ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Event Viewer displaying system shutdown events in a professional server environment
Event ID 6008ErrorEventLogWindows

ID d'événement Windows 6008 – EventLog : Détection d'arrêt système inattendu

L'ID d'événement 6008 indique que Windows a détecté un arrêt système inattendu. Le système n'a pas été correctement arrêté avant le démarrage précédent, ce qui suggère une perte de courant, une défaillance matérielle ou un redémarrage forcé.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
17 mars 202612 min de lecture 1
Event ID 6008EventLog 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement Windows 6008 représente l'un des indicateurs de santé système les plus importants dans la journalisation des événements Windows. Lorsque Windows démarre, le service EventLog effectue une vérification de validation de l'arrêt en examinant les informations d'état du système de la session précédente. Si cette validation échoue—c'est-à-dire que Windows ne peut pas confirmer qu'une séquence d'arrêt correcte a eu lieu—il enregistre immédiatement l'ID d'événement 6008 pour alerter les administrateurs de la terminaison inattendue.

L'événement se produit pendant le processus de démarrage précoce, spécifiquement lorsque le service EventLog s'initialise et effectue ses diagnostics de démarrage. Windows maintient les informations d'état d'arrêt dans le registre et les fichiers système, lui permettant de différencier les arrêts planifiés (initiés via le menu Démarrer, les commandes d'arrêt ou la stratégie de groupe) et les terminaisons inattendues causées par des facteurs externes.

D'un point de vue technique, Windows suit les événements d'arrêt à travers plusieurs mécanismes, y compris le suivi des événements d'arrêt, la persistance de l'état du système et les entrées de registre. Lorsque ces mécanismes indiquent une séquence d'arrêt incomplète, l'ID d'événement 6008 fournit les preuves nécessaires pour identifier les problèmes potentiels du système. L'événement devient particulièrement critique dans les environnements d'entreprise où les arrêts inattendus peuvent indiquer des systèmes UPS défaillants, du matériel en surchauffe ou des applications instables provoquant des plantages système.

Comprendre les modèles de l'ID d'événement 6008 aide les administrateurs à aborder de manière proactive les problèmes d'infrastructure avant qu'ils ne s'aggravent en problèmes plus graves affectant les opérations commerciales et l'intégrité des données.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Pannes de courant : Perte soudaine d'alimentation électrique sans protection UPS provoquant un arrêt immédiat du système
  • Pannes matérielles : Composants en surchauffe, alimentations défaillantes ou RAM défectueuse provoquant des plantages système
  • Arrêts forcés : Maintien du bouton d'alimentation, débranchement des câbles d'alimentation ou arrêts d'urgence
  • Écran bleu de la mort (BSOD) : Erreurs système critiques provoquant un redémarrage automatique sans arrêt correct
  • Plantages d'applications : Logiciels ou pilotes bogués provoquant une instabilité du système et des redémarrages inattendus
  • Épuisement de la batterie UPS : Alimentation sans coupure à court de batterie lors de pannes prolongées
  • Arrêts thermiques : Surchauffe du CPU ou du système déclenchant un arrêt protecteur automatique
  • Erreurs de mémoire : RAM défectueuse ou corruption de mémoire provoquant des plantages système
  • Pannes de stockage : Pannes de disque dur ou SSD empêchant l'achèvement correct de la séquence d'arrêt
Méthodes de résolution

Étapes de dépannage

01

Vérifier le Visualiseur d'événements pour le contexte d'arrêt

Commencez par examiner le journal Système autour de l'heure de l'arrêt inattendu pour identifier les causes potentielles :

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSystème
  3. Cherchez les entrées avec l'ID d'événement 6008 et notez leurs horodatages
  4. Examinez les événements immédiatement avant l'heure de l'arrêt pour des indices :
    • ID d'événement 41 (Kernel-Power) : Indique des problèmes liés à l'alimentation
    • ID d'événement 1001 (BugCheck) : Montre des informations sur l'écran bleu de la mort (BSOD)
    • Événements critiques ou d'erreur provenant des pilotes matériels
  5. Utilisez PowerShell pour filtrer les événements pertinents :
Get-WinEvent -FilterHashtable @{LogName='System'; Level=1,2,3} | Where-Object {$_.TimeCreated -gt (Get-Date).AddDays(-7)} | Sort-Object TimeCreated

Cette méthode fournit un contexte immédiat sur ce qui a causé l'arrêt inattendu.

