| イベントビューアログ | |
|---|---|
 | |
 Windows 10のイベントビューアー | |
| 開発者 | マイクロソフト |
| オペレーティング·システム | マイクロソフトウィンドウズ |
| サービス名 | Windows イベント ログ ( eventlog ) |
| タイプ | ユーティリティソフトウェア |
イベントビューアは、 MicrosoftのWindows NTオペレーティングシステムのコンポーネントであり、管理者とユーザーはこれを使用して、ローカルまたはリモートマシン上のイベントログ(通常はファイル拡張子.evtが および )を閲覧できます。アプリケーションとオペレーティングシステムコンポーネントは、この集中ログサービスを使用して、コンポーネントの起動失敗やアクションの完了失敗など、発生したイベントを報告できます。Windows Vistaでは、Microsoftはイベントシステムを全面的に改良しました。[ 1 ].evtx
イベント ビューアーは、起動時や処理時の軽微なエラー(実際にはコンピュータに害や損傷を与えるものではありません)を定期的に報告するため、テクニカル サポート詐欺師は、被害者を騙してコンピュータに重大なエラーが発生し、すぐにテクニカル サポートが必要であると思わせるために、このソフトウェアを頻繁に使用します。[ 2 ]一例として、「カスタム ビュー」の「管理イベント」フィールドには、1 か月にわたって 1,000 件を超えるエラーや警告が記録されることがあります。
概要
Windows NT は 1993 年のリリース以来、イベント ログ機能を備えています。
イベントビューアーは、イベントIDを使用して、Windowsコンピューターで発生する可能性のある一意に識別可能なイベントを定義します。例えば、ユーザーの認証に失敗した場合、システムはイベントID 672を生成することがあります。
Windows NT 4.0 では、「イベント ソース」(つまり、イベントを作成したアプリケーション) の定義とログのバックアップの実行のサポートが追加されました。
Windows 2000では、システム定義の3つの「システム」、「アプリケーション」、「セキュリティ」ログファイルに加えて、アプリケーションが独自のログソースを作成できるようになりました。また、Windows 2000では、NT4のイベントビューアがMicrosoft管理コンソール(MMC)スナップインに置き換えられました。
Windows Server 2003AuthzInstallSecurityEventSource()では、アプリケーションがセキュリティイベントログに登録し、セキュリティ監査エントリを書き込むことができるようにAPI呼び出しが追加されました。 [ 3 ]
Windows NT 6.0カーネルをベースとするWindowsのバージョン(Windows VistaおよびWindows Server 2008)では、合計サイズに対する300MBの制限がなくなりました。NT 6.0より前のバージョンでは、システムはディスク上のファイルをカーネルメモリ空間内のメモリマップファイルとして開き、他のカーネルコンポーネントと同じメモリプールを使用していました。
イベントビューアのログ ファイルはevtx通常、次のようなディレクトリに表示されます。C:\Windows\System32\winevt\Logs\
コマンドラインインターフェース
| eventquery.vbs、eventcreate、eventtriggers | |
|---|---|
| 開発者 | マイクロソフト |
| 初回リリース | 2001年10月25日 (2001年10月25日) |
| オペレーティング·システム | マイクロソフトウィンドウズ |
| タイプ | 指示 |
| ライセンス | 独自の商用ソフトウェア |
| Webサイト | docs |
Windows XP では、タスクの自動化に役立つ 3 つのコマンドライン インターフェイスツールが導入されました。
eventquery.vbs– イベントログに基づいてクエリ、フィルタリング、結果を出力する公式スクリプト。[ 4 ] XP以降は廃止されました。eventcreate– カスタムイベントをログに記録するコマンド(Vistaおよび7でも継続)。[ 5 ]eventtriggers– イベント駆動型タスクを作成するコマンド。[ 6 ] XP以降は廃止され、「このイベントにタスクを添付する」機能に置き換えられました。つまり、イベントリスト内からRight-Click単一のイベントを選択し、ポップアップメニューから選択するようになりました。
ウィンドウズ ビスタ
イベント ビューアーは、Windows Vista 上で書き直されたイベント トレースおよびログ記録アーキテクチャで構成されています。 [ 1 ]構造化されたXMLログ形式と指定されたログ タイプを中心に書き直されたため、アプリケーションはイベントをより正確にログに記録でき、サポート技術者や開発者はイベントをより簡単に解釈できるようになりました。
イベントのXML表現は、イベントプロパティの「詳細」タブで確認できます。また、 wevtutilユーティリティを使用することで、イベントが発生する前であっても、 発生する可能性のあるすべてのイベント、その構造、登録されているイベント発行者、およびその設定を確認することも可能です。
イベントログには、管理ログ、運用ログ、分析ログ、デバッグログなど、多種多様な種類があります。スコープペインで「アプリケーションログ」ノードを選択すると、多数の新しいサブカテゴリに分類されたイベントログが表示されます。その中には、診断ログと呼ばれるログも多数含まれています。
頻度の高い分析イベントとデバッグ イベントはトレース ファイルに直接保存されますが、管理イベントと操作イベントは頻度が低いため、システム パフォーマンスに影響を与えずに追加の処理を実行できるため、イベント ログ サービスに配信されます。
