Si vous gérez un système utilisé par plusieurs personnes, chacune avec sa propre connexion au système, vous trouverez peut-être utile de savoir lequel de ces utilisateurs a installé un programme ou une application. Par exemple, un utilisateur peut avoir téléchargé et installé un programme qui pose des problèmes, et vous devez parler à l’utilisateur qui a réellement effectué l’installation. De même, vous devrez peut-être savoir qui a désinstallé un programme particulier du système.

À condition que le programme ait été installé ou supprimé à l’aide du programme d’installation MSI normal intégré à Windows, vous pouvez trouver les informations dont vous avez besoin en examinant les journaux d’événements gérés par Windows. Allez-y et démarrez l’Observateur d’événements; le moyen le plus simple consiste à utiliser les capacités de recherche de Windows, en recherchant «Observateur d’événements», sans les guillemets. Une fois le programme démarré – le chargement peut prendre quelques instants – vous êtes accueilli par l’écran initial. (Voir la figure 1.)

image

Figure 1. La fenêtre initiale de l’Observateur d’événements.

Dans le volet droit, près du haut, cliquez sur l’option Créer une vue personnalisée.

Windows affiche la boîte de dialogue Créer une vue personnalisée. L’onglet Filtre doit être affiché dans la boîte de dialogue. (Voir la figure 2.)

image

Figure 2. Filtrage d’un journal d’événements.

À l’aide de la liste déroulante Sources d’événements, (cliquez sur le bouton radio à droite de Par source pour activer les sources d’événements), choisissez l’option MsiInstaller et cliquez sur le bouton OK. Windows affiche la boîte de dialogue Enregistrer le filtre dans une vue personnalisée. (Voir la figure 3.)

image

Figure 3. La boîte de dialogue Enregistrer le filtre dans une vue personnalisée.

Nommez la vue personnalisée comme vous le souhaitez et sélectionnez où enregistrer la vue personnalisée et cliquez sur OK. Cela demande à l’Observateur d’événements d’afficher uniquement les événements générés par le programme d’installation, ce qui se produit exactement lorsque vous cliquez sur le bouton OK.

Dans l’ensemble des événements filtrés résultant, recherchez un événement qui a été consigné à peu près au moment où vous pensez que l’installation ou la suppression s’est produite. Lorsque vous en trouvez un qui semble prometteur, vous pouvez le sélectionner et afficher ses détails dans la visionneuse. Parmi ces détails figure le nom du compte d’utilisateur qui était actif lors de l’installation ou de la suppression.

Vous devez noter que cette approche ne fonctionnera que si les utilisateurs du système utilisent uniquement leurs propres comptes – en d’autres termes, les utilisateurs se déconnectent et se connectent comme ils le devraient sur le système. Si tout le monde partage une connexion commune, les informations utilisateur dans le journal des événements n’auront que peu de valeur. (Il vous dira que l’événement s’est produit, mais vous n’avez aucune indication sur qui a effectué l’événement.)

De plus, si le programme installé ou supprimé n’a pas utilisé MsiInstaller ou s’il a utilisé une méthode qui n’utilise pas les journaux d’événements, vous ne pourrez pas trouver les événements en suivant ces étapes.

Cette astuce (13465) s’applique à Windows 7, 8 et 10.