ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Event Viewer showing system event logs on a monitoring dashboard
Event ID 6006InformationEventLogWindows

ID d'événement Windows 6006 – EventLog : Service du journal des événements arrêté

L'ID d'événement 6006 indique que le service de journal des événements Windows s'est arrêté. Cet événement informatif se déclenche lors de l'arrêt normal du système ou lorsque le service EventLog est arrêté manuellement.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 20268 min de lecture 0
Event ID 6006EventLog 5 méthodes 8 min
Référence événement

Signification de cet événement

L'ID d'événement 6006 représente l'arrêt ordonné du service de journal des événements Windows. Ce service, fonctionnant comme partie intégrante du noyau du système d'exploitation Windows, gère toutes les fonctionnalités de journalisation des événements à travers le système. Lorsque le service s'arrête, il génère cet événement informatif final avant de cesser toutes les opérations de journalisation.

L'événement contient peu de données mais sert de marqueur temporel indiquant quand le service EventLog s'est terminé. Cette information s'avère inestimable pour l'analyse judiciaire, le dépannage des arrêts inattendus et le maintien des pistes d'audit. Les administrateurs système utilisent cet événement pour différencier les arrêts de maintenance planifiés des défaillances système inattendues.

Dans Windows 2025 et les versions ultérieures, Microsoft a amélioré le service EventLog avec une fiabilité accrue et des temps de démarrage plus rapides. Cependant, le comportement fondamental de l'ID d'événement 6006 reste cohérent sur toutes les versions de Windows. L'événement apparaît dans le journal Système avec un message simple indiquant que le service s'est arrêté, généralement suivi d'aucun autre événement jusqu'au prochain démarrage du système lorsque l'ID d'événement 6005 signale le redémarrage du service EventLog.

Comprendre les modèles de l'ID d'événement 6006 aide les administrateurs à identifier les systèmes avec des arrêts inattendus fréquents, à planifier efficacement les fenêtres de maintenance et à dépanner les applications pouvant causer une instabilité du système. L'absence de cet événement avant un redémarrage du système indique souvent des défaillances matérielles, des problèmes d'alimentation ou des erreurs système critiques qui ont empêché les procédures d'arrêt normales.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Arrêt normal du système initié par l'utilisateur ou l'administrateur
  • Redémarrage planifié du système pour les mises à jour Windows ou la maintenance
  • Arrêt manuel du service EventLog via la console Services ou PowerShell
  • Arrêt du système déclenché par la stratégie de groupe ou les tâches planifiées
  • Commandes d'arrêt à distance exécutées via PowerShell ou des outils en ligne de commande
  • Demandes d'arrêt initiées par des applications traitées par Windows
  • Opérations de maintenance planifiées nécessitant un redémarrage du système
Méthodes de résolution

Étapes de dépannage

01

Vérifier le Visualiseur d'événements pour les modèles d'arrêt

Naviguez vers le Visualiseur d'événements pour analyser les modèles d'arrêt et vérifier le comportement normal du service EventLog.

  1. Ouvrez Visualiseur d'événements en appuyant sur Windows + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Naviguez vers Journaux WindowsSystème
  3. Filtrez les événements en cliquant sur Filtrer le journal actuel dans le volet Actions
  4. Entrez l'ID d'événement 6006 dans le champ ID d'événements et cliquez sur OK
  5. Examinez les horodatages pour identifier les modèles et la fréquence des arrêts
  6. Vérifiez les entrées correspondantes de l'ID d'événement 6005 après chaque 6006 pour confirmer les redémarrages normaux du service
Astuce pro : Recherchez les écarts entre l'ID d'événement 6006 et le suivant 6005 pour identifier les arrêts inattendus ou les périodes d'indisponibilité prolongées.
02

Utiliser PowerShell pour interroger les événements du service EventLog

Interroger les occurrences de l'ID d'événement 6006 à l'aide de PowerShell pour une analyse et un rapport détaillés.

