Combien de jours de données SRUM sont généralement disponibles ?

Environ 30 jours dans les tables court-terme et jusqu’à ~1 an dans les tables long-terme (LT), selon le volume d’activité et la configuration registre.

Qu’est-ce qui contrôle la rétention SRUM ?

Le registre des extensions SRUM sous HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SRUM\Extensions, plus le Diagnostic Policy Service qui planifie les commits. Il n’existe pas de réglage unique côté utilisateur.

Une forte activité raccourcit-elle la rétention ?

Effectivement oui. SRUM purge par âge, mais un système très actif produit plus de lignes par heure, donc la fenêtre pratique de détail utile peut sembler plus courte.

Les tables long-terme sont-elles toujours présentes ?

Les tables {…}LT existent sur la plupart des builds Windows 10/11. Elles agrègent les lignes court-terme chaque semaine : granularité moindre, portée bien plus longue.

Un attaquant peut-il modifier la rétention ?

Un attaquant admin pourrait altérer le registre ou arrêter le service, mais c’est en soi un indicateur. Comparez la continuité des comptages de lignes et les trous de TimeStamp à l’activité attendue.

← Retour à l’analyseur

Combien de temps SRUM conserve-t-il les données ? Rétention et registre

19/05/2026

La réponse pratique

Tables court-terme (Utilisation des ressources, Données réseau, etc.) : environ 30 jours de lignes regroupées par heure.
Tables long-terme (variantes {…}LT) : jusqu’à environ un an, agrégées par semaine.

Ce ne sont pas des garanties strictes — la rétention dépend de la purge par âge et du nombre de lignes générées.

Ce qui la gouverne

Il n’y a pas de case « conserver SRUM N jours ». La rétention émerge de :

Le Diagnostic Policy Service (DPS) — planifie le flush périodique (horaire par défaut, ~10 s au changement d’alimentation).
Le registre des extensions SRUM — HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SRUM\Extensions liste chaque extension nommée par GUID et ses paramètres.
La purge — les anciennes lignes sont supprimées lors de la maintenance ; les tables LT reçoivent les rollups agrégés avant que les lignes court-terme ne vieillissent.

Ce que cela implique pour une enquête

Un incident de plus de ~30 jours ne survit probablement que dans les tables LT — attendez-vous à des agrégats hebdomadaires, pas au détail horaire. Vérifiez les deux quand vous analysez la base.
Un trou dans la séquence de TimeStamp là où vous attendiez de l’activité est en soi une preuve : service arrêté, système éteint, ou altération. Croisez avec les événements d’alimentation de la table Énergie.
Ne surestimez pas la précision. Une session de 30 minutes peut apparaître comme un seul bucket horaire — voir Investigation forensique avec SRUM pour les réserves de résolution.

Vérifier la rétention sur un échantillon

Ouvrez la base dans l’analyseur, triez la table Utilisation des ressources par TimeStamp, et lisez la première et la dernière ligne. Cet intervalle est votre fenêtre réellement exploitable pour cette machine précise — bien plus fiable que de supposer « 30 jours ».

Pour aller plus loin

Questions fréquentes

Combien de jours de données SRUM sont généralement disponibles ?: Environ 30 jours dans les tables court-terme et jusqu’à ~1 an dans les tables long-terme (LT), selon le volume d’activité et la configuration registre.
Qu’est-ce qui contrôle la rétention SRUM ?: Le registre des extensions SRUM sous HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SRUM\Extensions, plus le Diagnostic Policy Service qui planifie les commits. Il n’existe pas de réglage unique côté utilisateur.
Une forte activité raccourcit-elle la rétention ?: Effectivement oui. SRUM purge par âge, mais un système très actif produit plus de lignes par heure, donc la fenêtre pratique de détail utile peut sembler plus courte.
Les tables long-terme sont-elles toujours présentes ?: Les tables {…}LT existent sur la plupart des builds Windows 10/11. Elles agrègent les lignes court-terme chaque semaine : granularité moindre, portée bien plus longue.
Un attaquant peut-il modifier la rétention ?: Un attaquant admin pourrait altérer le registre ou arrêter le service, mais c’est en soi un indicateur. Comparez la continuité des comptages de lignes et les trous de TimeStamp à l’activité attendue.