Partager via

Résoudre les redémarrages inattendus à l’aide des journaux des événements système

Cet article fournit un guide complet sur la résolution des redémarrages inattendus à l’aide des journaux des événements système. Il permet de déterminer la cause ou d’entraîner d’autres étapes de résolution des problèmes pour trouver la cause racine.

Il existe généralement deux types de redémarrages, de redémarrages normaux et de redémarrages inattendus. Un redémarrage normal se produit lorsqu’un ordinateur est arrêté ou redémarré à l’aide de l’option d’arrêt ou de redémarrage dans Windows. Un redémarrage inattendu se produit lorsqu’un ordinateur s’exécute normalement, mais redémarre en raison de la perte d’alimentation, des défaillances matérielles ou des vérifications de bogues.

Passer en revue les ID d’événement 12, 13, 6005 et 6009 pour l’historique des redémarrages

Vous pouvez filtrer les journaux des événements système pour déterminer la cause d’un redémarrage inattendu. Les ID d’événement 12, 13, 6005 et 6009 peuvent afficher l’historique et la fréquence de redémarrage d’un ordinateur.

Note

Les numéros d’ID d’événement peuvent être associés à différentes sources. Veillez donc à filtrer les numéros d’ID d’événement appropriés pour les redémarrages.

Capture d’écran montrant les ID d’événement système 12, 13, 6005 et 6009 dans l’Observateur d’événements.

ID d'événement Source Description
12 Kernel-General Le système d’exploitation a démarré à l’heure de la date <>du système.
13 Kernel-General Le système d’exploitation s’arrête à l’heure de la date <>du système.
6005 EventLog Le service journal des événements a été démarré.
6009 EventLog Version du système d’exploitation Microsoft (R) Windows (R) <>

Passer en revue les ID d’événement 13, 41, 1074, 6008 et 6009 pour déterminer les types de redémarrage

Les ID d’événement 13, 41, 1074, 6008 et 6009 peuvent aider à déterminer si un redémarrage est normal ou inattendu. Les ID d’événement classiques qui indiquent qu’un redémarrage normal est l’ID d’événement 1074 suivi de l’ID d’événement 13 et de l’ID d’événement 6009. Un redémarrage inattendu est indiqué par l’ID d’événement 41 et l’ID d’événement 6008.

Note

Les numéros d’ID d’événement peuvent être sssociés à différentes sources. Veillez donc à filtrer les numéros d’ID d’événement pertinents pour les redémarrages.

Capture d’écran montrant les journaux des événements système avec 13, 41, 1074, 6008 et 6009 filtrés dans l’Observateur d’événements.

ID d'événement Source Description
13 Kernel-General Le système d’exploitation s’arrête à l’heure de la date <>du système.
41 Alimentation du noyau Le système a redémarré sans arrêter correctement d’abord. Cette erreur peut être due au fait que le système a cessé de répondre, de se bloquer ou de perdre de l’alimentation de manière inattendue.
1074 User32 Le nom du processus <a lancé le redémarrage du nom> de l’ordinateur <pour le compte de l’utilisateur de domaine utilisateur <> pour la raison suivante : Code
>de motif : <<Type d’arrêt du code>
hexadécimal : <Commentaire de type
>:>
6008 EventLog L’arrêt du système précédent à <> <la date> était inattendu.
6009 EventLog Version> du système d’exploitation Microsoft (R) Windows (R). <

Examiner les ID d’événement 19, 41, 1001, 1074 et 7045 pour les causes du redémarrage

Les ID d’événement 19, 41, 1001, 1074 et 7045 peuvent indiquer des causes de redémarrage. Certains redémarrages sont causés par les mises à jour du système d’exploitation, les vérifications de bogues et les arrêts ou redémarrages initiés par l’utilisateur. D’autres redémarrages peuvent être nécessaires lors de l’installation logicielle ou des processus clients de gestion.

ID d'événement Source Description
19 WindowsUpdateClient Installation réussie : Windows a correctement installé la mise à jour suivante : Mise à jour de sécurité pour Windows (<numéro> de la base de connaissances)
41 Alimentation du noyau Le système a redémarré sans arrêter correctement d’abord. Cette erreur peut être due au fait que le système a cessé de répondre, de se bloquer ou de perdre de l’alimentation de manière inattendue.
1001 WER-SystemErrorReporting L’ordinateur a redémarré à partir d’une vérification de bogue. La vérification de bogue était : 0xXXXXXXXX (0xX, 0xX, 0xX, 0xX). Un vidage a été enregistré dans : C :\Windows\MEMORY. DMP. ID de rapport : <GUID>.
1074 User32 Le nom du processus <a lancé le redémarrage du nom> de l’ordinateur <pour le compte de l’utilisateur de domaine utilisateur <> pour la raison suivante : Code
>de motif : <<Type d’arrêt du code>
hexadécimal : <Commentaire de type
>:>
7045 Gestionnaire de contrôle des services Un service a été installé dans le système.
Nom du service : <Nom du fichier de service de nom>
: <type de service d’emplacement>
du chemin : <type de démarrage du service de service>
: compte de type>
de service de démarrage : compte <<>

En combinant tous les ID d’événement, vous pouvez obtenir un historique des redémarrages, des arrêts et des raisons possibles pour lesquelles l’ordinateur a redémarré.