  1. Ouvrez PowerShell en tant qu'administrateur
  2. Exécutez la commande suivante pour récupérer les entrées récentes de l'ID d'événement 6006 :
Get-WinEvent -FilterHashtable @{LogName='System'; Id=6006} -MaxEvents 20 | Format-Table TimeCreated, Id, LevelDisplayName, Message -AutoSize
  1. Pour une analyse plus détaillée, exportez les résultats vers un fichier CSV :
Get-WinEvent -FilterHashtable @{LogName='System'; Id=6006} -MaxEvents 100 | Select-Object TimeCreated, Id, LevelDisplayName, Message | Export-Csv -Path "C:\Temp\EventID6006.csv" -NoTypeInformation
  1. Analysez la fréquence des arrêts avec cette commande :
$Events = Get-WinEvent -FilterHashtable @{LogName='System'; Id=6006} -MaxEvents 50
$Events | Group-Object {$_.TimeCreated.Date} | Sort-Object Name | Format-Table Name, Count
Astuce pro : Utilisez les paramètres -StartTime et -EndTime pour analyser des périodes spécifiques pour la planification de la maintenance.
03

Surveiller l'état et la configuration du service EventLog

Vérifiez la configuration du service EventLog et surveillez son état opérationnel pour garantir une fonctionnalité de journalisation appropriée.

  1. Vérifiez l'état du service EventLog à l'aide de PowerShell :
Get-Service -Name EventLog | Format-List Name, Status, StartType, ServiceType
  1. Consultez la configuration détaillée du service :
Get-WmiObject -Class Win32_Service -Filter "Name='EventLog'" | Format-List Name, State, StartMode, PathName, ProcessId
  1. Surveillez les dépendances du service :
Get-Service -Name EventLog -DependentServices
Get-Service -Name EventLog -RequiredServices
  1. Vérifiez la configuration du registre du service EventLog à :
  2. HKLM\SYSTEM\CurrentControlSet\Services\EventLog
  3. Vérifiez que la valeur Start est définie sur 2 (démarrage automatique)
Avertissement : Ne jamais arrêter manuellement le service EventLog dans les environnements de production car cela interrompra toute journalisation des événements jusqu'au redémarrage.
04

Corréler avec les événements d'arrêt du système

Analysez l'ID d'événement 6006 dans le contexte d'autres événements liés à l'arrêt pour comprendre les modèles de comportement du système.

  1. Interrogez plusieurs événements liés à l'arrêt simultanément :
$ShutdownEvents = @(1074, 1076, 6005, 6006, 6008, 6009)
Get-WinEvent -FilterHashtable @{LogName='System'; Id=$ShutdownEvents} -MaxEvents 50 | Sort-Object TimeCreated -Descending | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap
  1. Créez un rapport d'analyse d'arrêt complet :
$StartDate = (Get-Date).AddDays(-30)
$Events = Get-WinEvent -FilterHashtable @{LogName='System'; Id=@(1074,6006,6008); StartTime=$StartDate}
$GroupedEvents = $Events | Group-Object Id
foreach ($Group in $GroupedEvents) {
    Write-Host "Event ID $($Group.Name): $($Group.Count) occurrences"
}
  1. Identifiez les arrêts inattendus en trouvant l'ID d'événement 6008 (arrêt inattendu) sans précédent 6006 :
Get-WinEvent -FilterHashtable @{LogName='System'; Id=6008} -MaxEvents 10 | Format-Table TimeCreated, Message -Wrap
  1. Générez une chronologie des événements d'arrêt pour la semaine passée :
$LastWeek = (Get-Date).AddDays(-7)
Get-WinEvent -FilterHashtable @{LogName='System'; Id=@(6005,6006); StartTime=$LastWeek} | Sort-Object TimeCreated | Format-Table TimeCreated, Id, Message
05

Dépannage avancé du service EventLog

Effectuez des diagnostics avancés lorsque les modèles d'ID d'événement 6006 indiquent des problèmes potentiels avec le service EventLog.

