【Windows】イベントログ/イベントビューアー 起動とフィルター

2022.09.11
Windowsでは、自身の稼働ログをイベントログに記録します。通常運用時は、あまり見ることはありませんが、システムトラブル対応などで、調査する際に参照します。
今回は、Windows Server 2019 を使用して、イベントビューアーの使用方法を確認していきます。
イベントビューアーの中にイベントログが記録されます。
スポンサーリンク

イベントビューアーの起動

起動方法は、何パターンかあります。

スタートメニューから起動

一番簡単な起動方法です。スタートメニューを右クリックし、イベントビューアーを選択することで、起動します。

コマンド起動(eventvwr)

スタートメニューより「ファイル名を指定して実行」にて、eventvwr と入力し、OKをクリックすると、イベントビューアが起動します。

サーバーマネージャー

Windows Serverであれば、サーバーマネージャー >> ツールより、イベントビューアーを起動することができます。
スポンサーリンク

イベントビューアーの表示構成

下記のとおり、大きく3列(表示項目、イベントログ、操作)の枠で構成されています。

表示項目

カスタムビュー」「Windowsログ」「アプリケーションとサービスログ」「サブスクリプション」に分かれます。
  • カスタムビュー:複数のイベントログ表示をまとめたり、フィルター表示することができます。詳細は後述します。
  • Windowsログ:「Application」「セキュリティ」「Setup」「システム」「Forwarded Events」に分かれます。「Application」「セキュリティ」「システム」は実務で一番よく参照する項目です
  • アプリケーションとサービスログ:各アプリケーションに対して、開発者が独自に追加したログ
  • サブスクリプション:他のWindowsサーバのイベントログを収集することができますが、実務で使用する機会は少ないかと思います。

イベントログ

実際のイベントログが表示されます。イベントのレベルとして、重大エラー警告情報などがあります。各イベントログには、日付と時刻ソースイベントIDがあり、ログの説明も表示されます。
下記は、Windowsログのシステムで、イベントのレベルが情報、イベントID:19として、更新プログラムに成功したログの例です。

操作

表示項目、イベント毎に、ログ表示のフィルタなど実行できます。
下記は、Windowsログのシステムにて、イベントID:19の更新プログラムに成功したログを選択し、システム、および選択したイベントに対して、操作できる画面です。

スポンサーリンク

ログのフィルタ表示

ログ調査する場合、エラーだけを確認したり、日時の範囲を限定したりする場合がよくあります。ここでは、よく実務で使用する操作について、手順を確認します。

管理イベントの要約

手っ取りばやく、エラーや警告のログを確認したい場合、トップ画面の「概要、および要約」の管理イベントの要約で確認できます。

上の例の場合、過去1時間で、エラーが2件出力されています。展開すると、エラーのイベントIDとソース、ログの名前が表示されます。

例えば、一番上のイベントID 304 をクリックすると、カスタムビューで、「イベントの要約ページ」という項目が追加され、そのイベントログのみが表示されます。

カスタムビュー

日時の範囲を絞ったり、イベントレベルやイベントIDをもとに、ログ表示をフィルタする場合は、カスタムビューを使用すると便利です。
表示項目のカスタムビューを右クリックし、カスタムビューの作成をクリックします。

下記のように、フィルタ条件を設定できる画面が表示されます。

ログの日付

過去時間の範囲を制限して、表示することができます。

ユーザー設定の範囲」を選択すると、日時の範囲を指定することができます。
日時を指定する場合は、プルダウンで、「次の日時」を選択することで、設定できるようになります。

例えば、2022/9/10 00:00:00 から最新のイベントまでを表示したい場合は下記のように登録します。

イベントレベル

重大~情報まで、選択できます。実務では情報レベルまで表示すると、大量なログが表示されるので、下記のように重大、警告、エラーだけに絞る場合もあります

ログごと

表示項目を選択します。「Windowsログ」と「アプリケーションとサービスログ」から、一部のログに限定することができます。
実務では、「アプリケーションとサービスログ」まで含めると大量なログが表示される(場合によっては、クエリーが多くエラーになる)ので、下記のように、「Windowsログ」のApplication、セキュリティ、システムで絞る場合もあります

ログごと」を選択すると、下の「ソースごと」は選択できません。

ソースごと

ログソースを選択します。調べたいログのソースが限定されている場合に便利です。「ソースごと」を選択すると、「ログごと」は選択できません。

イベントID/キーワード/ユーザ/コンピュータ

イベントIDなどで、フィルターすることができます。

例えば、イベントID 5719 でフィルターする場合、下記のように登録します。

フィルタの設定例

下記の条件でフィルタをしてみます。
  • ログの日付:2022/9/10 00:00:00 からのすべて
  • イベントレベル:重大、警告 エラー
  • ログごと:Application、セキュリティ、システム
  • イベントID:5719

カスタムビューの名前と保存する場所を選択できます。
名前は任意の文字(今回は、ID-5719フィルタとします)を入力し、OKをクリックします。

下記のように、カスタムビューが作成されます。
カスタムビューは、運用などで、フィルタされたログを反復して参照する場合に便利です。

現在のログをフィルター

一時的に、ログフィルターして参照したい場合は、カスタムビューを作成せず、対象のログを直接フィルターして方が便利です。
例えば、システムのログに対してフィルターを適用して参照したい場合は、「システム」を右クリックし、「現在のログをフィルター」を選択します。

フィルターできる内容はカスタムビューと同様です。

フィルターを解除したい場合は、「システム」を右クリックし、「フィルターのクリア」を選択します。

カスタムビューの作成」や「現在のログをフィルター」は、画面右の操作ウインドウでも実施できます。

上の例で、システムログに対して、「カスタムビューの作成」を選択すると、「ログごと」で、はじめから「システム」が選択された状態で、フィルターを登録できます。

コメント