Windowsイベントログは、システムの問題を診断し、将来の問題を予測するために管理者が使用するWindowsオペレーティングシステムによって保
アプリケーションとオペレーティングシステム(OS)は、これらのイベントログを使用して、管理者がオペレーティングシステムの問題のトラブルシューティング Windowsオペレーティングシステムは、アプリケーションのインストール、セキュリティ管理、初期起動時のシステムセットアップ操作、問題やエラーなど、ログファイ
Windowsイベントログの要素
ログエントリ内の各イベントには、次の情報が含まれています。
Date:イベントが発生した日付。
時刻:イベントが発生した時刻。
User:イベントが発生したときにマシンにログオンしたユーザーのユーザー名。
コンピュータ:コンピュータの名前。
イベントID: イベントの種類を指定するWindows id番号。
ソース:イベントの原因となったプログラムまたはコンポーネント。
タイプ:情報、警告、エラー、セキュリティ成功監査またはセキュリティ失敗監査を含むイベントのタイプ。
たとえば、情報イベントは次のように表示されます。
Information5/16/2018 8:41:15AM Service Control Manager7036None
警告イベントは次のように表示されます。
Warning5/11/2018 10:29:47AM Kernel-Event Tracing1Logging
エラーイベントは次のように表示されることがあります。
error5/16/2018 8:41:15Am Service Control Manager7001None
重大なイベントは次のようになります。
Critical5/11/2018 8:55:02Am Kernel-Power41 (63)
Windowsイベントログに格納されている情報の種類
Windowsオペレーティングシステムは、アプリケーション、セキュリティ、セットアップ、システム、および転送されたイ WindowsはイベントログをC:\WINDOWS\system32\config\フォルダ。
アプリケーションイベントは、ローカルコンピュータにインストールされているソフトウェアのインシデントに関連します。 Microsoft Wordなどのアプリケーションがクラッシュした場合、Windowsイベントログは、問題、アプリケーション名、およびクラッシュした理由に関するログエントリを作
セキュリティイベントは、Windowsシステムの監査ポリシーに基づいて情報を格納し、格納される一般的なイベントにはログイン試行とリソースアクセス たとえば、ユーザーがコンピューターにログオンしようとしたときに、コンピューターがアカウントの資格情報を確認しようとしたときに、セキュリティログに
セットアップイベントには、ディスク構成後のログの場所など、ドメインの制御に関連する企業に焦点を当てたイベントが含まれます。
システムイベントは、デバイスドライバの状態など、Windows固有のシステム上のインシデントに関連します。
転送されたイベントは、管理者が複数のログを収集するコンピュータを使用する場合に、同じネットワーク上の他のマシンから到着します。
イベントビューアの使用
マイクロソフトは、Windowsイベントログを表示するために、Windowsサーバーおよびクライアントオペレーティングシステムにイベントビューア ユーザーは、スタートボタンをクリックし、検索フィールドにイベントビューアを入力してイベントビューアにアクセスします。 その後、ユーザーは目的のログを選択して検査することができます。
Windowsのイベントビューアアプリケーションは、すべてのイベントを重大度レベルで分類します。 重大度の順に表示されるレベルは、情報、警告、エラー、および重要です。
ほとんどのログは情報ベースのイベントで構成されています。 このエントリのログは、通常、イベントが問題なく発生したことを意味します。 システムベースの情報イベントの例は、システムがスリープモードに入っていることを示すイベント42、Kernel-Powerです。
警告レベルのイベントは、記憶領域の不足などの特定のイベントに基づいています。 警告メッセージは、すぐに対処する必要がない可能性のある潜在的な問題に注意を喚起する可能性があります。 イベント51、ディスクは、マシンのドライブ上のページングエラーに関連するシステムベースの警告の例です。
エラーレベルは、デバイスが期待どおりにロードまたは動作に失敗した可能性があることを示します。 イベント5719、NETLOGONは、コンピュータがドメインコントローラとのセキュリティで保護されたセッションを構成できない場合のシステムエラーの例です。
クリティカルレベルのイベントは、最も深刻な問題を示します。 イベントID41、Kernel-Powerは、クリーンシャットダウンなしでマシンが再起動するときの重要なシステムイベントの例です。
Windowsイベントログを表示するその他のツール
Microsoftは、イベントログを取得し、クエリを実行し、ログをエクスポートし、ログをアーカイブし、ログをクリアするSystem32
Windowsイベントログでも動作するサードパーティのユーティリティには、リアルタイムのイベント相関と修復、ファイルの整合性の監視、USBデバイスの監視、脅威の検出を提供するSolarWinds Log&Event Managerが含まれています。 Log&Event Managerは、サーバー、アプリケーション、ネットワークデバイスからログを自動的に収集します。
ManageEngine EventLog Analyzerは、ログデータからカスタムレポートを作成し、特定のイベントに基づいてリアルタイムのテキストメッセージと電子メールアラートを送信します。
PowerShellを使用してイベントをクエリする
Microsoftは、EVTX拡張子を持つextensible markup language(XML)形式でWindowsイベントログを構築します。 XMLは、より詳細な情報と構造化データの一貫した形式を提供します。
管理者は、Get-WinEvent PowerShellコマンドレットを使用して複雑なXMLクエリを作成し、クエリからイベントを追加または除外できます。