  1. Activez la journalisation de débogage du service EventLog en modifiant le registre :
New-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\Parameters" -Name "Debug" -Value 1 -PropertyType DWORD -Force
  1. Vérifiez l'utilisation de la mémoire et les performances du service EventLog :
Get-Process -Name "svchost" | Where-Object {$_.Modules.ModuleName -contains "wevtsvc.dll"} | Format-List ProcessName, Id, WorkingSet, PagedMemorySize
  1. Analysez les vidages sur incident du service EventLog si disponibles :
  2. Accédez à %SystemRoot%\Minidump ou %SystemRoot%\MEMORY.DMP
  3. Utilisez les outils de débogage Windows pour analyser les fichiers de vidage pour les problèmes du service EventLog
  4. Vérifiez l'intégrité des fichiers de journal des événements :
$LogFiles = Get-ChildItem "$env:SystemRoot\System32\winevt\Logs" -Filter "*.evtx"
foreach ($Log in $LogFiles) {
    try {
        $Events = Get-WinEvent -Path $Log.FullName -MaxEvents 1 -ErrorAction Stop
        Write-Host "$($Log.Name): OK" -ForegroundColor Green
    } catch {
        Write-Host "$($Log.Name): CORRUPTED" -ForegroundColor Red
    }
}
  1. Réinitialisez la configuration du service EventLog si une corruption est détectée :
Stop-Service -Name EventLog -Force
Start-Service -Name EventLog
Avertissement : L'arrêt du service EventLog interrompra temporairement toute journalisation des événements. Effectuez cette opération uniquement pendant les fenêtres de maintenance.

Aperçu

L'ID d'événement 6006 de la source EventLog se déclenche lorsque le service Windows Event Log s'arrête. C'est généralement le dernier événement enregistré dans le journal Système avant un arrêt ou un redémarrage propre. L'événement apparaît dans le journal Système et indique la terminaison normale du service EventLog, qui gère toute la journalisation des événements sur les systèmes Windows.

Cet événement se produit lors d'arrêts planifiés, de redémarrages ou lorsque un administrateur arrête manuellement le service EventLog. Le moment de cet événement aide les administrateurs à déterminer si un arrêt du système était planifié ou inattendu. Si l'ID d'événement 6006 est absent des journaux avant un redémarrage du système, cela suggère un arrêt non planifié tel qu'une panne de courant ou un crash système.

Le service EventLog est essentiel pour l'infrastructure de journalisation de Windows. Lorsqu'il s'arrête, aucun autre événement ne peut être écrit dans les journaux d'événements Windows jusqu'à ce que le service redémarre. Cela fait de l'ID d'événement 6006 un marqueur crucial pour les administrateurs système suivant les modèles d'arrêt et enquêtant sur les problèmes de stabilité du système.

