ID d'événement Windows 7031 – Gestionnaire de contrôle des services : Service terminé de manière inattendue

Commencez par examiner les détails spécifiques de l'ID d'événement 7031 pour identifier le service défaillant et les modèles d'erreur.

1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
2. Accédez à Journaux Windows → Système
3. Filtrez pour l'ID d'événement 7031 en cliquant avec le bouton droit sur Système → Filtrer le journal actuel → Entrez 7031 dans le champ ID d'événements
4. Double-cliquez sur les événements 7031 récents pour voir les détails, y compris le nom du service, le code de sortie et les actions de redémarrage
5. Notez la fréquence et les modèles de synchronisation des échecs pour le même service
6. Vérifiez l'onglet Général pour le nom du service et l'onglet Détails pour les codes de sortie et les paramètres supplémentaires

Utilisez PowerShell pour interroger efficacement plusieurs événements 7031 :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=7031} -MaxEvents 50 | Select-Object TimeCreated, Id, LevelDisplayName, Message | Format-Table -Wrap

Examinez et ajustez les paramètres de récupération du service pour éviter les défaillances en cascade et mettre en œuvre des politiques de redémarrage appropriées.

1. Ouvrez la console Services en appuyant sur Win + R, en tapant services.msc, et en appuyant sur Entrée
2. Localisez le service mentionné dans l'ID d'événement 7031 et double-cliquez pour ouvrir les propriétés
3. Cliquez sur l'onglet Récupération pour voir les actions de défaillance actuelles
4. Examinez les paramètres de redémarrage : Première défaillance, Deuxième défaillance, et Défaillances ultérieures
5. Vérifiez les paramètres de délai de redémarrage du service et le minuteur de réinitialisation du compteur de défaillances
6. Envisagez d'ajuster les actions de récupération en fonction de la criticité du service et des schémas de défaillance

Utilisez PowerShell pour interroger la configuration de récupération du service :

$serviceName = "YourServiceName"
Get-CimInstance -ClassName Win32_Service -Filter "Name='$serviceName'" | Select-Object Name, StartMode, State, ProcessId
sc.exe qfailure $serviceName

Modifiez les paramètres de récupération via PowerShell :

# Définir le service pour redémarrer en cas de défaillance avec un délai de 60 secondes
sc.exe failure "YourServiceName" reset= 86400 actions= restart/60000/restart/60000/restart/60000

Analyser les dépendances de service et l'utilisation des ressources système pour identifier les causes profondes des défaillances de service.

1. Vérifiez les dépendances de service dans la console Services en consultant l'onglet Dépendances du service défaillant
2. Vérifiez que tous les services de dépendance sont en cours d'exécution et en bonne santé
3. Surveillez les ressources système pendant les défaillances de service à l'aide de Performance Monitor ou Resource Monitor
4. Vérifiez la mémoire disponible, l'utilisation du CPU et l'espace disque lorsque les services se terminent
5. Examinez les journaux d'application et système de Windows pour les erreurs connexes survenant à peu près au même moment
6. Examinez le répertoire de travail du service et vérifiez les autorisations de fichier

Utilisez PowerShell pour vérifier les dépendances de service :

$serviceName = "YourServiceName"
Get-Service -Name $serviceName -DependentServices
Get-Service -Name $serviceName -RequiredServices

Surveillez les ressources système avec PowerShell :

# Vérifiez l'utilisation de la mémoire
Get-Counter "\Memory\Available MBytes", "\Memory\Committed Bytes" -SampleInterval 5 -MaxSamples 12

# Surveillez l'utilisation des ressources des processus
Get-Process | Sort-Object WorkingSet -Descending | Select-Object -First 10 Name, WorkingSet, CPU

Créez un contrôle de santé système complet :

# Vue d'ensemble de la santé du système
$systemInfo = @{
    'Mémoire libre (GB)' = [math]::Round((Get-CimInstance Win32_OperatingSystem).FreePhysicalMemory/1MB, 2)
    'Utilisation du CPU %' = (Get-Counter "\Processor(_Total)\% Processor Time").CounterSamples.CookedValue
    'Espace disque libre (GB)' = [math]::Round((Get-CimInstance Win32_LogicalDisk -Filter "DriveType=3").FreeSpace/1GB, 2)
}
$systemInfo

Effectuer une analyse détaillée de l'exécutable du service, des vidages sur incident, et corréler avec d'autres événements système pour identifier les causes spécifiques de défaillance.

