Résumé de la technologie pour la lecture et la gestion de journaux des événements

Article
04/22/2008

Les applications consignent des événements dans les journaux des événements pour enregistrer des informations, des avertissements et des erreurs afin que les administrateurs système, le personnel de l'assistance client, les outils ou les utilisateurs finaux puissent surveiller l'état et les actions de l'application. En utilisant ces classes dans l'espace de noms System.Diagnostics.Eventing.Reader, vous pouvez récupérer des informations des événements, journaux des événements et applications qui consignent les événements (fournisseurs d'événements) et configurer les propriétés du journal des événements. Ces classes peuvent être utilisées uniquement sur les systèmes d'exploitation Windows Vista ou Windows Server 2008. Pour obtenir une liste des scénarios utilisés par les classes de journal des événements, voir Scénarios du journal des événements. Pour plus d'informations sur l'accès aux informations sur le journal des événements dans Windows Server 2003, Windows XP ou Windows 2000, voir https://go.microsoft.com/fwlink/?LinkId=99047.

Événements

Chaque événement contient un message d'information, d'avertissement ou d'erreur. Les événements contiennent également des propriétés comme le niveau (gravité) de l'événement, le nom du fournisseur d'événements qui a consigné l'événement et l'heure à laquelle l'événement a été consigné. Les événements sont représentés par les objets EventLogRecord. Ainsi, pour obtenir la liste complète des propriétés d'événement, affichez les membres de la classe EventLogRecord.

Chaque événement peut être représenté au format XML avec les propriétés d'événement et le message définis dans les éléments XML. La méthode ToXml permet de récupérer l'événement au format XML. Pour plus d'informations sur les événements et les événements au format XML, voir https://go.microsoft.com/fwlink/?LinkID=94642 et Requêtes d'événements et XML de l'événement.

La méthode FormatDescription permet d'obtenir un message sur l'événement. Pour plus d'informations et obtenir un exemple de code, voir Procédure d'interrogation d'événements.

Il existe quatre types d'événements définis par l'énumération EventLogType. Chaque type d'événement est destiné à un public différent. Les types d'événements les plus courants sont Opérationnel et Administration.

Journaux des événements

Un journal des événements conserve les événements liés et chaque journal contient un seul type d'événement. Les journaux des événements peuvent être enregistrés (archivés) dans des fichiers .evtx, qui peuvent ensuite être lus et interrogés à l'aide d'un programme ou de l'outil Observateur d'événements. Les journaux Windows sont destinés au stockage d'événements à partir d'applications héritées (applications conçues pour Windows XP, Windows Server 2003 ou Windows 2000) et d'événements qui s'appliquent à l'ensemble du système.

Journal Windows	Description
Application	Le journal des applications contient des événements consignés par des applications ou des programmes. Par exemple, un programme de base de données peut consigner une erreur de fichier dans le journal des applications. Les développeurs de programmes décident des événements à consigner.
Sécurité	Le journal de sécurité contient des événements comme des tentatives de connexion valides ou non, des événements liés à l'utilisation des ressources, comme la création, l'ouverture ou la suppression de fichiers ou autres objets. Les administrateurs peuvent spécifier les événements à consigner dans le journal de sécurité. Par exemple, si vous avez activé l'audit de connexion, les tentatives de connexion au système sont consignées dans le journal de sécurité.
Système	Le journal système contient des événements consignés par les composants système de Windows. Par exemple, l'échec de chargement d'un pilote ou d'un autre composant système au démarrage est consigné dans le journal système. Les types d'événements consignés par les composants système sont prédéterminés par Windows.
Installation	Le fichier journal d'installation contient des événements liés à l'installation de l'application.
Événements transmis	Le journal Événements transmis permet de stocker des événements rassemblés à partir d'ordinateurs distants.

Les journaux des applications et des services constituent une catégorie de journaux des événements différente des journaux de Windows. Ils stockent des événements à partir d'une seule application ou d'un seul composant, et non des événements qui peuvent avoir un impact sur l'ensemble du système. Ils possèdent différents noms qui peuvent être définis par les fournisseurs d'événements. De nombreux journaux des événements appartiennent à cette catégorie. Les outils mentionnés dans la section Outils permettent de parcourir les journaux des événements disponibles.

Les journaux des événements de la catégorie des journaux des applications et des services sont divisés en quatre types définis par l'énumération EventLogType : Administration, Opérationnel, Analyse et Débogage. Les événements consignés dans les journaux du type Administration sont particulièrement intéressants pour les professionnels de l'informatique qui utilisent l'Observateur d'événements pour résoudre les problèmes. Les événements consignés dans les journaux de type Administration fournissent des informations sur la manière de réagir. Les événements consignés dans les journaux de type Opérationnel s'avèrent également utiles aux professionnels de l'informatique mais nécessitent une interprétation plus approfondie.

Les journaux de type Analyse et Débogage ne sont pas si conviviaux. Les journaux de type Analyse stockent des événements qui permettent le suivi d'un problème et, en général, permettent de consigner davantage d'événements. Les journaux de type Débogage sont utilisés par les développeurs lors du débogage d'applications. Ces deux types de journaux sont masqués et désactivés par défaut.

La classe EventLogInformation permet de rassembler des informations relatives à un journal des événements. La classe EventLogConfiguration permet de configurer les propriétés du journal des événements. Chaque journal des événements contient une propriété SecurityDescriptor qui détermine les utilisateurs pouvant lire et accéder au journal. Chaque journal possède également une propriété qui contrôle la taille maximale du journal (la propriété MaximumSizeInBytes). Chaque journal possède également une propriété qui contrôle la manière dont les événements sont traités lorsque le journal des événements est plein (la propriété LogMode). Pour plus d'informations sur la configuration des journaux des événements, voir Procédure de configuration et de lecture des propriétés du journal des événements.

Fournisseurs d'événements

Une application qui consigne un événement s'appelle un fournisseur d'événements. Un fournisseur d'événements identifie les journaux des événements dans lesquels il peut publier des événements et définit ceux qu'il peut publier. Chaque fournisseur d'événements est identifié de manière unique par un nom et un identificateur global unique (GUID). La classe ProviderMetadata permet de rassembler des informations relatives à un fournisseur d'événements. La propriété Events de cette classe rassemble tous les événements qu'un fournisseur peut publier. La classe EventMetadata peut définir ces objets événement. Pour plus d'informations sur l'accès aux données du fournisseur d'événements, voir Procédure de récupération des informations sur un fournisseur d'événements.

Vous ne pouvez pas créer un fournisseur d'événements à l'aide des classes de l'espace de noms System.Diagnostics.Eventing.Reader. Pour plus d'informations sur la création d'un fournisseur d'événements, voir Développement des fournisseurs d'événements.

Outils

L'outil WevtUtil.exe permet d'accéder aux informations sur le journal des événements à partir de la ligne de commande. Cet outil se trouve dans le répertoire %SystemRoot%\System32. Pour l'aide de l'outil WevtUtil.exe, utilisez la commande wevtutil /?.

L'outil Observateur d'événements permet d'accéder aux informations sur le journal des événements à partir d'une interface utilisateur graphique. L'Observateur d'événements est un composant logiciel enfichable MMC (Microsoft Management Console) qui permet à un utilisateur de parcourir et de gérer des journaux des événements. Il est également utile pour tester des applications qui utilisent des fonctions du journal des événements. Pour plus d'informations sur l'utilisation ou le lancement de l'Observateur d'événements, voir Vue d'ensemble de l'Observateur d'événements.