02

Analyser l'historique de fiabilité du système

Utilisez le Moniteur de fiabilité Windows pour obtenir une vue d'ensemble des problèmes de stabilité du système :

  1. Appuyez sur Win + R, tapez perfmon /rel, et appuyez sur Entrée
  2. Examinez le graphique de fiabilité pour les marques X rouges indiquant des événements critiques
  3. Cliquez sur les dates avec des événements critiques pour voir des informations détaillées
  4. Recherchez des motifs dans les arrêts inattendus au fil du temps
  5. Exportez les données de fiabilité pour analyse en utilisant PowerShell :
Get-WinEvent -FilterHashtable @{LogName='System'; Id=6008} -MaxEvents 50 | Select-Object TimeCreated, Id, LevelDisplayName, Message | Export-Csv -Path "C:\temp\shutdown_events.csv" -NoTypeInformation

Commande alternative pour vérifier les données de fiabilité :

Get-CimInstance -ClassName Win32_ReliabilityRecords | Where-Object {$_.EventIdentifier -eq 6008} | Select-Object TimeGenerated, Message

Cela fournit un contexte historique et aide à identifier les motifs récurrents.

03

Enquêter sur les problèmes matériels et d'alimentation

Examinez les journaux liés au matériel et les informations système pour identifier les causes matérielles potentielles :

  1. Vérifiez les journaux de l'Architecture des Erreurs Matérielles de Windows (WHEA) :
Get-WinEvent -FilterHashtable @{LogName='System'; ProviderName='Microsoft-Windows-WHEA-Logger'} | Select-Object TimeCreated, Id, LevelDisplayName, Message
  1. Examinez les événements Kernel-Power pour les problèmes liés à l'alimentation :
Get-WinEvent -FilterHashtable @{LogName='System'; ProviderName='Microsoft-Windows-Kernel-Power'} | Where-Object {$_.Id -eq 41} | Select-Object TimeCreated, Message
  1. Vérifiez la température du système et l'état du matériel à l'aide des outils intégrés :
Get-CimInstance -ClassName Win32_TemperatureProbe
Get-CimInstance -ClassName Win32_Fan
Get-CimInstance -ClassName Win32_Processor | Select-Object Name, CurrentTemperature
  1. Examinez les paramètres d'alimentation et la configuration de l'onduleur :
powercfg /query
Get-CimInstance -ClassName Win32_Battery | Select-Object Name, BatteryStatus, EstimatedChargeRemaining

Astuce pro : Exécutez des diagnostics de mémoire à l'aide de mdsched.exe si vous suspectez des problèmes de RAM causant des arrêts inattendus.

04

Configurer le suivi avancé de l'arrêt

Activez le suivi détaillé des arrêts pour capturer plus d'informations sur les arrêts inattendus futurs :

  1. Configurez le suivi des événements d'arrêt via la stratégie de groupe ou le registre :
# Activer le suivi des événements d'arrêt via le registre
Set-ItemProperty -Path "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Reliability" -Name "ShutdownReasonOn" -Value 1 -Type DWord
Set-ItemProperty -Path "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Reliability" -Name "ShutdownReasonUI" -Value 1 -Type DWord
  1. Activez la journalisation détaillée du démarrage et de l'arrêt :
# Activer la journalisation du démarrage
bcdedit /set bootlog yes
# Activer la journalisation des événements d'arrêt
Set-ItemProperty -Path "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager" -Name "BootExecute" -Value @("autocheck autochk *", "bootlog")
  1. Configurez la collecte automatique des vidages sur incident :
# Configurer le système pour créer des vidages mémoire en cas d'incidents
Set-ItemProperty -Path "HKLM\SYSTEM\CurrentControlSet\Control\CrashControl" -Name "CrashDumpEnabled" -Value 1
Set-ItemProperty -Path "HKLM\SYSTEM\CurrentControlSet\Control\CrashControl" -Name "DumpFile" -Value "%SystemRoot%\MEMORY.DMP"
  1. Configurez la surveillance des journaux d'événements personnalisés :
# Créer une tâche planifiée pour surveiller l'ID d'événement 6008
$Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-Command Get-WinEvent -FilterHashtable @{LogName='System'; Id=6008} | Select-Object -First 1 | Out-File C:\temp\last_unexpected_shutdown.txt"
$Trigger = New-ScheduledTaskTrigger -AtStartup
Register-ScheduledTask -TaskName "Monitor_Unexpected_Shutdowns" -Action $Action -Trigger $Trigger

Avertissement : Les vidages mémoire peuvent consommer un espace disque important. Assurez-vous d'avoir un stockage adéquat avant d'activer la collecte des vidages sur incident.

