Partager via


Journaux d'événements BitLocker

S’applique à : Gestionnaire de Configuration (branche actuelle)

L’agent de gestion BitLocker et les services web utilisent les journaux des événements Windows pour enregistrer les messages. Dans la observateur d'événements, accédez à Journaux des applications et des services, Microsoft, Windows. Le canal de journal (nœud) varie en fonction de l’ordinateur et du composant :

  • MBAM : Agent de gestion BitLocker sur un ordinateur client
  • MBAM-Web :
    • Service de récupération sur le point de gestion
    • Portail en libre-service
    • Site web d’administration et de surveillance

Pour plus d’informations sur des messages spécifiques dans ces journaux, consultez les articles suivants :

Par défaut, deux canaux de journal s’affichent dans chaque nœud : Administration et Opérationnel. Pour obtenir des informations plus détaillées sur la résolution des problèmes, vous pouvez également afficher les journaux d’analyse et de débogage.

Propriétés du journal

Dans Windows observateur d'événements, sélectionnez un journal spécifique. Par exemple, Administration. Accédez au menu Action, puis sélectionnez Propriétés. Configurez les paramètres suivants :

  • Taille maximale du journal (Ko) : par défaut, ce paramètre est 1028 (1 Mo) pour tous les journaux.
  • Lorsque la taille maximale du journal des événements est atteinte : par défaut, les journaux d’activité Administration et opérationnels sont définis sur Remplacer les événements en fonction des besoins (les événements les plus anciens en premier).

Journaux d’analyse et de débogage

Vous pouvez activer des journaux plus détaillés à des fins de résolution des problèmes. Dans observateur d'événements, accédez au menu Affichage, puis sélectionnez Afficher les journaux d’analyse et de débogage. À présent, lorsque vous accédez au canal de journalisation, vous voyez deux journaux supplémentaires : Analytics et Debug.

Conseil

Par défaut, ces journaux ont les propriétés suivantes :

  • Taille maximale du journal (Ko) : 1028 (1 Mo)
  • Ne pas remplacer les événements (Effacer les journaux manuellement)

Exporter des journaux vers du texte

En particulier avec les journaux d’analyse et de débogage, vous pouvez trouver plus facile d’examiner les entrées des journaux dans un seul fichier texte. Utilisez les commandes PowerShell suivantes pour exporter les entrées du journal des événements vers des fichiers texte :

# Out-String with a larger -Width does a better job compared to using Out-File with -Width. -Oldest is only required with debug/analytic logs.

# Debug log
Get-WinEvent -LogName Microsoft-Windows-MBAM/Debug -Oldest | Format-Table -AutoSize | Out-String -Width 4096 | Out-File C:\Temp\MBAM_Log_Debug.txt

# Analytic log
Get-WinEvent -LogName Microsoft-Windows-MBAM/Analytic -Oldest | Format-Table -AutoSize | Out-String -Width 4096 | Out-File C:\Temp\MBAM_Log_Analytic.txt

# Admin log
# The above command truncates the output from the admin log, this sample reformats the strings
Get-WinEvent -LogName Microsoft-Windows-MBAM/Admin |
    Select TimeCreated, LevelDisplayName, TaskDisplayName, @{n='Message';e={$_.Message.trim()}} |
    Format-Table -AutoSize -Wrap | Out-String -Width 4096 |
    Out-File -FilePath C:\Temp\MBAM_Log_Admin.txt