Activer la collecte d'événements de configuration et de démarrage

  • 6 minutes

Vous pouvez utiliser la collecte d’événements de démarrage et d’installation pour consulter les événements de démarrage et d’installation à partir d’un certain nombre d’ordinateurs sources sur un ordinateur collecteur désigné. Une fois les données collectées, vous pouvez les analyser à l’aide de observateur d’événements, Wevutil.exe ou Windows PowerShell.

Que pouvez-vous superviser ?

Vous pouvez surveiller les événements suivants :

  • Chargement des modules et pilotes de noyau

  • Énumération des appareils et initialisation de leurs pilotes

  • Vérification et montage de systèmes de fichiers

  • Démarrage des fichiers exécutables

  • Démarrage et saisie semi-automatique des mises à jour du système

  • Points lorsque le système :

    • Devient disponible pour l’ouverture de session
    • Établit la connexion avec un contrôleur de domaine
    • Démarrage du service terminée
    • Disponibilité des partages réseau

Installez le service de collecteur

Vous pouvez installer le service de collecteur à l’aide de la commande suivante à partir d’une invite de commandes avec élévation de privilèges : dism /online /enable-feature /featurename:SetupAndBootEventCollection.

Vérifiez que l’installation est correcte en exécutant la commande Windows PowerShell suivante à une invite de commandes avec élévation d’invites :get-service -displayname *boot*.

Le service collecteur d’événements de démarrage doit s’afficher comme étant en cours d’exécution, comme indiqué dans la capture d’écran suivante.

La capture d’écran affiche une session PowerShell en cours d’exécution dans une fenêtre de commande. Le service collecteur d’événements de démarrage affiche l’État en cours d’exécution.

Configurer le service collecteur

Une fois que vous avez installé le collecteur, vous devez le configurer. Cela implique deux étapes :

  • Sur les ordinateurs cibles (ceux à partir desquels vous recueillez des événements), vous devez activer le transport KDNET/EVENT-NET et activer le transfert des événements.
  • Sur l’ordinateur collecteur, spécifiez les ordinateurs à partir desquels vous acceptez les événements et définissez un emplacement d’enregistrement pour ces événements.

Suivez les instructions de ce document pour plus d’informations : Collecter les événements avec la collecte d’événements d’installation et de démarrage.

Une fois la configuration terminée, vous devez redémarrer le ou les ordinateurs cibles. Une fois les cibles redémarrées, elles se connectent au collecteur et les événements sont collectés.

Consulter les journaux

Après avoir commencé à collecter les événements, vous pouvez les passer en revue. Vous pouvez trouver le journal du service collecteur lui-même sous :Microsoft-Windows-BootEvent-Collector/Admin.

Vous pouvez utiliser observateur d’événements pour une interface graphique pour les événements. Procédez comme suit :

  1. Créez une nouvelle vue.
  2. Développez les journaux Applications et services, puis développez Microsoft, puis Windows.
  3. Recherchez BootEvent-Collector, développez-le et recherchez Admin.

Vous pouvez également passer en revue l’utilisation de Windows PowerShell :Get-WinEvent -LogName Microsoft-Windows-BootEvent-Collector/Admin.

À partir d'une invite de commandes : wevtutil qe Microsoft-Windows-BootEvent-Collector/Admin