L’Observateur des journaux d’événements

sur l’écran 1. Le journal Système
consigne les problèmes du système, comme l’échec du chargement des drivers au
démarrage. Le journal Sécurité n’affiche pas d’entrées par défaut. Pour afficher
les données de sécurité, il faut activer l’audit de sécurité. Le journal Application
enregistre des informations sur l’état des applications et des services tournant
sous NT. Par exemple, SQL Server entre des données dans ce journal, parallèlement
à  l’enregistrement des informations dans son propre journal des erreurs.

Les journaux Système et Application consignent trois types d’événements : les
erreurs, les avertissements et les informations. Les événements d’erreur sont
les plus sérieux et provoquent l’apparition d’un symbole stop rouge à  gauche de
l’écran. Les événements d’avertissement identifient un risque de problème, mais
pas aussi critique qu’un événement d’erreur. Les événements d’information sont
des notifications de base, comme le démarrage et l’arrêt des services ou les tâches
d’impression.Le journal Sécurité consigne deux types d’événements : le succès
et l’échec.
Ces événements signalent si un utilisateur a pu se connecter ou accéder à  une
ressource. Le système doit empêcher les utilisateurs non autorisés de se connecter,
c’est pourquoi un événement de succès pour un utilisateur non autorisé est un
problème.Pour chaque événement, les journaux indiquent la date et l’heure à  laquelle
il s’est produit, ainsi que sa source. La source est le service, le driver de
périphérique ou l’application qui a écrit l’événement dans le journal. Elle peut
subdiviser les événements qu’elle écrit en plusieurs catégories pour permettre
de trouver facilement les messages. Chaque événement a un identifiant, qui aide
le support produit de Microsoft à  régler les problèmes.
Un événement peut répertorier l’utilisateur qui a exécuté le processus ayant généré
le message. Dans la plupart des cas c’est NT, ou la source, qui génère le message
; dans ce cas, il n’y a pas d’utilisateur répertorié. Les événements répertorient
le nom d’ordinateur, car il est possible de visualiser les journaux d’événements
sur un ordinateur distant. L’accès distant permet de diagnostiquer des problèmes
sans être obligé de se rendre dans le bureau d’un utilisateur ou un site serveur
distant. On peut ouvrir plusieurs copies de l’Observateur d’événements pour rechercher
des problèmes sur plusieurs machines simultanément. Pour d’autres informations
sur un événement, cliquez deux fois sur la liste des événements pour visualiser
la fenêtre Détail de l’événement (écran 2).