Partager via


Introduction au composant EventLog

Mise à jour : novembre 2007

Dans Microsoft Windows, la journalisation des événements est une méthode standard centralisée utilisée par vos applications pour consigner tout événement essentiel affectant le logiciel et le matériel. Lorsqu'une erreur se produit, l'administrateur système ou les techniciens du service d'assistance doivent en déterminer la cause, tenter de récupérer les informations perdues et empêcher l'erreur de se reproduire. Leur tâche est considérablement simplifiée si les applications, le système d'exploitation ou les autres services système enregistrent les événements importants, tels une insuffisance de mémoire ou l'impossibilité d'accéder à un disque. À partir du journal des événements, l'administrateur système est en mesure de déterminer les causes de l'erreur ainsi que le contexte dans lequel celle-ci est survenue.

Windows comporte une interface utilisateur standard servant à la visualisation des journaux des événements, ainsi qu'une interface de programmation permettant d'analyser leur contenu. Dans la version 6.0 de Microsoft Visual Basic, un nombre limité d'opérations d'écriture était possible dans quelques journaux des événements, mais il n'était toutefois pas aisé de lire la totalité des journaux des événements disponibles, ou d'interagir avec ces derniers.

Le composant EventLog vous permet désormais de vous connecter aux journaux des événements, tant sur les ordinateurs locaux ou que sur les ordinateurs distants afin d'y ajouter des entrées. En outre, vous pouvez lire le contenu de journaux existants et créer des journaux des événements personnalisés.

Outre les opérations d'écriture et de lecture dans les journaux des événements, vous pouvez vous servir de l'Explorateur de serveurs pour visualiser la liste des journaux des événements de tout serveur auquel vous avez accès. En développant le nœud Journaux des événements de l'Explorateur de serveurs, il est possible d'afficher la liste des journaux existants ainsi que les événements enregistrés dans ceux-ci. Par ailleurs, vous pouvez faire glisser un journal des événements spécifique depuis l'Explorateur de serveurs vers votre concepteur, afin de créer une instance du composant EventLog. Ses propriétés sont automatiquement configurées pour qu'il pointe vers le journal sélectionné.

Remarque :

Utilisez la méthode GetEventLogs pour récupérer la liste de tous les journaux des événements figurant sur un ordinateur spécifique.

Remarque :

Certaines restrictions de sécurité s'appliquent à l'utilisation des journaux des événements. Pour plus d'informations, consultez Ramifications de sécurité des journaux des événements.

Concepts clés de la journalisation des événements de Microsoft Windows

Un événement, tel que défini dans Microsoft Windows, est tout fait important, se produisant dans le système d'exploitation ou dans une application, qui doit être signalé aux utilisateurs. Un événement critique est notifié immédiatement à l'utilisateur, sous forme d'un message affiché à l'écran. Les autres notifications d'événement sont consignées dans l'un des journaux des événements qui enregistrent les informations pour un usage futur. Les entrées d'un journal des événements sont réparties dans plusieurs catégories : erreurs, avertissements, informations, audits de succès et audits d'échec.

Par défaut, trois types de journaux des événements sont disponibles sur les ordinateurs exécutant Windows 2000 ou Windows NT 4.0 :

  • un journal système, dans lequel sont consignés tous les événements affectant les composants système (par exemple, un problème lié à un gestionnaire) ;

  • un journal sécurité, qui assure le suivi des modifications du système de sécurité et identifie toute violation éventuelle de la sécurité ;

  • un journal d'applications, qui assure le suivi d'événements spécifiques survenant dans une application inscrite.

Outre ces journaux, d'autres applications, telles qu'Active Directory, peuvent créer leurs propres journaux par défaut. Vous pouvez également créer vos propres journaux des événements à l'aide des fonctionnalités de langage dans l'espace de noms System.Diagnostics.

Les événements écrits dans un journal des événements sont associés à une source particulière. Celle-ci est créée avant que les entrées ne soient écrites dans le journal des événements. Vous pouvez configurer une nouvelle source à l'aide d'un objet EventLogInstaller ou de la méthode CreateEventSource. Vous devez disposer des droits d'administration sur l'ordinateur pour créer une nouvelle source d'événements. Vous pouvez inscrire la source d'événements avec des ressources localisées pour votre catégorie d'événements et des chaînes de message. Votre application peut écrire des entrées de journal des événements en utilisant des identificateurs de ressources, plutôt qu'en spécifiant les valeurs de chaînes réelles. Reportez-vous aux classes EventLogInstaller et EventSourceCreationData pour plus d'informations sur la configuration de votre source avec des fichiers de ressources.

Sélection des événements à journaliser

Les exemples suivants correspondent à des scénarios dans lesquels la journalisation des événements peut s'avérer utile :

  • Problèmes de ressources -  Si une insuffisance de mémoire (due à une bogue dans le code ou à une quantité de mémoire inadéquate) nuit aux performances d'une application, l'enregistrement d'un événement d'avertissement, lorsque l'erreur d'allocation de mémoire se produit, peut aider à identifier la cause du problème.

  • Événements d'information -  Une application serveur (par exemple, un serveur de base de données) enregistre l'ouverture de session d'un utilisateur, l'ouverture d'une base de données et le début d'un transfert de fichiers. Le serveur peut également enregistrer les événements d'erreur qu'il détecte (impossibilité d'accéder à un fichier, processus hôte déconnecté, etc.), altération de la base de données, et consigner l'échec ou la réussite d'une opération de transfert de fichiers.

La journalisation des événements utilise des ressources, notamment de l'espace disque et de temps processeur. La quantité d'espace disque nécessaire pour cette opération et le temps système supplémentaire utilisé par l'application consignant les événements sont proportionnels à la quantité d'informations à enregistrer. Il est donc important de consigner uniquement les informations essentielles. Il est également recommandé d'insérer les appels de journaux des événements dans un chemin d'accès d'erreurs dans le code plutôt que dans le chemin de code principal, pour éviter toute détérioration des performances.

Voir aussi

Tâches

Procédure pas à pas : exploration des journaux des événements, des sources d'événements et des entrées

Concepts

Types d'entrées consignées dans un journal des événements

Référencement des journaux des événements

Architecture de programmation du composant EventLog

Référence

EventLog