05

Mettre en œuvre une solution de surveillance complète

Déployez une surveillance avancée pour détecter et prévenir de manière proactive les arrêts inattendus :

  1. Configurer un script de surveillance basé sur PowerShell :
# Script de surveillance avancée pour les arrêts inattendus
$LogName = "System"
$EventID = 6008
$LastCheck = (Get-Date).AddHours(-24)

$UnexpectedShutdowns = Get-WinEvent -FilterHashtable @{
    LogName = $LogName
    Id = $EventID
    StartTime = $LastCheck
} -ErrorAction SilentlyContinue

if ($UnexpectedShutdowns) {
    $Report = $UnexpectedShutdowns | ForEach-Object {
        [PSCustomObject]@{
            TimeCreated = $_.TimeCreated
            Computer = $_.MachineName
            EventID = $_.Id
            Message = $_.Message
        }
    }
    
    # Envoyer une alerte par email ou enregistrer dans le système de surveillance central
    $Report | Export-Csv -Path "C:\Monitoring\UnexpectedShutdowns_$(Get-Date -Format 'yyyyMMdd').csv" -NoTypeInformation
    
    # Optionnel : Envoyer au journal des événements Windows pour une surveillance centralisée
    Write-EventLog -LogName Application -Source "Custom Monitoring" -EventId 1001 -EntryType Warning -Message "Detected $($UnexpectedShutdowns.Count) unexpected shutdowns in the last 24 hours"
}
  1. Configurer Windows Performance Toolkit pour une analyse détaillée :
# Installer et configurer WPT pour l'analyse des arrêts
# Télécharger depuis Microsoft et installer Windows Performance Toolkit
# Créer une trace personnalisée pour les événements d'arrêt
wpr -start GeneralProfile -start CPU -start DiskIO
  1. Configurer la journalisation centralisée avec un module PowerShell personnalisé :
# Créer une fonction personnalisée pour l'analyse des arrêts
function Analyze-UnexpectedShutdowns {
    param(
        [int]$DaysBack = 30,
        [string]$ComputerName = $env:COMPUTERNAME
    )
    
    $Events = Get-WinEvent -ComputerName $ComputerName -FilterHashtable @{
        LogName = 'System'
        Id = 6008
        StartTime = (Get-Date).AddDays(-$DaysBack)
    } -ErrorAction SilentlyContinue
    
    if ($Events) {
        $Analysis = @{
            TotalEvents = $Events.Count
            FirstOccurrence = ($Events | Sort-Object TimeCreated)[0].TimeCreated
            LastOccurrence = ($Events | Sort-Object TimeCreated -Descending)[0].TimeCreated
            AveragePerDay = [math]::Round($Events.Count / $DaysBack, 2)
            ComputerName = $ComputerName
        }
        
        return [PSCustomObject]$Analysis
    }
}

Conseil pro : Intégrez cette surveillance à votre plateforme SIEM ou de surveillance existante pour une visibilité complète de l'infrastructure.

Aperçu

L'ID d'événement 6008 se déclenche lorsque Windows détecte que le système n'a pas été correctement arrêté lors de la session précédente. Cet événement système critique apparaît dans le journal Système immédiatement après le démarrage de Windows et détermine que l'arrêt précédent était inattendu ou incorrect. Le service EventLog génère cet événement lors du démarrage du système lorsqu'il ne peut pas trouver de preuve d'une séquence d'arrêt propre.

Contrairement aux arrêts planifiés qui génèrent l'ID d'événement 1074, l'ID d'événement 6008 indique que quelque chose a empêché le processus d'arrêt normal. Cela peut aller des pannes de courant et des défaillances matérielles aux plantages système et redémarrages forcés. L'horodatage de l'événement reflète le moment où Windows a détecté l'arrêt incorrect, et non le moment où l'arrêt réel s'est produit.

Cet événement sert d'indicateur crucial pour les administrateurs système surveillant la santé de l'infrastructure. Des événements 6008 fréquents suggèrent des problèmes matériels sous-jacents, des problèmes d'alimentation ou une instabilité du système qui nécessitent une enquête immédiate. L'événement apparaît dans les environnements de station de travail et de serveur, ce qui le rend essentiel pour des stratégies de surveillance système complètes.

