Documentation

Lire et filtrer le journal des événements de Windows

Nombre d'événements / réinitialisation d'événements, statut de l'événement, code de retour

Fichier journal

Choisissez l'emplacement à partir duquel les événements seront lus : Tous, Application, Système, Sécurité ou Défini par l'utilisateur.

Lorsque vous sélectionnez Défini par l'utilisateur, un champ de texte supplémentaire apparaît, dans lequel vous pouvez saisir un emplacement de journal personnalisé. Pour que cela fonctionne, une entrée dans le registre Windows doit être effectuée, sinon les événements qui apparaissent dans l'un des journaux d'événements non mentionnés ci-dessus ne peuvent pas être interrogés, ni manuellement à l'aide de WMI, ni par l'intermédiaire du travail Eventlog de l'agent. L'illustration suivante montre l'entrée de clé de registre requise pour le journal d'événements Microsoft-Windows-TaskScheduler%4Operational.evtx.

Éditeur de registre Windows Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog\Microsoft-Windows-TaskScheduler/Operational]

La clé doit être saisie en incluant la barre oblique. Le journal des événements défini par l'utilisateur peut maintenant être défini comme suit :

Microsoft-Windows-TaskScheduler/Operational

Notez que la chaîne %4 doit être remplacée par une barre oblique ("/").

Type d'événement

Sélectionnez les types d'événements à prendre en compte lors de la recherche d'événements.

Source de l'événement

Si aucune valeur n'est définie, toutes les sources d'événements sont prises en compte. Les opérateurs Égal, Pas égal, Comme, Pas comme peuvent être utilisés.

Plusieurs sources peuvent être indiquées, séparées par une virgule, par exemple :

MSExchange Assistants,MSExchange Transport

Utilisateur

Si aucune valeur n'est définie, tous les utilisateurs sont pris en compte. Les opérateurs Égal, Non égal, Comme, Pas comme peuvent être utilisés.

Plusieurs utilisateurs peuvent être indiqués, séparés par une virgule, par ex :

SKOOR\user,NT Authority\system

Catégorie

Si aucune valeur n'est définie, toutes les catégories sont prises en compte. Les opérateurs " égal", " différent", " similaire" et " différent" peuvent être utilisés.

Plusieurs catégories peuvent être indiquées, séparées par une virgule. Les valeurs numériques doivent être placées entre parenthèses, par exemple :

Installation,(16),Server

ID de l'événement

Si aucune valeur n'est définie, tous les ID d'événements sont pris en compte. Les opérateurs " égal " et " différent" peuvent être utilisés.

Plusieurs ID peuvent être donnés, séparés par une virgule, par ex :

998,999,1000

Description de l'événement

Si ce champ est vide, toutes les descriptions sont prises en compte. Plusieurs chaînes de description peuvent être spécifiées, séparées par une virgule. Des caractères génériques peuvent également être utilisés, par exemple :

Imprimante*,Drucker*

La description peut contenir n'importe quel texte. La correspondance est insensible à la casse.

Durée de l'état

Pour qu'un événement correspondant aux critères soit visible, le statut d'événement a été introduit. Le statut d'événement est activé par un événement (si le compteur d'événements > 0). Ce paramètre définit la durée pendant laquelle l'état doit rester actif :

• S'il n'est pas défini, l'événement sera réinitialisé lors de l'exécution du travail suivant

• Si un événement de réinitialisation est configuré, la durée de l'état est utilisée comme durée maximale pendant laquelle un événement peut être actif si aucun événement de réinitialisation n'apparaît.

Réinitialisation de l'événement

Il s'agit d'une autre possibilité d'effacer l'état de l'événement. Si un événement et un événement de réinitialisation se produisent tous deux au cours de deux exécutions de tâches, c'est le dernier événement qui l'emporte. Si un événement de réinitialisation a le même horodatage qu'un événement, c'est l'événement de réinitialisation qui l'emporte.

Nombre d'événements

Nombre d'événements survenus depuis la dernière mesure. Si la tâche est exécutée pour la première fois, elle compte les événements survenus au cours des 5 dernières minutes.

Nombre d'événements de réinitialisation

Nombre d'événements de réinitialisation depuis la dernière mesure. Cette valeur n'est disponible que si la section Reset a été activée.

État de l'événement

L'état de l'événement est activé si le nombre d'événements est > 0 et est effacé

• si le paramètre Durée de l'état est défini et que la durée configurée est atteinte

• si un événement de réinitialisation est configuré, que le nombre d'événements de réinitialisation est > 0 et que la durée de l'état n'est pas encore atteinte

• lors de l'exécution du travail suivant si aucune durée d'état n'est configurée.

Message d'information

Le message d'information contient la description de l'événement le plus récent correspondant aux critères de filtrage.

Nombre d'événements

Nombre d'événements survenus depuis la dernière mesure. Si la tâche est exécutée pour la première fois, elle compte les événements survenus au cours des 5 dernières minutes.

Nombre d'événements de réinitialisation

Nombre d'événements de réinitialisation depuis la dernière mesure. Cette limite d'alarme n'est disponible que si la section Réinitialisation a été activée.

État de l'événement

Vérifie si un état d'événement a été défini.

Code d'erreur

Code d'erreur générique de la tâche (voir la section Codes d'erreur de la tâche).