L’Observateur d’événements Windows capture beaucoup d’informations sur votre système – à tel point qu’il peut parfois être difficile de trouver ce que vous recherchez. C’est pourquoi la possibilité de filtrer les journaux est si pratique. Par exemple, disons que vous souhaitez voir les heures auxquelles l’ordinateur a été arrêté ou redémarré. Commencez par afficher l’Observateur d’événements. (Le moyen le plus simple de le faire est d’utiliser les capacités de recherche de Windows pour rechercher «Observateur d’événements», sans les guillemets.) (Voir la figure 1.)

image

Figure 1. Écran principal de l’Observateur d’événements.

Puisque nous sommes intéressés par les démarrages et les arrêts du système, utilisez le volet gauche de l’écran pour accéder à Journaux des applications et des services | Microsoft | Windows | Diagnostics-Performance | Opérationnel. Après avoir exploré jusque-là, l’écran de l’Observateur d’événements devrait être assez différent de celui principal que vous avez vu précédemment. (Voir la figure 2.)

image

Figure 2. Navigation vers le

Dans le volet droit, près du haut, cliquez sur Filtrer le journal actuel. Windows affiche la boîte de dialogue Filtrer le journal actuel. L’onglet Filtre doit être affiché dans la boîte de dialogue. (Voir la figure 3.)

image

Figure 3. La boîte de dialogue Filtrer le journal actuel.

Ici, vous pouvez spécifier plusieurs options: l’heure à laquelle l’événement a été consigné, le niveau de l’événement qui vous intéresse, le journal et la source à utiliser, les ID d’événement à inclure, les mots-clés à utiliser pour filtrer le journal, et l’utilisateur et les ordinateurs liés au journal.

Étant donné que nous nous intéressons aux démarrages et aux arrêts à tout moment, quel que soit le niveau d’événement, et que nous avons déjà navigué vers le bon journal des événements, nous n’avons rien à changer ici. De même, nous ne nous soucions pas des sources d’événements ou vraiment de quoi que ce soit d’autre à l’écran, à l’exception des ID d’événement. Il s’avère qu’un démarrage de Windows est indiqué par l’ID d’événement de 100 et un arrêt de Windows est indiqué par l’ID d’événement de 200. Il suffit donc de saisir les deux nombres, séparés par une virgule, dans le zone de texte qui indique actuellement « <Tous les ID d’événement>.

Allez-y et entrez » 100,200 « (sans les guillemets) dans la zone de texte. Une fois que vous cliquez sur OK, le journal que vous regardez immédiatement devient filtré pour n’inclure que les événements dont l’ID est 100 ou 200. Vous pouvez maintenant parcourir facilement le journal et voir les détails liés à chaque redémarrage.

Cette astuce (12829) s’applique à Windows 7, 8 et 10.