Il existe plusieurs types de journaux d’événements gérés par le système d’exploitation Windows. L’un de ceux-ci est le journal des événements transmis. Ce journal enregistre les événements écrits par d’autres ordinateurs du même réseau («ordinateurs source») qui ont transmis leurs événements à «l’ordinateur collecteur». En utilisant le journal des événements transférés, vous pouvez suivre les journaux des événements de plusieurs autres ordinateurs à partir d’un emplacement central.

Pour utiliser le journal des événements transférés, vous devez configurer les ordinateurs source et l’ordinateur collecteur. À partir de chaque ordinateur source, exécutez la commande suivante à partir d’une invite de commande à droits élevés:

C:\> winrm quickconfig

Vous devez également ajouter le compte d’ordinateur de l’ordinateur collecteur au groupe Administrateurs local sur chacun des ordinateurs sources.

Ensuite, sur l’ordinateur collecteur, exécutez la commande suivante à partir d’une invite de commande à droits élevés:

C:\> wecutil qc

Enfin, vous devez établir un abonnement afin que les ordinateurs sachent quels événements doivent être collectés sur l’ordinateur collecteur. Effectuez les étapes suivantes sur l’ordinateur collecteur:

  1. En tant qu’administrateur, lancez l’Observateur d’événements et cliquez sur Abonnements dans le volet de navigation.

  2. Dans le volet Actions, cliquez sur Créer un abonnement.

  3. Remplissez les détails de votre abonnement conformément à la figure suivante.

(Voir la figure 1.)

Désormais, les événements spécifiés qui se produisent sur les ordinateurs sources sont transférés vers le journal des événements transférés, où vous pouvez tous les analyser à partir d’une seule machine.

Cette astuce (12878) s’applique à Windows 7, 8 et 10.