Questions Fréquentes

Que signifie l'ID d'événement 6006 et quand se produit-il ?+
L'ID d'événement 6006 indique que le service de journal des événements Windows s'est arrêté. Cet événement informatif se produit lors des arrêts normaux du système, des redémarrages ou lorsqu'un administrateur arrête manuellement le service EventLog. Il représente généralement le dernier événement enregistré avant que le système cesse de journaliser les événements. L'événement sert de marqueur de temps montrant quand le service EventLog s'est terminé, ce qui aide les administrateurs à distinguer entre les arrêts planifiés et non planifiés.
L'ID d'événement 6006 est-il un signe de problème avec mon système Windows ?+
Non, l'ID d'événement 6006 n'est pas un indicateur de problème. C'est un événement informatif normal qui se produit lors de chaque arrêt ou redémarrage planifié. L'événement documente simplement quand le service EventLog s'est arrêté dans le cadre de la séquence d'arrêt normale. Cependant, si vous remarquez que cet événement se produit fréquemment sans arrêts planifiés correspondants, cela pourrait indiquer des redémarrages système inattendus qui méritent une enquête. L'absence de l'ID d'événement 6006 avant un redémarrage système est plus préoccupante car elle suggère un arrêt inattendu.
Comment puis-je utiliser l'ID d'événement 6006 pour dépanner les arrêts inattendus ?+
L'ID d'événement 6006 sert de marqueur clé pour les arrêts planifiés. Pour dépanner les arrêts inattendus, recherchez les entrées d'ID d'événement 6008 (arrêt inattendu) qui ne sont pas précédées par l'ID d'événement 6006. Ce schéma indique que le système s'est arrêté sans arrêter correctement le service EventLog en premier. Vous pouvez également analyser les écarts de temps entre l'ID d'événement 6006 et l'ID d'événement 6005 suivant (service EventLog démarré) pour identifier les périodes d'arrêt prolongées. Utilisez PowerShell pour interroger ces événements et créer des rapports chronologiques pour l'analyse des schémas.
Puis-je empêcher l'ID d'événement 6006 d'apparaître dans mes journaux d'événements ?+
Vous ne pouvez pas et ne devez pas empêcher l'apparition de l'ID d'événement 6006 dans les journaux d'événements. Cet événement est généré automatiquement par le service Windows EventLog dans le cadre de sa procédure normale d'arrêt et sert à des fins administratives et d'analyse médico-légale importantes. Tenter de supprimer cet événement nécessiterait de désactiver des fonctionnalités de journalisation critiques, ce qui compromettrait les capacités de surveillance et de dépannage du système. L'événement est uniquement informatif et n'indique aucun problème nécessitant une résolution.
Que dois-je faire si l'ID d'événement 6006 apparaît très fréquemment dans mes journaux ?+
Les entrées fréquentes de l'ID d'événement 6006 indiquent que votre système s'éteint ou redémarre souvent. Tout d'abord, déterminez si ces arrêts sont planifiés en vérifiant les événements d'initiation d'arrêt correspondants comme l'ID d'événement 1074. Examinez le calendrier de redémarrage de votre système, les paramètres de Windows Update et toutes les tâches de maintenance automatisées. Utilisez PowerShell pour analyser la fréquence et les modèles de timing. Si les arrêts ne sont pas planifiés, examinez les problèmes matériels, les problèmes d'alimentation, la surchauffe ou les conflits logiciels. Vérifiez les entrées de l'ID d'événement 6008 qui indiquent des arrêts inattendus, et examinez les journaux Système et Application pour les événements d'erreur précédant les arrêts.
Documentation

Références (2)

1
Microsoft Learn - Windows Event Log ServiceOfficial Microsoft documentation covering Windows Event Log service architecture and event managementhttps://learn.microsoft.com/en-us/windows/win32/eventlog/event-logging
2
Windows Server Event Log ReferenceMicrosoft documentation for Windows Server event logging commands and troubleshootinghttps://docs.microsoft.com/en-us/windows-server/administration/windows-commands/eventcreate
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#windows-events#event-id-6006#system-shutdown

Événements Windows associés

Windows Event Viewer displaying Event ID 6005 system startup logs on a professional monitoring dashboard
Event 6005
EventLog
Windows EventInformation

ID d'événement Windows 6005 – EventLog : Service du journal des événements démarré

L'ID d'événement 6005 indique que le service de journal des événements Windows a démarré avec succès. Cet événement informatif apparaît dans le journal Système lors du démarrage du système et des redémarrages de service.

18 mars9 min
Windows Event Viewer displaying system service startup events on a monitoring dashboard
Event 6004
EventLog
Windows EventInformation

ID d'événement Windows 6004 – EventLog : Service du journal des événements démarré

L'ID d'événement 6004 indique que le service de journal des événements Windows a démarré avec succès. Cet événement informatif confirme que le sous-système de journalisation est opérationnel et prêt à enregistrer les événements système.

18 mars8 min
Windows Event Viewer showing system event logs on a monitoring dashboard
Event 6003
EventLog
Windows EventInformation

ID d'événement Windows 6003 – EventLog : Service du journal des événements démarré

L'ID d'événement 6003 indique que le service de journal des événements Windows a démarré avec succès. Cet événement informatif apparaît dans le journal Système lors du démarrage et confirme que le sous-système de journalisation est opérationnel.

18 mars8 min
Windows Event Viewer showing system event logs on a monitoring dashboard
Event 6000
EventLog
Windows EventInformation

ID d'événement Windows 6000 – EventLog : Service du journal des événements démarré

L'ID d'événement 6000 indique que le service de journal des événements Windows a démarré avec succès. Cet événement informatif se déclenche lors du démarrage du système et confirme que le sous-système de journalisation est opérationnel.

18 mars8 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...