Comment ajuster les paramètres de taille des journaux dans l’Observateur d’événements Windows

Oui, les journaux de l’Observateur d’événements Windows sont très pratiques pour identifier un problème ou simplement conserver une trace des événements système. Mais attention : par défaut, Windows limite la quantité de données de journalisation. Une fois cette limite atteinte, les événements les plus anciens sont écrasés. Ce n’est pas idéal pour dépanner un problème survenu il y a longtemps ou pour obtenir un historique détaillé. Augmenter la taille maximale des journaux est donc souvent la solution pour les conserver plus longtemps et en extraire des informations plus pertinentes. Attention cependant : sans précaution, les journaux peuvent rapidement devenir volumineux et consommer beaucoup d’espace disque. Il est donc essentiel de définir une limite raisonnable.

Si vos journaux sont écrasés trop rapidement ou si vous souhaitez simplement conserver un historique plus long, voici comment augmenter leur taille. La procédure varie selon votre configuration : commandes PowerShell, interface graphique de l’Observateur d’événements ou stratégies de groupe. Il est possible que vous deviez l’appliquer sur plusieurs machines si la gestion s’effectue par GPO, notamment dans un environnement de domaine. N’oubliez pas que l’augmentation de la taille des journaux n’est pas qu’une simple formalité ; elle peut s’avérer utile pour le dépannage, les audits de sécurité ou la détection d’activités suspectes telles que les tentatives de connexion infructueuses ou les fichiers supprimés. Car, il est vrai, Windows complique parfois les choses inutilement, mais ces étapes fonctionnent généralement. Voici la marche à suivre : choisissez la méthode la plus adaptée à votre situation et suivez les instructions.

Comment augmenter la taille du journal des événements Windows — Méthodes pratiques

Ajustement de la taille des journaux via PowerShell

C’est une méthode plutôt courante pour les configurations rapides : PowerShell est plus rapide que de naviguer dans les menus. Les journaux sont enregistrés au %SystemRoot%\System32\Winevt\Logs\format .EVTX. Il est conseillé de gérer les journaux individuellement, car sur certaines configurations, modifier la taille d’un journal peut affecter les autres de manière inattendue, ou Windows peut générer des erreurs concernant des tailles trop importantes ou trop petites. Par conséquent, sélectionnez le journal qui vous intéresse.

Vérifiez d’abord les limites de journalisation actuelles :

Get-WinEvent -ListLog Security | Select MaximumSizeInBytes, FileSize, IsLogFull, OldestRecordNumber, IsEnabled, LogMode

Cette commande vous permet d’afficher rapidement les paramètres actuels du journal de sécurité, par exemple. Pour connaître la taille totale de tous les journaux dans le dossier des journaux, essayez :

"{0:N2} MB" -f ((Get-ChildItem C:\Windows\System32\Winevt\Logs\ | Measure-Object Length -Sum).Sum / 1MB)

Pour augmenter la taille des journaux, vous pouvez utiliser `wevtutil`. Voici un exemple où la taille maximale du journal d’application est définie à environ 200 Mo (soit 200 millions d’octets) :

wevtutil sl "Application" /ms:200000000

Autrement, la nouvelle cmdlet de PowerShell permet de définir la taille proprement :

Limit-EventLog -LogName Application -MaximumSize 200MB -OverflowAction OverwriteOlder

Sur certaines machines, l’exécution de ces commandes peut nécessiter des privilèges d’administrateur, et parfois, un redémarrage ou une réinitialisation des journaux est nécessaire pour que les modifications soient pleinement prises en compte.Étrange, mais ça fonctionne.

Ajuster la taille du journal à partir de l’interface graphique de l’Observateur d’événements

Si vous préférez explorer l’interface, plongez-vous dans l’Observateur d’événements. C’est étonnamment simple une fois qu’on sait où chercher :

  1. Ouvrez l’Observateur d’événements en tapant eventvwr.msc dans la zone Exécuter ( Windows + R) ou dans la barre de recherche.
  2. Trouvez votre journal (comme Sécurité ou Application ), cliquez avec le bouton droit, puis sélectionnez Propriétés.
  3. Utilisez le curseur ou la zone de saisie pour la taille maximale du journal (Ko) et augmentez-la à la valeur qui convient à votre environnement.
  4. Définissez le comportement du système lorsque le journal est plein. Par défaut, les événements sont écrasés si nécessaire, ce qui convient à la plupart des utilisateurs. Si vous souhaitez tout conserver, sélectionnez « Archiver le journal lorsqu’il est plein, ne pas écraser les événements ». Attention : les journaux archivés sont stockés dans le même dossier et vous devrez les ouvrir manuellement ultérieurement.

