Hello a tout le monde,
 
Ce qu'il s'est passe : un serveur a crashe, on a pu demarrer sur une deuxieme partition systeme. De cette partition, on a acces a celle qui a crashe.
Question : connaissez vous un moyen d'ouvrir les journaux d'evenements situes sur une autre partition afin de voir ce qu'il s'est passe sur ce serveur.  
 
Merci de vos reponses

les logs sont stockés dans C:\WINDOWS\system32\config\*.evt
 
essaye de les ouvrir avec l'eventvwr

oui mais ce sont des logs backupes, ce ne sont pas les logs "immediats", c'est ca le probleme.

Que veux-tu dire par "backupes" ? Si tu fais clic droit sur un journal, propriétés, tu verras son chemin.

Je veux dire que les fichiers .evt que l'on peut trouver sur un poste sont ceux qui ont deja ete backupes soit manuellement, soit automatiquement suivant les regles etablies.
Imaginons un serveur avec deux partitions systemes. L'une crashe, je reboote sur l'autre, je souhaite savoir les origines du crash en verifiant les journaux d'evenements sur la partition qui est donc non-active.

et bien remplace C: par la lettre du lecteur de l'autre partition (celle qui contient ton windows qui crash)
 
De toute facon il y a peu de chance que tu obtiennes des infos du crash dans le journal d'évenement. Ce qu'il faut étuider ce sont les minidump mais c'est une autre paire de manche là.

Chez moi, il y a tout. Il est possible que les données depuis le dernier démarrage soient stockées en RAM. En tout cas, ce sont les seuls fichiers de journaux de l'observateur d'événements.