このガイドでは、Windows イベント ビューアを使用して Windows ログを表示し、さまざまな基準に従ってログをフィルタリングする方法を説明します。
前提条件:
このガイドで説明されている手順を実行するには、次のコンポーネントが必要です。
- 正しく構成された Windows 10/11 システム。テストのために、VirtualBox を使用して Windows VM をセットアップする方法を確認してください。
- 管理者アクセス
Windows 上のイベント ビューア
デフォルトでは、さまざまなアプリ (および OS の一部) が、ドライバーの異常、セキュリティ更新、ハードウェア障害などの特定のアクティビティに関する通知を OS に送信します。イベント ビューアーは、これらの通知を集約し、ログ記録のハブとして機能する専用アプリです。
管理者権限があれば、イベント ビューアはシステム内で発生するすべての主要なイベントを表示できます。これはデバッグ目的に非常に役立ちます。
イベント ビューアには、特定のプログラムによってトリガーされた特定の時間のシステム アクティビティ、トリガーの重大度などを表示できる強力なフィルター機能もあります。
イベントビューアの起動
スタートメニューから「イベントビューア」と入力します。
あるいは、「ファイル名を指定して実行」ウィンドウから次のキーワードを実行します。
$ イベントvwr
メイン ウィンドウには、すべてのシステム アクティビティの概要が表示されます。
イベント ビューア UI
左側のパネルでは、ログがさまざまなカテゴリに分類されています。
たとえば、「Windows ログ」サブカテゴリを選択すると、Windows および Windows アプリごとのログの概要が表示されます。
すべての Microsoft 製品によって生成されたログを表示するには、「アプリケーションとサービス ログ」>>「Microsoft」に移動します。
ログの表示
次の例では、Windows PowerShell によって生成されるログを確認します。左側のパネルから、「アプリケーションとサービス ログ」 >> 「Windows PowerShell」に移動します。
ここでは、PowerShell によってトリガーされたすべてのイベントを確認できます。私たちの場合、イベント ビューアーは約 10,000 件の PowerShell イベントを記録しました。各ログはイベントを表します。
ログを選択すると、ログの詳細が表示されます。
さらに詳しい詳細については、「詳細」タブに移動してください。
イベントログのフィルタリング
ログを目的もなく参照する代わりに、イベント ビューアーを使用して特定のフィルターを適用し、より正確な状況を把握できます。これは、ハードウェアの問題、ドライバーの問題、ソフトウェアのバグなど、問題をデバッグしようとするときに非常に役立ちます。
新しいフィルターを作成するには、右側のパネルから「カスタム ビューの作成」を選択します。
新しいウィンドウでさまざまなフィルターを適用できます。
ここ:
- 記録済み : イベント ビューアは、オペレーティング システムのインストール以降のログをホストします。ほとんどの場合、それらすべてを検索するのは最適ではありません。このフィルターを使用すると、検索範囲を時間によって制限できます。
- イベントレベル : イベントが登録されるたびに、重大度レベルが割り当てられます。イベントには、重大、エラー、警告、情報、詳細の 5 種類があります。
- ログ別 : ツリーごとに検索範囲を制限します。
- 出典別 : イベントトリガーのソースによって検索範囲を制限します。イベント トリガーは、OS のさまざまな装置やインストールされているプログラムにすることができます。
たとえば、PowerShell によってトリガーされるすべてのイベントを一覧表示するには、カスタム ビュー フォームは次のようになります。
デフォルトでは、イベント ビューアーは、新しく作成したフィルターをカスタム ビューとして保存することを提案します。
結果は次のようになります。
ログのバックアップ
イベント ビューアはイベント ログをエクスポートすることもできます。これは、後で使用するために重要なログをデバッグしたりバックアップしたりするのに役立ちます。
この例では、「Windows PowerShell」ログのバックアップを作成します。
左側のパネルから「Windows PowerShell」を選択し、右クリックして「すべてのイベントに名前を付けて保存」を選択します。
バックアップ ファイルを保存する場所を選択するように求められます。
最後に、イベント ビューアは追加の表示情報をファイルに保存するかどうかを尋ねます。他のコンピュータでログを操作できるように、これらを含めることをお勧めします。ただし、バックアップのみを目的としており、ファイル サイズを減らすためにこれを回避することもできます。
追加の表示データを含めることを選択した場合、イベント ビューアーは追加の「LocaleMetaData」ディレクトリを作成します。
ログのインポート
イベント ログを正常にバックアップする方法を学習しました。ここで、必要に応じてそれらをインポートする方法を学ぶ必要があります。
イベント ビューアのバックアップ ファイルからログをインポートするには、メイン ウィンドウから [アクション] >> [保存されたログを開く] に移動します。
次に、バックアップ ファイルを参照します。
ログ ダンプの名前と保存場所を決定できます。デフォルトでは、イベント ビューアはそれらを「保存されたログ」の下に置きます。
インポートされたログは「保存されたログ」の下に表示されるはずです。
ログのクリア
イベント ビューアは、オペレーティング システムのインストール以来ログを収集しています。十分な時間があれば、膨大な数のログが蓄積されます。イベント ビューアでは、現在蓄積されているすべてのログをクリアすることもできます。ただし、この操作には管理者権限が必要な場合があります。
ログをクリアするには、左側のパネルからサブカテゴリを選択し、「ログのクリア」を選択します。
イベント ビューアは、ログのクリアを決定する前に警告をスローします。
結果は次のようになります。
結論
このガイドでは、イベント ビューアーを使用して Windows イベント ログを確認する方法を説明しました。また、ログ内の移動方法、カスタム フィルターの適用方法、ログのバックアップとインポート方法なども学びました。
快適なコンピューティングを!