Le journal d’événements Windows contient une masse d’informations sur la santé et la sécurité de vos systèmes, applications et comptes utilisateur. La récolte de ces données joue un grand rôle dans la gestion du réseau Windows, mais beaucoup des outils aptes à gérer les journaux d’événements pour l’ensemble du réseau sont des produits commerciaux, ou présupposent la maîtrise du scripting WMI (Windows Management Interface) ou de la syntaxe de requête SQL.Le journal d’événements Windows contient une masse d’informations sur la santé et la sécurité de vos systèmes, applications et comptes utilisateur. La récolte de ces données joue un grand rôle dans la gestion du réseau Windows, mais beaucoup des outils aptes à gérer les journaux d’événements pour l’ensemble du réseau sont des produits commerciaux, ou présupposent la maîtrise du scripting WMI (Windows Management Interface) ou de la syntaxe de requête SQL.
PSLOGLIST
La figure 1 montre la syntaxe ligne de commande pour de nombreuses options de PsLogList. Si on exécute PsLogList sans aucun argument ligne de commande, il imprime tout le contenu du journal System du système local. La figure 2, montre l’information que PsLogList affiche. Elle reflète ce que le Windows Event Viewer montre, y compris le numéro de l’enregistrement d’événement (entre crochets), la source, le type, l’ordinateur, le tampon-horodateur, l’ID et le texte.
Quand vous voulez transférer le contenu d’un journal d’événements différent (par exemple, Security log, Application log, DNS log), entrez les premières lettres du nom du journal. Par exemple, la commande suivante transfère le contenu du journal File Replication Service, qui est présent sur les DC (domain controllers) :
psloglist file
Quand vous voulez effacer un journal d’événements après en avoir extrait le contenu, ajoutez -c à la commande :
psloglist file -c
Il est certes intéressant de consulter les journaux d’événements d’un serveur local, mais le vrai mérite de PsLogList est de pouvoir accéder au journal d’événements sur des systèmes distants. Pour cela, incluez le nom de l’ordinateur distant sur la ligne de commande, en préfixant le nom d’une double barre oblique inverse (\\). Si le compte à partir duquel vous exécutez PsLogList n’a pas d’accès Administrator local sur l’ordinateur distant, vous pouvez inclure des références alternées à l’aide du commutateur -u. Si vous choisissez de ne pas utiliser le commutateur -p pour inclure le mot de passe du compte, PsLogList vous demande d’entrer le mot de passe. PsLogList masque votre entrée et utilise l’authentification Windows standard afin que les références alternées ne soient pas transmises en texte clair.
Le commutateur @ de PsLogList permet d’agréger rapidement les données des journaux d’événements provenant de plusieurs ordinateurs. Portez les noms d’ordinateurs (avec ou sans le préfixe double barre oblique inverse) sur des lignes séparées dans un fichier texte, puis ajoutez le nom de ce fichier au commutateur @. La commande suivante utilise cette technique pour imprimer le journal Application à partir des systèmes listés dans un fichier nommé computers.txt.
psloglist @computers.txt application
Event Viewer traite le texte de l’événement en extrayant les chaînes d’insertion d’un enregistrement du journal d’événements puis en les insérant dans les chaînes de format correspondantes stockées dans les DLL source d’événements que le système et les applications enregistrent. La plupart des applications de visualisation d’événements, y compris Event Viewer, n’affichent que les chaînes d’insertion (pas le texte complet) pour les enregistrements qui font référence aux DDL source d’événements absents du système local. Cela rend le texte illisible. L’une des particularités de PsLogList est qu’il traite de telles chaînes en utilisant les DLL source provenant de systèmes distants. Mais cette fonction suppose que le partage administratif (Admin$) par défaut du système distant soit validé et accessible et que les DDL source d’événements se trouvent dans le répertoire \Windows. Assurez-vous que c’est bien le cas sur les systèmes distants avant d’utiliser PsLogList pour y recueillir des données. Faute de quoi, l’outil ne pourra pas afficher le texte d’événements complet.
Téléchargez cette ressource
Plan de sécurité Microsoft 365
Les attaquants savent comment prendre le contrôle de votre tenant Microsoft 365, et vous, savez-vous comment le reprendre en main ?
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- Cyberattaques : 46% des entreprises françaises perdent du chiffre d’affaires dès le premier jour
- Cybersécurité française 2026 : explosion des startups, ralentissement des scale-ups et virage stratégique de l’IA
- Le Cercle de l’Innovation décerne le Prix de l’Innovation du Public 2026
- Avec l’IA agentique, la robustesse des SI redevient stratégique
Articles les + lus
Couchbase lance AI Data Plane pour industrialiser l’IA agentique
Windows 11 : Microsoft généralise le point-in-time restore pour accélérer la remise en service des PC
Computex 2026 : 5 signaux forts à retenir
La chaîne d’approvisionnement, point de rupture récurent du SI
Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
À la une de la chaîne Tech
- Couchbase lance AI Data Plane pour industrialiser l’IA agentique
- Windows 11 : Microsoft généralise le point-in-time restore pour accélérer la remise en service des PC
- Computex 2026 : 5 signaux forts à retenir
- La chaîne d’approvisionnement, point de rupture récurent du SI
- Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
