Guide des technologies

Voir l’historique de démarrage et d’arrêt de Windows

7 min read Windows Mis à jour 05 Oct 2025
Voir l'historique démarrage/arrêt de Windows
Voir l'historique démarrage/arrêt de Windows

Important: les commandes et les outils nécessitent des droits administrateur pour accéder à l’intégralité des journaux système.

Pourquoi vérifier l’historique de démarrage/arrêt

Savoir quand un PC a démarré ou été arrêté aide à :

  • Dépanner des pannes ou des arrêts inattendus.
  • Vérifier l’utilisation d’un ordinateur partagé (famille, bureau).
  • Confirmer des fenêtres d’accès hors horaires autorisés.
  • Corréler événements système avec incidents applicatifs ou matériels.

Définition brève : “Event ID” — identifiant numérique d’un type d’événement Windows, utile pour filtrer les journaux.

Principaux Event IDs à connaître

  • Event ID 41 : redémarrage forcé sans arrêt correct (ex. perte d’alimentation).
  • Event ID 1074 : arrêt ou redémarrage initié par un processus ou l’utilisateur.
  • Event ID 6005 : le service des journaux d’événements a démarré (indique démarrage système).
  • Event ID 6006 : le service des journaux d’événements s’est arrêté proprement (indique arrêt propre).
  • Event ID 6008 : arrêt inattendu du système (exception/plantage).

Fait utile : 6005/6006 sont les plus fiables pour repérer les démarrages et arrêts « propres ».

1. Utiliser l’Observateur d’événements (Event Viewer)

Quand l’utiliser : pour une enquête complète avec contexte (messages, sources, comptes utilisateurs).

Étapes pas à pas :

  1. Ouvrez la boîte Exécuter avec Win + R.
  2. Tapez eventvwr et appuyez sur Entrée pour lancer l’Observateur d’événements.
  3. Dans le panneau de gauche, développez Journaux Windows puis cliquez sur Système.

Journaux Windows dans l’Observateur d’événements

  1. Dans le panneau de droite ou depuis le menu, choisissez Filtrer le journal actuel.

Filtrer le journal actuel

  1. Dans le champ “Inclure/Exclure les IDs d’événements”, saisissez les IDs que vous souhaitez voir (par ex. 6005,6006,6008,1074,41).

Event IDs 6005 6006

  1. Validez par OK. Les événements filtrés s’affichent par ordre chronologique. Cliquez sur une ligne pour voir le détail (horodatage, source, description).

Notes pratiques :

  • Pour retrouver un arrêt imprévu, cherchez 6008 et 41.
  • Pour savoir qui a demandé un arrêt (ex. gestion à distance), inspectez 1074 ; la description indique souvent le compte ou l’application.

2. Utiliser l’Invite de commandes (wevtutil)

Quand l’utiliser : pour extraire rapidement une entrée, automatiser une requête ou intégrer à un script.

Ouvrez une invite élevée :

  1. Win + R, tapez cmd puis Ctrl + Shift + Entrée pour ouvrir en administrateur.
  2. Pour afficher la dernière entrée d’arrêt (Event ID 6006) :
wevtutil qe system "/q:*[System [(EventID=6006)]]" /rd:true /f:text /c:1
  1. Si vous ne voulez que la date et l’heure de l’événement :
wevtutil qe system "/q:*[System [(EventID=6006)]]" /rd:true /f:text /c:1 | findstr /i "date"

Astuce : remplacez 6006 par 6005, 6008, 1074 ou 41 selon le type d’événement à rechercher.

Exemples d’utilisation courante :

  • Exporter plusieurs entrées au format texte pour archivage.
  • Intégrer la commande dans un script PowerShell pour analyse périodique.

Sécurité : lancez wevtutil avec des comptes disposant des droits nécessaires pour éviter des entrées incomplètes.

Commande wevtutil affichant un résultat

Commande wevtutil filtrée sur la date

3. Utiliser un outil tiers : TurnedOnTimesView

Quand l’utiliser : si vous voulez une vue synthétique et triée automatiquement, exportable en CSV, et facile à lire.

TurnedOnTimesView lit les mêmes sources (journaux Windows) et les présente avec un filtrage par type (démarrage, arrêt, forcé, normal). Il peut aussi interroger des machines distantes si vous avez les droits nécessaires.

Utilisation rapide :

  1. Téléchargez TurnedOnTimesView depuis la page officielle du développeur (NirSoft).
  2. Décompressez l’archive dans l’Explorateur de fichiers.
  3. Lancez l’exécutable.
  4. Dans l’onglet Options, ouvrez Advanced Options pour choisir la source des données.

Options TurnedOnTimesView

  1. Sélectionnez Local Computer ou Remote Computer et renseignez le nom de machine distante si besoin.

Source de données TurnedOnTimesView

Avantages : interface claire, tri automatique par durée d’activité, export CSV/HTML.

Limites : outil tiers — vérifiez la provenance du binaire et la politique interne de votre entreprise avant déploiement.

Approches alternatives et compléments

  • PowerShell : Get-WinEvent permet des requêtes plus riches et un export structuré en objets. Exemple :
Get-WinEvent -FilterHashtable @{LogName='System'; Id=6006} -MaxEvents 10 | Format-List TimeCreated,Id,Message
  • Analyse centralisée : envoyez les journaux vers un SIEM (Splunk, ELK) pour corrélation et recherche sur longue période.
  • Audit matériel : si des arrêts inattendus persistent, monitorer la tension, la température ou les ventilateurs peut aider.