Capture d’écran montrant les journaux des événements système avec 19, 41, 1001, 1074 et 7045 filtrés dans l’Observateur d’événements.

À compter du scénario de redémarrage normal, vous pouvez essayer de déterminer pourquoi un redémarrage a été intériorisé. Cela peut être dû à une mise à jour cumulative, à une mise à jour de pilote, à une mise à jour d’application ou à un arrêt. Dans tous les cas, il doit y avoir un ID d’événement 1074 indiquant ce qui a demandé le redémarrage et une raison.

Voici quelques exemples de différents types de requêtes provenant de l’ID d’événement 1074 :

  • The process <Process Name> has initiated the power off of computer <Computer Name> on behalf of user <Domain User> for the following reason: No title for this reason could be found  
Reason Code: 0x500ff  
Shutdown Type: power off  
Comment:

  • The process <Process Name> has initiated the restart of computer <Computer Name> on behalf of user <Domain User> for the following reason: Other (Unplanned)  
Reason Code: 0x0  
Shutdown Type: restart  
Comment:

  • The process <Process Name> has initiated the restart of computer <Computer Name> on behalf of user <Domain User> for the following reason: Operating System: Service pack (Planned)  
Reason Code: 0x80020010  
Shutdown Type: restart  
Comment:

Dans les exemples, le processus qui demande le redémarrage est répertorié suivi du compte qui a lancé le redémarrage. Un code de raison et un type d’arrêt sont également répertoriés dans la description. Dans de nombreux cas, le nom du processus permet de déterminer ce qui est potentiellement appelé pour le redémarrage.

Les codes de raison peuvent être décodés. Pour plus d’informations, consultez l’article suivant :

Exemples de redémarrage inattendus

Avec un redémarrage inattendu, il n’existe généralement pas d’entrée de journal ID d’événement 1074. Les redémarrages inattendus sont indiqués par les ID d’événement 41, 1001 et 6008. Voici un exemple :

Capture d’écran montrant les journaux des événements système avec 41, 1001 et 6008 filtrés dans l’Observateur d’événements.

ID d'événement Source Description
1001 WER-SystemErrorReporting L’ordinateur a redémarré à partir d’une vérification de bogue. La vérification de bogue était : 0xXXXXXXXX (0xX, 0xX, 0xX, 0xX). Un vidage a été enregistré dans : C :\Windows\MEMORY. DMP. ID de rapport : <GUID>.
41 Alimentation du noyau Le système a redémarré sans arrêter correctement d’abord. Cette erreur peut être due au fait que le système a cessé de répondre, de se bloquer ou de perdre de l’alimentation de manière inattendue.
6008 EventLog L’arrêt du système précédent à <> <la date> était inattendu.

Dans ce cas, le redémarrage inattendu est dû à une vérification de bogue. La vérification des bogues peut être due à un développement récent. Vous pouvez rechercher les installations ou mises à jour des pilotes, des installations d’application ou des mises à jour du système d’exploitation.

Vous pouvez vérifier l’historique des redémarrages du système en filtrant les ID d’événement 12, 13, 19, 41, 1001, 1074, 6008, 6009 et 7045. Vous pouvez utiliser l’historique filtré pour voir quand le premier redémarrage inattendu ou la vérification des bogues se produit et si de nouveaux pilotes ou mises à jour sont appliqués peu de temps avant le problème.

L’historique suivant montre qu’il existe une mise à jour du pilote, mise en surbrillance en rouge et que la vérification des bogues démarre peu après.

Capture d’écran montrant l’ID d’événement système 7045 mis en surbrillance dans l’Observateur d’événements.

Consultez l’ID d’événement 7045 suivant pour obtenir un exemple :

A service was installed in the system.
 
Service Name:  Intel(R) Dynamic Application Loader Host Interface Service
Service File Name:  %SystemRoot%\System32\DriverStore\FileRepository\dal.inf_amd64_af50fdb80983f7bc\jhi_service.exe
Service Type:  user mode service
Service Start Type:  auto start
Service Account:  LocalSystem

L’exemple peut indiquer que la vérification des bogues est due à une mise à jour récente du pilote. Vous pouvez supprimer ou restaurer la mise à jour du pilote pour voir si la vérification des bogues s’arrête ou non. Si ce n’est pas le cas, vous pouvez collecter un vidage de mémoire à des fins d’analyse.