イベントは非同期的に発行されるため、イベント発行アプリケーションへのパフォーマンスへの影響を軽減できます。イベント属性もより詳細になり、イベントID、レベル、タスク、オペコード、キーワードなどのプロパティが表示されます。
XPath 1.0 を使用したフィルタリング
ユーザーは、1つ以上の基準、または限定的なXPath 1.0式でイベントログをフィルタリングでき、1つ以上のイベントに対してカスタムビューを作成できます。クエリ言語としてXPathを使用することで、特定のサブシステムまたは特定のコンポーネントのみの問題に関連するログのみを表示したり、選択したイベントをアーカイブしたり、トレース情報を即座にサポート技術者に送信したりできます。
新しいウィンドウ イベント ログの簡単なカスタム フィルターの例を次に示します。
| タスク | フィルター |
|---|---|
| セキュリティ イベント ログで、関係するアカウント名 (TargetUserName) が「JUser」であるすべてのイベントを選択します。 | <QueryList><QueryId="0"Path="Security"><SelectPath="Security">*[EventData[Data[@Name="TargetUserName"]="JUser"]]</Select></Query></QueryList> |
| イベントデータセクションの任意のデータノードが文字列「JUser」であるセキュリティイベントログ内のすべてのイベントを選択します。 | <QueryList><QueryId="0"Path="Security"><SelectPath="Security">*[EventData[Data="JUser"]]</Select></Query></QueryList> |
| イベントデータセクションの任意のデータノードが「JUser」または「JDoe」であるセキュリティイベントログ内のすべてのイベントを選択します。 | <QueryList><QueryId="0"Path="Security"><SelectPath="Security">*[EventData[Data="JUser"orData="JDoe"]]</Select></Query></QueryList> |
| セキュリティ イベント ログで、EventData セクションの任意のデータ ノードが「JUser」で、イベント ID が「4471」であるすべてのイベントを選択します。 | <QueryList><QueryId="0"Path="Security"><SelectPath="Security">*[System[EventID="4471"]]and*[EventData[Data="JUser"]]</Select></Query></QueryList> |
| 2つの@Nameを持つGoldmineというパッケージの実際の例 | <QueryList><QueryId="0"Path="Application"><SelectPath="Application">*[System[Provider[@Name='GoldMine'or@Name='GMService']]]</Select></Query></QueryList> |
注意:
- マイクロソフトのXPath実装には限界がある[ 7 ]
- XPath文字列関数を使用したクエリはエラーになります[ 8 ]
イベント購読者
主要なイベント サブスクライバーには、イベント コレクター サービスとタスク スケジューラ2.0 が含まれます。イベント コレクター サービスは、Windows Vista、Windows Server 2008、またはWindows Server 2003 R2を実行している他のリモート システムに、設定可能なスケジュールに従ってイベント ログを自動的に転送できます。イベント ログは他のコンピュータからリモートで表示することも、複数のイベント ログをエージェントなしで集中的に記録・監視し、1 台のコンピュータから管理することもできます。イベントはタスクに直接関連付けることもできます。タスクは再設計されたタスク スケジューラで実行され、特定のイベントが発生したときに自動アクションをトリガーします。
参照
参考文献
- ^ a b「Windows Vista のイベント管理用の新しいツール」。TechNet。Microsoft。2006年11月。
- ^アンダーソン、ネイト(2012年10月4日)。「Windowsから電話しています」:テクニカルサポート詐欺師がArs Technicaに電話をかける。Ars Technica。
- ^ "AuthzInstallSecurityEventSource 関数" . MSDN . Microsoft . 2007年10月5日閲覧。
- ^ LLC)、Tara Meyer (Aquent。「Eventquery.vbs」。docs.microsoft.com 。
- ^ LLC)、Tara Meyer (Aquent。「Eventcreate 」。docs.microsoft.com 。
- ^ LLC)、Tara Meyer (Aquent。「Eventtriggers 」。docs.microsoft.com 。
- ^ 「 Windowsイベント ログにおける XPath 1.0のMicrosoft 実装と制限事項」。MSDN。Microsoft。2009年8月 7 日閲覧。
- ^ 「Xpathクエリを使用してイベントをフィルタリングするPowershellスクリプト」 。 2011年9月20日閲覧。
外部リンク
- 公式ソース:
- イベント ビューアー - Microsoft LearnのInside Show
- Microsoft Learnのイベントとエラー(Windows Server 2008)