Quand ces méthodes échouent ou sont insuffisantes

  • Journaux corrompus : l’accès aux événements peut être incomplet si les fichiers de logs sont endommagés.
  • Droits insuffisants : sans privilèges administrateur, certaines entrées ne s’affichent pas.
  • Machines hors réseau : pour les machines distantes, l’accès réseau ou les politiques de pare-feu peuvent bloquer la consultation.

Solutions : réparer le journal d’événements, obtenir les droits nécessaires ou utiliser un agent de collecte côté machine distante.

Mini-méthodologie d’enquête (10 minutes)

  1. Vérifiez la présence d’événements 6008/41 pour un arrêt brutal.
  2. Consultez 1074 pour connaître l’origine (application/utilisateur).
  3. Confirmez les heures de démarrage avec 6005.
  4. Corrélez avec d’autres journaux (Application, Sécurité) pour trouver la cause.
  5. Exportez les événements pertinents pour sauvegarde et partage.

Checklist selon le rôle

Administrateur système :

  • Exécuter avec droits admin.
  • Filtrer par 6005, 6006, 6008, 1074, 41.
  • Exporter les logs (evtx ou CSV).
  • Corréler avec alertes matériel et SIEM.

Utilisateur domestique :

  • Vérifier 6006/6005 pour les derniers usages.
  • Installer TurnedOnTimesView pour lecture simplifiée.
  • Si arrêt inattendu : vérifier câbles, alimentation, et mises à jour Windows.

Enquête ponctuelle :

  • Noter heure/ID d’événement.
  • Capturer le message complet depuis l’Observateur.

Glossaire en une ligne

  • Observateur d’événements : outil Windows affichant les logs système, application et sécurité.
  • Event ID : identifiant numérique d’un type d’événement Windows.
  • wevtutil : utilitaire en ligne de commande pour interroger et manipuler les journaux d’événements.

Sécurité et confidentialité

  • Ne téléchargez des outils tiers qu’à partir du site officiel du développeur.
  • Sur des machines d’entreprise, validez la conformité avec la DSI avant d’installer ou d’exécuter un binaire.
  • Les journaux peuvent contenir des noms d’utilisateurs et des chemins sensibles ; traitez-les comme des données potentiellement sensibles.

Exemples de cas réels et limitations

  • Cas typique : un PC s’éteint à 2h00 chaque nuit. 6008 indique arrêt brutal — suspecter une mise à jour, une extension matérielle ou un problème d’alimentation.
  • Limitation : un redémarrage automatique dû à une mise à jour peut produire 1074 mais masquer la cause initiale si l’application déclenchante n’est pas annotée.

Diagramme de décision (choisissez la méthode)

flowchart TD
  A[Démarrer l’enquête] --> B{Besoin de détails complets ?}
  B -- Oui --> C[Observateur d’événements]
  B -- Non, rapide --> D[Invite de commandes / wevtutil]
  C --> E{Souhaitez-vous une interface simple ?}
  E -- Oui --> F[TurnedOnTimesView]
  E -- Non --> G[Filtrer dans Observateur et exporter]
  D --> H[Script ou sortie texte]
  F --> I[Exporter CSV si nécessaire]
  G --> I
  H --> I

FAQ

Q : Quel est l’Event ID indiquant un arrêt propre ?

R : L’Event ID 6006 correspond à l’arrêt propre du service des journaux et indique généralement un arrêt correct du système.

Q : Est-ce que TurnedOnTimesView est fiable ?

R : TurnedOnTimesView lit les mêmes journaux Windows que l’Observateur. Il est pratique, mais vérifiez toujours la source du téléchargement et la politique interne avant usage.

Q : Puis‑je automatiser la collecte des temps de démarrage pour plusieurs machines ?

R : Oui. Utilisez PowerShell avec Get-WinEvent ou un SIEM/agent centralisé pour collecter et corréler les journaux à l’échelle.

Résumé

  • Les Event IDs 6005, 6006, 6008, 1074 et 41 sont essentiels pour repérer démarrages et arrêts.
  • L’Observateur d’événements donne le contexte le plus complet.
  • wevtutil/PowerShell sont préférables pour l’automatisation.
  • TurnedOnTimesView offre une lecture rapide et exportable.

Notes finales : conservez une copie exportée des événements importants lorsque vous enquêtez sur un incident. Cela facilite le partage avec la DSI ou le support technique.

Clavier d’ordinateur montrant le logo Windows

Partager: X/Twitter Facebook LinkedIn Telegram
Auteur
Édition

Matériaux similaires

Récupérer et sécuriser un compte Gmail piraté
Sécurité informatique

Récupérer et sécuriser un compte Gmail piraté

Wget sous Windows et macOS — guide complet
Tutoriel

Wget sous Windows et macOS — guide complet

Protéger les données des appareils Apple au Canada
Sécurité

Protéger les données des appareils Apple au Canada

Trouver les coordonnées d'une chaîne YouTube
Réseaux sociaux

Trouver les coordonnées d'une chaîne YouTube

Récupérer le dossier Documents disparu sous Windows
Windows

Récupérer le dossier Documents disparu sous Windows

Crypter un fichier ZIP sur Android
Android

Crypter un fichier ZIP sur Android