Comment vérifier le journal d’arrêt et de démarrage de l’ordinateur sous Windows 10 ?

Vérifier la dernière fois qu’un PC a été correctement éteint ou démarré est le moyen de commencer à dépanner de nombreux problèmes de Windows. Grâce à l’Observateur d’événements, les administrateurs peuvent visualiser et surveiller l’utilisation autorisée ou non autorisée d’un ordinateur.

Quelle qu’en soit la raison, vous pouvez savoir quand votre PC a été allumé et éteint pour la dernière fois directement à partir de Windows. Vous n’avez pas besoin d’une application tierce pour cela. L’Observateur d’événements de Windows peut parfaitement s’en charger.

Oeil

Qu’est-ce que l’Observateur d’événements de Windows ?

L’Observateur d’événements de Windows est une console de gestion Microsoft (MCC) ; un service de Windows qui ne peut être arrêté ou désactivé. Il garde une trace de chaque activité qui se déroule sur votre PC.

Lors de chaque événement, l’Observateur d’événements enregistre les entrées dans un journal. Il enregistre également les heures de démarrage et d’arrêt du service d’enregistrement des événements (Windows), en indiquant la date et l’heure exactes, ainsi que les détails de l’utilisateur pour chaque processus d’arrêt.

Comment utiliser l’Observateur d’événements de Windows ?

Outre la tenue d’un journal des démarrages et des arrêts de Windows, vous pouvez utiliser l’Observateur d’événements pour :

  • Créer des vues personnalisées en enregistrant des filtres d’événements.
  • Vous pouvez voir les événements à partir de différents journaux d’événements.
  • Vous pouvez également créer et gérer différents abonnements à des événements.
  • Créer et programmer une tâche à exécuter lorsqu’elle est déclenchée par un autre événement.

Types d’événements dans Windows 10 liés à l’arrêt et au redémarrage

  • Event ID 41 : Cet événement indique que Windows a redémarré sans avoir été complètement arrêté.
  • Event ID 1074 : Cet événement est noté lorsqu’une application est responsable de l’arrêt ou du redémarrage du système. Il indique également lorsqu’un utilisateur a redémarré ou arrêté le système en utilisant le menu Démarrer ou en appuyant sur Ctrl + Alt + Del.
  • Event 6006 : Cet événement indique que Windows a été correctement arrêté.
  • Event ID 6008 : Cet événement indique un arrêt incorrect ou brutal. Il apparaît lorsque le dernier arrêt était inattendu.

Ouvrir l’Observateur d’événements de Windows 10

Il existe différentes façons de visualiser l’un des événements énumérés ci-dessus. Le moyen traditionnel est d’utiliser l’application Observateur d’événements (Event Viewer). La plupart des événements sont aussi accessibles à l’aide de l’invite de commande, comme vous le verrez ci-dessous.

Visualiser les événements d’arrêt et de redémarrage à partir de l’Observateur d’événements

  • Ouvrez la boîte de dialogue Exécuter (Windows + R), entrez la commande eventvwr.msc puis cliquez sur OK
  • Dans l’Observateur d’événements, dans le volet de gauche sélectionnez Journaux Windows > Système.
  • Dans le volet de droite, cliquez sur le lien Filtrer le journal actuel.
  • Saisissez 41, 074, 6006, 6008 dans la case Inclure/Exclure les ID d’événements… Cliquez sur OK. Windows affiche alors tous les événements liés à l’arrêt du système.

L’Observateur d’événements affiche des informations détaillées sur chaque opération effectuée sur le système.

Déterminer la dernière heure d’arrêt de l’ordinateur en utilisant l’Invite de commandes

Ouvrez l’Invite de commandes (Windows + R -> cmd -> Entrée), copiez et collez le code suivant dans la fenêtre, puis appuyez sur Entrée :

wevtutil qe system "/q:*[System [(EventID=1074)]]" /rd:true /f:text /c:1

Pour afficher l’horodatage du dernier arrêt sans autres détails, copiez et collez le code ci-dessous puis appuyez sur Entrée :

wevtutil qe system "/q:*[System [(EventID=1074)]]" /rd:true /f:text /c:1 | findstr /i "date"