Questions Fréquentes

Que signifie l'ID d'événement 6008 et pourquoi devrais-je m'en inquiéter ?+
L'ID d'événement 6008 indique que Windows a détecté un arrêt système inattendu lors de la session précédente. Cela signifie que votre système ne s'est pas arrêté correctement par des moyens normaux (menu Démarrer, commande d'arrêt, etc.) mais a plutôt subi une terminaison abrupte. Vous devriez vous inquiéter car des arrêts inattendus fréquents peuvent indiquer des problèmes matériels graves tels que des alimentations défaillantes, des composants en surchauffe, des problèmes de mémoire ou des problèmes d'infrastructure électrique. Ces problèmes peuvent entraîner une corruption des données, des dommages matériels et une instabilité du système s'ils ne sont pas résolus rapidement.
Comment puis-je déterminer ce qui a causé l'arrêt inattendu qui a déclenché l'ID d'événement 6008 ?+
Pour identifier la cause, examinez le journal des événements système pour les événements survenus juste avant l'horodatage de l'arrêt. Recherchez l'ID d'événement 41 (Kernel-Power) indiquant des problèmes d'alimentation, l'ID d'événement 1001 (BugCheck) montrant des erreurs d'écran bleu, ou des erreurs critiques de pilotes matériels. Utilisez la commande PowerShell 'Get-WinEvent -FilterHashtable @{LogName='System'; Level=1,2,3}' pour filtrer les événements critiques et d'erreur. Vérifiez également le Moniteur de fiabilité Windows (perfmon /rel) pour une chronologie visuelle des problèmes système. Les outils de surveillance matérielle peuvent aider à identifier les défaillances de température, d'alimentation ou de composants qui pourraient causer des arrêts inattendus.
L'ID d'événement 6008 est-il toujours un signe de problèmes matériels ?+
Non, l'ID d'événement 6008 n'indique pas toujours des problèmes matériels, bien que les problèmes matériels soient des causes courantes. L'événement peut également résulter de causes liées aux logiciels telles que des pilotes bogués provoquant des plantages système, des applications qui bloquent le système nécessitant un redémarrage forcé, des mises à jour Windows nécessitant des redémarrages inattendus, ou des arrêts forcés initiés par l'utilisateur (en maintenant le bouton d'alimentation). Cependant, si vous voyez fréquemment des événements 6008 sans actions utilisateur correspondantes ou maintenance programmée, les problèmes matériels deviennent plus probables. La clé est d'examiner le modèle et la fréquence de ces événements ainsi que d'autres journaux système pour déterminer la cause principale.
À quelle fréquence est-ce trop fréquent pour les occurrences de l'ID d'événement 6008 ?+
Dans un système sain, l'ID d'événement 6008 devrait être rare—idéalement ne se produisant que lors de maintenances planifiées, de pannes de courant ou de redémarrages forcés occasionnels initiés par l'utilisateur. Si vous voyez l'ID d'événement 6008 plus d'une fois par semaine sans activités planifiées correspondantes, une enquête est justifiée. Des occurrences quotidiennes indiquent presque certainement un problème sérieux nécessitant une attention immédiate. Pour les serveurs et les systèmes critiques, même des arrêts inattendus hebdomadaires suggèrent des problèmes d'infrastructure qui doivent être résolus. La tolérance de fréquence dépend également de votre environnement : un ordinateur domestique peut tolérer des arrêts inattendus occasionnels, tandis que les serveurs d'entreprise devraient avoir des événements d'arrêt inattendus proches de zéro.
Puis-je empêcher l'apparition de l'ID d'événement 6008 ?+
Bien que vous ne puissiez pas empêcher l'événement lui-même (c'est la façon de Windows de signaler des arrêts inattendus), vous pouvez prévenir les causes sous-jacentes. Installez et entretenez des systèmes UPS pour gérer les pannes de courant de manière élégante. Assurez un refroidissement adéquat du système et un entretien régulier du matériel pour éviter la surchauffe. Gardez les pilotes et les mises à jour Windows à jour pour éviter les plantages liés aux logiciels. Surveillez la santé du système de manière proactive en utilisant des outils comme Performance Monitor et des logiciels de surveillance du matériel. Configurez des procédures d'arrêt automatique pour les systèmes UPS lorsque la batterie est faible. Un entretien régulier du système, y compris le nettoyage du disque, le test de la mémoire et l'inspection du matériel, peut identifier des problèmes potentiels avant qu'ils ne causent des arrêts inattendus. L'objectif est d'éliminer les causes profondes plutôt que de supprimer l'événement d'avertissement.
Documentation

Références (2)

1
Microsoft Learn - Windows Event LogsOfficial Microsoft documentation covering Windows Event Logging architecture and event managementhttps://learn.microsoft.com/en-us/windows/win32/eventlog/event-logging
2
Windows Server Event Log ReferenceMicrosoft documentation for Windows Server event logging and system event managementhttps://docs.microsoft.com/en-us/windows-server/administration/windows-commands/eventcreate
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#event-id-6008#unexpected-shutdown#system-monitoring

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...