レッツ! Windows 7 - システム編 「イベントビューアー」を活用する

イベントビューアーの構成

まずは図10をご覧ください。MMCは通例的に画面を3ペインにわけ、左ペインはコンソールツリーと呼ばれる階層ツリーが示され、右ペインは選択した項目によって操作内容が変化する操作ウィンドウ、中央にはコンソールツリーで選択した内容が表示されます。また、コンソールツリーおよび操作ウィンドウはツールバーのボタンから表示・非表示を切り替えられますので、操作に慣れてきた方は操作ウィンドウだけ非表示にしますと、作業がしやすくなるでしょう（図10～11）。

コンソールツリーには、「カスタムビュー」「Windowsログ」「アプリケーションとサービスログ」「サブスクリプション」と四つのフォルダーが用意され、各サブフォルダーにイベントログやカスタムログが格納されています。一つめのカスタムビューは、各イベントログの条件に応じてフィルタリングしたイベントを表示するためのフォルダー。一般的な環境では「管理イベント」のみ加わりますが、コンピューターが備えるデバイスや導入したアプリケーションによって列挙するログは変化します。

二つめの「Windowsログ」は、「アプリケーション」「セキュリティ」「システム」といったWindows 7の直結するイベントログが格納されます。Windows XP時代からイベントビューアーを使ってきた方にはお馴染みのフォルダーですが、初めての方向けに概要を解説しましょう。「アプリケーション」は主にサービスの実行結果やエラーなどを記録するイベントログ。「セキュリティ」はWindows 7上で発生するセキュリティ監査に関するイベントログを格納し、特定ファイルの読み取りやログオンアクションの有無などが含まれます。

「Setup」は修正プログラムの導入に関するイベントログを含み、ソースで示される「WUSA」はWindows Updateスタンドアロンインストーラーの動作結果を指します。「システム」はWindows 7の標準的なサービスやデバイスドライバなどが、起動時の処理結果を記録するイベントログ。「Forwarded Events」はほかのコンピューターが記録した情報を格納するイベントログ。通常は何も表示されません。

三つめの「アプリケーションとサービスログ」は、各アプリケーションやサービスが独自に生成するイベントログです。Microsoftは当初、「ベンダー\アプリケーション\イベントログ」という階層的に管理するように設計したようですが、自社製品（Internet ExplorerやMedia Centerなど）もこのルールを守らず、独自のイベントログをフォルダーのルートに生成しているため、少々煩雑な状態になっています。

四つめの「サブスクリプション」は、Windows Vistaから設けられたものですが、ほかのフォルダーとは少々扱いが異なり、同フォルダーをクリックしますと、サブスクリプション（購読）の確認をうながされることでしょう。これは、各コンピューターで発生したイベントを特定のマシン（例えば、Windows Server 2008R2を導入したサーバー）に転送する機能です（図12）。

コンシューマーとしてWinodws 7を使っているユーザーにはピンと来ない部分ですが、複数のWindows 7マシンやWindows Server 2008マシンを立ち上げている場合、一台のコンピューターから各マシンの状態を把握するといった場面を思い浮かべてください。なお、これらのデータは「%windir%\System32\Winevt\Logs」フォルダーにバイナリファイルとして格納されており、拡張子「.evtx」を持つイベントログファイルをダブルクリックしますと、「保存されたログ」という新しいフォルダーが生成され、同フォルダー下から閲覧できます（図13～14）。

イベントビューアーを見る

イベントビューアーの概要を理解したところで、具体的なイベントログの見方を説明しましょう。コンソールツリーから任意のフォルダー、カテゴリと開き、イベントログを選択すると中央下ペインに内容が表示されます。ここで注目すべきは「レベル」と「イベントID」、そして中央に示された文書の三つ（図15）。

レベルの正しい名称はイベントレベルであり、イベントログの内容に合わせて変化します。内容によって「重大」「警告」「詳細」「エラー」「情報」の五種類が用意されており、「情報」はアプリケーションやサービスの実行結果が示されますので、特に気にする必要はありません。ポイントは黄色いアイコンが付加する「警告」と、赤いアイコンが付加する「重大」と「エラー」。

「警告」は文字どおり実行結果に不具合はありますが、エラーに直結するものではないイベントログに付けられます。例えばMatsvc（Microsoft Automated Troubleshooting Service）が発するプロキシサーバーの検出エラーや、アプリケーションの互換性エラー時に付けられますが、ウイルス対策ソフトによっては、ウイルス検知時のイベントとして同レベルを用いることも。

「重大」と「エラー」は同じアイコンが用いられていますが、その内容には大きな開きがあります。前者はカーネルレベルで生じたエラーやデバイスドライバのクラッシュ、アプリケーションの互換性問題によるハードブロックが発生したイベントログに付けられ、後者はアプリケーションやサービス実行時にエラーが発生したイベントログに付くというもの。そのため、コンピューターが不安定になっている原因を、大量のイベントログから探すには、「警告」「重大」「エラー」の三つをチェックすると良いことになります。

次にチェックすべきは「イベントID」の数値。最初に紹介したイベントログ文書を読んでも、どこに原因があるのか見つけ出せない場合があるのでしょう。そこで役立つのがこのイベントID。ネット上で検索するための指針となります（図16～17）。

日本語リソースは用意されていませんが、イベントIDとソースを用いてイベントログの検索を行うEventID.net(http://www.eventid.net/search.asp)も有益なサイトです。検索結果だけ見ますと、先に示した文書が英文になっただけのように見えますが、「Comments～」のリンクを開きますと、各ユーザーがコメントした実際のトラブルシューティング方法が示されていることが多いため、コンピューターの安定化に一役買うことになるでしょう（図18～19）。

イベントビューアーを見やすくする

コンピューターを使い続けていきますと、必然的に大量のイベントログが溜まりますので、これらのなかから目的のイベントログを見つけ出すのは面倒な作業となるでしょう。そこでお試し頂きたいのがイベントログのフィルター機能。ダイアログから日付けやイベントレベルといった設定項目を指定することで、イベントログの絞り込みが可能になります。

画面の例ではイベントレベルを用いた絞り込みを行いましたが、「ログの日付け」のドロップダウンリストからは、過去1/12/24時間から7/30日間といったプリセット設定、ユーザー設定の範囲を選ぶことで、任意の期間に絞り込むこともできます。周辺機器の追加などコンピューター環境が大きく変化した日から現在に範囲を絞り込む、トラブルの原因を探し出しましょう（図20～21）。

有益なフィルター機能ですが、イベントビューアーを再起動すると同設定は消えてなくなります。そこで特定のイベントログのみ表示するカスタムビューを作成しましょう。絞り込み設定は前述のフィルター機能と同じですが、ここでは対象となるイベントログの範囲を広げましょう。操作は「Windowsログ」「アプリケーションとサービスログ」両者を選択するだけですが、含まれるカテゴリ数が多いため、警告ダイアログが現れます（図22～26）。

そのまま進めれば、特定のイベントログのみ表示するカスタムビューを作成できますが、クエリ数が多いと取りこぼしが発生し、すべてのイベントログを表示できませんので、その際は絞り込み範囲を狭めてやり直しましょう（図27～28）。

なお、カスタムビューはXMLファイル形式で出力できますので、同様の設定をほかのWindows 7マシンにも適用する場合は、エクスポート機能を使いましょう。なお、生成したXMLファイルをインポートするには、＜操作＞メニューの＜カスタムビューのインポート＞を選択してください（図29～30）。