1. Localiser le chemin de l'exécutable du service dans la console Services ou le registre
2. Vérifier l'intégrité des fichiers en utilisant sfc /scannow et DISM /Online /Cleanup-Image /RestoreHealth
3. Activer la collecte de vidages sur incident pour le processus de service défaillant
4. Examiner les rapports de Windows Error Reporting (WER) dans %ProgramData%\Microsoft\Windows\WER\ReportQueue
5. Corréler l'ID d'événement 7031 avec les événements d'erreur d'application (ID d'événement 1000) et les événements d'erreur système
6. Vérifier les mises à jour récentes de Windows ou les installations de logiciels pouvant affecter le service

Interroger le chemin de l'exécutable du service et vérifier l'intégrité :

$serviceName = "YourServiceName"
$service = Get-CimInstance -ClassName Win32_Service -Filter "Name='$serviceName'"
$executablePath = $service.PathName -replace '"', '' -split ' ' | Select-Object -First 1
Write-Host "Exécutable du service : $executablePath"

# Vérifier la version du fichier et la signature numérique
Get-ItemProperty $executablePath | Select-Object Name, VersionInfo, LastWriteTime
Get-AuthenticodeSignature $executablePath

Activer la collecte de vidages sur incident :

# Configurer Windows Error Reporting pour les vidages sur incident
$regPath = "HKLM:\SOFTWARE\Microsoft\Windows\Windows Error Reporting\LocalDumps"
if (!(Test-Path $regPath)) { New-Item -Path $regPath -Force }
Set-ItemProperty -Path $regPath -Name "DumpFolder" -Value "C:\CrashDumps"
Set-ItemProperty -Path $regPath -Name "DumpType" -Value 2  # Vidage complet
Set-ItemProperty -Path $regPath -Name "DumpCount" -Value 5

Corréler les événements à travers plusieurs journaux :

# Trouver les événements liés dans les 5 minutes suivant la défaillance du service
$serviceFailureTime = (Get-WinEvent -FilterHashtable @{LogName='System'; Id=7031} -MaxEvents 1).TimeCreated
$startTime = $serviceFailureTime.AddMinutes(-5)
$endTime = $serviceFailureTime.AddMinutes(5)

Get-WinEvent -FilterHashtable @{LogName='Application','System'; StartTime=$startTime; EndTime=$endTime; Level=1,2,3} | Sort-Object TimeCreated

Utilisez des outils de diagnostic avancés pour capturer le comportement détaillé du service et identifier des problèmes complexes de configuration ou de permission.

1. Téléchargez et exécutez Process Monitor (ProcMon) de Microsoft Sysinternals
2. Configurez les filtres de ProcMon pour surveiller le nom du processus du service défaillant
3. Capturez les événements de démarrage et d'échec du service pour identifier les problèmes d'accès aux fichiers, de registre ou de réseau
4. Analysez la configuration du registre du service sous HKLM\SYSTEM\CurrentControlSet\Services\[ServiceName]
5. Vérifiez les permissions du compte de service et les paramètres de la politique de sécurité locale
6. Examinez les journaux Event Tracing for Windows (ETW) pour des diagnostics de service détaillés

Configurez le filtrage de Process Monitor :

# Script PowerShell pour préparer l'analyse ProcMon
$serviceName = "YourServiceName"
$service = Get-Service -Name $serviceName
Write-Host "Surveiller le processus : $($service.ServiceName)"
Write-Host "ID du processus : $($service.Id)" -ForegroundColor Yellow
Write-Host "Configurez ProcMon pour filtrer par nom de processus ou PID" -ForegroundColor Green

Analysez la configuration du registre du service :

# Examiner les paramètres du registre du service
$serviceName = "YourServiceName"
$regPath = "HKLM:\SYSTEM\CurrentControlSet\Services\$serviceName"
if (Test-Path $regPath) {
    Get-ItemProperty $regPath | Format-List
    
    # Vérifiez la sous-clé des paramètres du service
    $paramsPath = "$regPath\Parameters"
    if (Test-Path $paramsPath) {
        Write-Host "Paramètres du service :" -ForegroundColor Cyan
        Get-ItemProperty $paramsPath | Format-List
    }
} else {
    Write-Host "Clé de registre du service non trouvée : $regPath" -ForegroundColor Red
}

Activez la traçabilité ETW pour des diagnostics de service détaillés :

# Activer la traçabilité ETW du Service Control Manager
wevtutil.exe sl Microsoft-Windows-Services/Diagnostic /e:true
wevtutil.exe sl Microsoft-Windows-Services-Svchost/Diagnostic /e:true

# Interroger les événements ETW après l'échec du service
Get-WinEvent -LogName "Microsoft-Windows-Services/Diagnostic" -MaxEvents 20 | Where-Object {$_.Message -like "*$serviceName*"}