des problèmes.

1. Créez un abonnement personnalisé de transfert d'événements Windows pour une surveillance centralisée :

<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
  <SubscriptionId>EventLogServiceMonitoring</SubscriptionId>
  <SubscriptionType>SourceInitiated</SubscriptionType>
  <Query>
    <![CDATA[
    <QueryList>
      <Query Id="0">
        <Select Path="System">*[System[(EventID=6005 or EventID=6006)]]</Select>
      </Query>
    </QueryList>
    ]]>
  </Query>
</Subscription>

2. Configurez les paramètres du registre pour un journal des événements amélioré :

# Activer la journalisation détaillée du gestionnaire de contrôle des services
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\ServiceControlManagerDebug" -Name "EnableLogging" -Value 1 -Type DWord -Force

# Augmenter la taille du journal système pour une meilleure rétention
Limit-EventLog -LogName System -MaximumSize 100MB

3. Créez une tâche planifiée PowerShell pour une surveillance automatisée :

# Créer un script de surveillance
$ScriptBlock = {
    $RecentStarts = Get-WinEvent -FilterHashtable @{LogName='System'; Id=6005; StartTime=(Get-Date).AddHours(-1)} -ErrorAction SilentlyContinue
    if ($RecentStarts.Count -gt 1) {
        Write-EventLog -LogName Application -Source "Custom Monitor" -EventId 1001 -EntryType Warning -Message "Démarrages multiples du service de journalisation des événements détectés : $($RecentStarts.Count)"
    }
}

# Enregistrer la tâche planifiée
$Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-WindowStyle Hidden -Command $ScriptBlock"
$Trigger = New-ScheduledTaskTrigger -Once -At (Get-Date) -RepetitionInterval (New-TimeSpan -Hours 1)
Register-ScheduledTask -TaskName "EventLogServiceMonitor" -Action $Action -Trigger $Trigger -User "SYSTEM"

4. Implémentez la surveillance des événements WMI pour les changements de statut des services en temps réel :

# Enregistrer un événement WMI pour les changements du service de journalisation des événements
Register-WmiEvent -Query "SELECT * FROM Win32_ServiceChangeEvent WHERE ServiceName='EventLog'" -Action {
    $Event = $Event.SourceEventArgs.NewEvent
    Write-Host "L'état du service de journalisation des événements a changé à $(Get-Date): $($Event.ServiceName)"
}