Comment afficher l’historique de démarrage et d’arrêt de Windows

Parfois, il est difficile de comprendre pourquoi votre PC fonctionne de manière anormale ou pourquoi il redémarre ou s’éteint soudainement, mais consulter l’historique des démarrages et des arrêts peut vraiment éclairer la situation. Que vous cherchiez à déterminer si une mise à jour a forcé un redémarrage ou que vous souhaitiez simplement voir si quelque chose d’étrange s’est produit dans les journaux, ces méthodes vous aideront à y voir plus clair. Il est étrange que Windows propose plusieurs méthodes pour analyser ces événements, mais une fois que vous avez pris le coup de main, cela simplifie grandement le dépannage. De plus, connaître les identifiants d’événement (comme 6005, 6006…) simplifie grandement les choses. Après tout, si votre machine redémarre bizarrement ou s’éteint soudainement, ces journaux peuvent vous indiquer s’il s’agit d’un problème matériel, logiciel ou autre.

Comment vérifier l’historique de démarrage et d’arrêt sous Windows

Vérifiez les journaux à l’aide de l’invite de commande

C’est une méthode simple si vous maîtrisez la ligne de commande. En résumé, vous indiquez à Windows d’afficher le dernier événement d’arrêt ou de démarrage en fonction de ces identifiants d’événement bien connus. C’est pratique si vous souhaitez obtenir rapidement des informations sans avoir à ouvrir une multitude de menus. Sur certaines configurations, l’affichage peut ne pas être immédiat ou générer une erreur, mais sur la plupart des installations Windows modernes, cela fonctionne correctement après un redémarrage. Il est parfois nécessaire d’exécuter l’invite de commande en tant qu’administrateur, sinon Windows refuse de vous donner accès à ces journaux.

1. Tapez Invite de commandes dans la barre de recherche de Windows 11. Lorsqu’elle apparaît, faites un clic droit et choisissez Exécuter en tant qu’administrateur.
2. Tapez cette commande pour voir le dernier journal d’arrêt (ID d’événement 6006) :

wevtutil qe system "/q:*[System [(EventID=6006)]]" /rd:true /f:text /c:1

3. De même, pour les événements de démarrage (ID d’événement 6005), exécutez :

wevtutil qe system "/q:*[System [(EventID=6005)]]" /rd:true /f:text /c:1

4. Attendez-vous à voir quelques informations de base : horodatage, détails de l’événement, éventuellement des informations sur le BIOS. Si rien ne s’affiche, essayez d’exécuter les commandes après un redémarrage ou vérifiez que vos journaux sont correctement activés.

Utilisez l’Observateur d’événements Windows pour plus de détails

Tout le monde n’aime pas fouiller dans l’Observateur d’événements, mais il est en réalité très pratique et un peu plus visuel. Si vous n’êtes pas un adepte des commandes ou avez besoin de plus de contexte, c’est la solution idéale. Sur une machine, il peut vous fournir une multitude d’informations, mais sur une autre, il peut être assez limité si les journaux sont effacés ou limités.

1. Ouvrez l’Observateur d’événements à partir du menu Démarrer.
2. Accédez à Journaux Windows > Système.
3. Cliquez sur Filtrer le journal actuel dans le panneau de droite.
4. Saisissez 6005 et 6006 dans les champs ID d’événement, puis appuyez sur OK.
5. Vous verrez maintenant une liste de journaux indiquant les démarrages (6005) et les arrêts (6006).Double-cliquez sur un journal pour plus de détails, comme l’heure exacte ou la cause de l’arrêt.

C’est assez drôle : parfois, vous obtenez des journaux pour un arrêt inattendu, mais parfois, ils n’existent pas du tout. Cela peut être lié à la configuration de vos journaux ou à la version de Windows, mais en général, c’est assez fiable.

PowerShell pour obtenir toutes les données d’événements en une seule fois

Si vous maîtrisez PowerShell, cette méthode est intéressante car elle regroupe toutes les informations pertinentes sur les événements dans une seule liste. Elle est idéale pour ceux qui souhaitent visualiser plusieurs redémarrages, arrêts ou plantages d’un seul coup d’œil, plutôt que de parcourir des journaux individuels.

1. Ouvrez PowerShell en tant qu’administrateur (recherchez PowerShell, faites un clic droit, « Exécuter en tant qu’administrateur »).
2. Exécutez cette commande pour avoir un aperçu général des événements de démarrage/arrêt :

Get-EventLog -LogName System | ? {$_. EventID -in (6005, 6006, 6008, 6009, 1074, 1076)} | ft TimeGenerated, EventId, Message -AutoSize -wrap

3. Il générera un tableau avec l’heure, l’identifiant de l’événement et un message expliquant ce qui s’est passé. Ne vous attendez pas à un journal parfait : il arrive que des entrées soient manquantes ou incomplètes, mais cela suffit généralement à déceler des tendances ou des anomalies.

Gardez à l’esprit que le traitement de PowerShell peut prendre un certain temps si vos journaux sont volumineux. De plus, les données peuvent paraître un peu complexes à première vue, mais une fois que vous aurez identifié les identifiants d’événements et les messages, il sera plus facile d’interpréter ce que votre PC a fait et quand.

Il faut un peu de patience pour manipuler ces journaux, mais ils constituent une mine d’or pour résoudre les redémarrages, plantages ou blocages inattendus. N’oubliez pas que les journaux peuvent être étranges ou incomplets si Windows n’a pas été configuré pour tout enregistrer ; prenez donc ce que vous voyez avec des pincettes.