Parfois, les options sont grisées si vous n’exécutez pas la console en tant qu’administrateur. Alors oui… faites un clic droit et choisissez « Exécuter en tant qu’administrateur ». Qui aurait cru que Windows compliquait encore autant les choses ?

Utilisation des GPO pour gérer la taille des journaux dans un domaine

Si vous gérez plusieurs machines Windows dans un environnement Active Directory, les stratégies de groupe sont la solution idéale. Leur configuration est un peu plus complexe, mais une fois en place, elles vous simplifieront grandement la vie.

  1. Lancez gpmc.msc pour ouvrir la Gestion des stratégies de groupe.
  2. Créez un nouvel objet de stratégie de groupe (GPO), puis liez-le à l’unité d’organisation (UO) ou à l’étendue du domaine concernée.
  3. Accédez à Configuration ordinateur > Stratégies > Modèles d’administration > Composants Windows > Service Journal des événements. Vous y trouverez les journaux des applications, de la sécurité, de l’installation et du système.
  4. Activez cette option et spécifiez la taille maximale du fichier journal (en Ko). Par exemple, 61 440 Ko correspond à environ 60 Mo.
  5. Forcez une mise à jour de la stratégie de groupe sur les clients en exécutant la commande gpupdate /forcedans PowerShell ou l’invite de commandes.

Sur les contrôleurs de domaine, l’augmentation de la taille du journal des événements de sécurité facilite l’audit détaillé et le suivi des incidents de sécurité tels que les échecs de connexion ou les activités suspectes. Attention toutefois à l’espace disque : les journaux peuvent rapidement devenir volumineux. Notez également que tous les journaux ne sont pas configurables par stratégie de groupe ; certains, notamment ceux des applications et des services, nécessitent des modifications du registre.

Pour modifier les journaux non couverts par une stratégie de groupe, il suffit d’ajuster leurs clés de registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\<LogName>. Par exemple, pour augmenter la taille du journal du service d’annuaire, créez une MaxSizevaleur REG_DWORD avec la taille en octets, par exemple 50 Mo (soit 50 × 1024 × 1024 = 52 428 800 octets).Utilisez les préférences de stratégie de groupe pour automatiser cette opération sur plusieurs machines.

Au final, augmenter la taille de vos journaux d’événements n’est pas une folie ; c’est même une sage décision lorsque vous avez besoin d’historiques détaillés pour le dépannage ou l’audit. C’est un exercice d’équilibre, mais bien paramétré, cela permet d’obtenir des informations beaucoup plus pertinentes sans saturer votre disque.

Résumé

  • Les commandes PowerShell comme Limit-EventLog` wevtutil` sont des moyens rapides de définir la taille des journaux.
  • L’interface graphique de l’Observateur d’événements est simple mais nécessite des droits d’administrateur.
  • Les GPO sont votre meilleur allié pour gérer plusieurs machines simultanément, notamment dans les grands réseaux.
  • Attention à l’espace disque : les journaux peuvent devenir énormes s’ils sont laissés sans surveillance.
  • Pour personnaliser les journaux au-delà des journaux standard, modifiez directement les clés de registre.

Conclure

Enfin, augmenter la taille de vos journaux facilite grandement le dépannage et vous offre une meilleure visibilité sur ce qui se passe en coulisses. Certes, ce n’est pas un système parfait, mais de meilleurs journaux permettent des corrections plus rapides et moins de conjectures. J’espère que cela aidera certains à mieux gérer leurs journaux sans que cela ne devienne une corvée. Croisons les doigts pour que cela permette de faire avancer les choses, et sinon, au moins, c’est une solution qui a fonctionné sur quelques configurations que j’ai testées.

Comment réduire la taille du fichier Windows.edb (Windows.db)
Comment configurer les règles du pare-feu Windows avec la stratégie de groupe