Suivre les arrêts et le temps d’activité sous Windows

Pourquoi suivre les arrêts et le temps d’activité ?

Pour les administrateurs et les responsables informatiques, connaître l’heure des arrêts et la durée d’activité d’un poste aide au diagnostic, à la maintenance planifiée, à la sécurité et à la conformité. Pour un utilisateur standard, l’information est moins critique, mais reste utile pour identifier des arrêts inattendus ou des plantages répétés.

Important : ne récoltez ces données que si vous avez le droit légal et administratif de le faire (politique interne, consentement, conformité RGPD le cas échéant).

1) Observateur d’événements Windows (Windows Logs)

L’Observateur d’événements est l’outil natif le plus complet. Il conserve des logs système détaillés et peut indiquer l’heure d’un arrêt propre ou d’un redémarrage.

Étapes rapides :

1. Ouvrez l’Observateur d’événements : appuyez sur Windows + X puis V, ou Windows + R et tapez eventvwr.msc.
2. Dans le volet gauche, développez Journaux Windows.
3. Cliquez sur Système.
4. Dans le volet de droite, choisissez Filtrer le journal actuel.
5. Dans le champ ID d’événement, tapez 6006 (arrêt du gestionnaire d’événements) et validez.

6. La liste centrale affiche les événements d’arrêt avec la date et l’heure.

Astuce : pour trouver qui a lancé l’arrêt (dans un domaine), recherchez d’autres événements liés (ID 1074 signale l’origine de l’arrêt, et 6008 signale un arrêt inattendu). Utilisez l’option Rechercher pour consolider les résultats.

Vérifier le temps d’activité (Uptime) :

• Ouvrez le Gestionnaire des tâches : clic droit sur la barre des tâches > Gestionnaire des tâches.
• Allez dans l’onglet Performance > CPU. En bas, vous verrez le temps d’activité depuis le dernier démarrage.

Remarque : l’Observateur conserve de nombreux autres événements utiles pour le dépannage (erreurs, avertissements, informations de service).

2) Shutdown Logger (journaliseur d’arrêts)

Shutdown Logger est un outil dédié et léger qui enregistre uniquement les arrêts. Il s’installe comme service et écrit des fichiers texte avec les dates et heures des arrêts.

Points clés :

• Simple : il ne suit pas les états de veille, seulement les arrêts.
• Logs accessibles localement : C:\ShutdownLoggerSvc\Logs (chemin standard indiqué par l’éditeur).
• Idéal si vous voulez un fichier texte facile à analyser ou à exporter vers un SIEM.

Téléchargement : récupérez l’installateur depuis le site officiel du projet ou le dépôt de l’éditeur. Vérifiez la signature et l’origine avant exécution.

Quand l’utiliser : si vous voulez un enregistrement minimaliste sans filtrer l’Observateur d’événements ou si vous avez besoin d’un format texte pour scripts.

3) TurnedOnTimesView (portable, détaillé)

TurnedOnTimesView est un utilitaire portable (pas d’installation requise). Il lit les journaux système et affiche une vue consolidée des démarrages, arrêts, mises en veille et sorties de veille.

Avantages :

• Portable : lancez l’exécutable et obtenez immédiatement la liste.
• Détails : montre la durée de fonctionnement, les raisons possibles des arrêts et les événements de veille/hibernation.
• Export facile : CSV/HTML pour analyse.

Téléchargement : disponible sur le site officiel de l’éditeur (par ex. NirSoft). Vérifiez la réputation de la source et numérisez l’exécutable avant usage.

Idéal pour : enquêtes ponctuelles, diagnostic sans installation, récupération d’une historique sur plusieurs semaines.

Comparaison rapide

Méthodologie recommandée pour une collecte fiable

1. Définissez le besoin : audit ponctuel, surveillance continue, diagnostic.
2. Choisissez l’outil adapté (Observateur pour profondeur, Shutdown Logger pour logs textuels, TurnedOnTimesView pour portable).
3. Configurez une rotation des logs et une sauvegarde centralisée (ex. collecte via Syslog/SIEM ou copie périodique des fichiers texte).
4. Documentez la procédure et les responsabilités (qui accède aux logs, période de conservation).
5. Testez la récupération et la corrélation avec d’autres sources (temps de réseau, événements d’applications).

Liste de vérification (pour administrateurs)

• Avez-vous l’autorisation légale de collecter ces journaux ?
• Les logs sont archivés sur un emplacement sécurisé ?
• Les horodatages sont synchronisés (NTP) sur l’ensemble des machines ?
• Un plan de rotation/suppression des logs est en place ?
• Les services tiers sont vérifiés et signés avant installation ?

Quand ces méthodes peuvent échouer

• Journaux corrompus ou effacés : un attaquant ou une panne peut supprimer des entrées.
• Arrêts non enregistrés : coupure matérielle/sans arrêt propre génère un événement différent (ID 6008).
• Permissions insuffisantes : il faut des droits d’administrateur pour lire certains journaux sur des postes distants.

Sécurité et confidentialité

• Minimisez l’exposition : limitez l’accès aux journaux aux comptes de maintenance.
• Transmettez les journaux via des canaux sécurisés (SFTP, agent chiffré vers SIEM).
• Conformité RGPD : si les logs contiennent des identifiants d’utilisateurs personnels, justifiez la conservation et appliquez des mesures de minimisation.

Glossaire (1 ligne chacun)

• Observateur d’événements : outil Windows natif pour lire les journaux système et d’application.
• ID d’événement 6006 : enregistrement d’un arrêt propre du journal des événements.
• ID d’événement 6008 : signalement d’un arrêt inattendu.

Exemples d’utilisation (scénarios)

• Diagnostic d’un poste : utilisez TurnedOnTimesView pour voir si un arrêt correspond à une panne secteur ou à une mise à jour.
• Audit d’entreprise : centralisez les 6006/1074 dans un SIEM pour rapports mensuels.
• Récupération post-incident : correliez les arrêts à des événements d’application et à des logs réseau.

Notes finales et bonnes pratiques

• Synchronisez l’heure des machines avec un serveur NTP pour des horodatages fiables.
• Préférez les outils signés et reconnus pour éviter l’introduction de malwares.
• Documentez toute procédure de collecte et informez les utilisateurs si nécessaire.

Résumé : l’Observateur d’événements fournit la profondeur d’analyse, Shutdown Logger offre des logs texte simples, et TurnedOnTimesView est parfait pour un diagnostic portable. Choisissez selon l’usage et appliquez des règles de sécurité et de conservation.

Que faites-vous pour la surveillance et la maintenance dans votre parc ? Partagez vos outils et procédures dans les commentaires ci-dessous.

RÉCITS CONNEXES :

• Comment accéder aux extensions de fichier inconnues dans Windows 10/8/7
• Quels sont les risques d’utiliser une copie piratée de Windows 10 ?
• Comment désactiver un compte Microsoft To-Do