Le tableau suivant présente la liste des propriétés d’événements courantes. Pour plus d’informations sur les propriétés des événements et le schéma XML sous-jacent, voir Représentation des événements pour les consommateurs d’événements dans le kit de développement logiciel (SDK) des journaux des événements Windows en ligne.

Nom de la propriété Description

Source

Logiciel ayant enregistré l’événement. Il peut s’agir du nom d’une application, par exemple « SQL Server », d’un composant du système ou d’une grande application, comme un nom de pilote. Par exemple, « Elnkii » représente un pilote EtherLink II.

ID d’événement

Numéro identifiant le type spécifique de l’événement. La première ligne de la description contient en règle générale le nom du type d’événement. Par exemple, 6005 est l’identificateur de l’événement qui se produit lors du démarrage du service Journal des événements. La description d’un événement de ce type commence par « Le service Journal des événements a démarré ». Les éléments d’information contenus dans les colonnes ID de l’événement et Source peuvent être utilisés par le personnel de support technique pour résoudre les problèmes système.

Niveau

Niveau de gravité de l’événement. Les niveaux de gravité des événements suivants peuvent se produire dans les journaux système et des applications :

  • Informations. Indique qu’une modification dans une application ou un composant s’est produite, telle que l’exécution réussie d’une opération, la création d’une ressource ou le démarrage d’un service.

  • Avertissement. Indique qu’un problème s’est produit, qui risque d’avoir un impact sur le service ou d’entraîner un problème plus grave si aucune action n’est entreprise.

  • Erreur. Indique qu’un problème s’est produit, qui risque d’avoir un impact sur le service ou d’entraîner un problème plus grave si aucune action n’est entreprise.

  • Critique. Indique qu’un échec s’est produit, à partir duquel aucune récupération automatique de l’application ou du composant qui a déclenché l’événement n’est possible.

Les niveaux de gravité des événements suivants peuvent se produire dans le journal de sécurité :

  • Audit des succès. Indique la réussite de l’exercice d’un droit d’utilisateur.

  • Audit des échecs. Indique l’échec de l’exercice d’un droit d’utilisateur.

Dans la liste normale affichée par l’observateur d’événements, ils sont représentés par un symbole.

Utilisateur

Nom de l’utilisateur à l’origine de l’événement. Ce nom correspond à l’identificateur de client si l’événement s’est réellement produit en raison d’un processus au niveau d’un serveur, ou à l’identificateur principal si l’emprunt d’identité n’a pas lieu. Le cas échéant, un enregistrement du journal de sécurité contient à la fois un identificateur principal et un identificateur d’emprunt d’identité. L’emprunt d’identité se produit lorsque le serveur autorise un processus à prendre les attributs de sécurité d’un autre.

Code opérationnel

Contient une valeur numérique qui identifie l’activité, ou un point précis dans une activité, qui était en cours d’exécution dans l’application lorsque l’événement s’est produit, par exemple, l’initialisation ou la fermeture.

Journal

Nom du journal dans lequel l’événement a été enregistré.

Catégorie de tâche

Représente un sous-composant ou une activité de l’éditeur d’événements.

Mots clés

Ensemble de catégories ou de balises pouvant être utilisées pour filtrer ou rechercher des événements. Exemples : « Réseau », « Sécurité » ou « Ressource introuvable ».

Ordinateur

Nom de l’ordinateur sur lequel l’événement s’est produit. Le nom de l’ordinateur correspond généralement au nom de l’ordinateur local, mais il peut s’agir aussi du nom d’un ordinateur qui a transmis l’événement ou du nom de l’ordinateur local utilisé avant un changement de nom.

Date et heure

Date et heure de l’enregistrement de l’événement.

Le tableau suivant répertorie les propriétés que vous pouvez afficher en ajoutant des colonnes à l’affichage de l’observateur d’événements. Pour plus d’informations sur l’ajout de colonnes à l’affichage, voir Afficher ou masquer les propriétés des événements.

Nom de la propriété Description

ID du processus

Numéro d’identification du processus ayant généré l’événement.

ID de thread

Numéro d’identification du thread ayant généré l’événement.

ID du processeur

Numéro d’identification du processeur ayant traité l’événement.

Identificateur de session

Numéro d’identification du processeur de la session Terminal Server dans laquelle l’événement s’est produit.

Temps du noyau

Temps d’exécution écoulé pour les instructions en mode noyau, en unités de temps processeur.

Durée utilisateur

Temps d’exécution écoulé pour les instructions en mode utilisateur, en unités de temps processeur.

Temps processeur

Temps d’exécution écoulé pour les instructions en mode utilisateur, en périodes processeur.

ID de corrélation

Identifie l’activité dans le processus avec lequel l’événement est impliqué. Cet identificateur est utilisé pour spécifier des relations simples entre événements.

Identificateur de corrélation relatif

Identifie une activité associée dans un processus avec lequel l’événement est impliqué.

Table des matières