Windowsの動作状況に関する記録(イベントログ)は独自形式になっていて、[イベントビューア]管理ツールを使って表示する。そこで今回は、イベントログの確認方法と、そのイベントログを保存しておく方法について取り上げる。

[イベントビューア]によるログ確認

イベント ログには「情報」「警告」「エラー」という分類があるが、特に「警告」と「エラー」が発生している時は注意が必要だ。イベントログの内容を参考に、調査・対策を速やかに行う必要があることが少なくない。その際に必要となる[イベントビューア]管理ツールは、以下の方法で実行できる。

• [サーバーマネージャ]で[診断]-[イベントビューア]以下のツリーを展開
• [スタート]-[管理ツール]-[イベントビューア]を選択
• [スタート]-[管理ツール]-[コンピュータの管理]を選択して[コンピュータの管理]管理ツールを起動してから、左側のツリー画面で[システムツール]-[イベントビューア]以下のツリーを展開

イベントログは、[Windowsログ]以下に以下のカテゴリを設けて、イベントの種類ごとに分けて記録している。

• システムログ(Windows自身の動作について記録する)
• アプリケーション(Windows上で動作するアプリケーションソフトについて記録する)
• セキュリティ(セキュリティ監査について記録する)
• Setup(セットアップ関連の情報について記録する)

例えば、システム起動時に[システム]ログでエラーや警告のイベントログが発生している場合は、ハードウェアあるいはソフトウェアに何らかの問題が発生している可能性がある。また、[アプリケーション]ログでエラーや警告のイベントログが発生している場合には、サーバで動作するアプリケーションソフトにトラブルが発生している可能性がある。

いずれも、[Windowsログ]以下にあるツリーを展開して個々のカテゴリを選択すると、そのカテゴリに属するイベントの一覧を画面中央に表示する。Windows Server 2008から、画面中央をさらに上下に二分割して、上でクリックして選択したイベントログの内容を、下側に表示するようになった。従来と同様にダブルクリックして別画面で表示させることもできるが、表示内容は同じだ。

また、[Windowsログ]自体を選択すると、記録してあるイベントの数やログのサイズを確認できる。

前回取り上げたように、[サーバーマネージャ]には役割や機能ごとにイベントログを確認する機能がある。また、[DNS]管理ツールのように、管理対象に関連するイベントログを表示するためにイベントビューアと同じ機能を備えているものもある。ただし、これらは関連するデータだけを表示するようになっている点に注意が必要だ。

このほか、[カスタム ビュー]以下には特定のサーバ機能に関連するイベントログだけを表示する機能があり、たとえばドメインコントローラやDNSサーバの役割を追加したときに利用できる。

[イベントビューア]のログ保存

イベントログは、単にその場で情報を得る手段というだけでなく、動作状況に関する証拠という意味合いもある。特にセキュリティログは、監査の設定によってファイルへのアクセス状況などを記録できるため、セキュリティ対策や法令遵守のために記録を保存したいというニーズもあるだろう。

[イベントビューア]で記録できるログには、サイズの上限がある(そうしないとハードディスクがログでいっぱいになってしまう可能性がある)。既定値では20MBが上限だが、記録されるログの数は案外と多いうえ、エラーの多発が原因で予想外に早く容量が限界に達することもあり得る。

その場合、上限のサイズを拡大するか、設定した期限を待たずに新しいイベントで古いイベントを上書きするように指定する。既定値は上書きになっているので、イベントログが溜まると古いログがどんどん消えてしまうが、それでは証拠の保存にならない。

サイズと上書きの可否に関する設定は、[システム][アプリケーション]といったイベントのカテゴリごとに、[操作]-[プロパティ]を選択するか、あるいは右クリックメニューで[プロパティ]を選択すると表示するダイアログで行う。このダイアログでは、右下隅にある[ログの消去]によって、既存のログの消去も可能である。

古いログが上書きされては困る場合、上書きを禁止できる。しかし、単に禁止するだけでは、サイズ上限に達したところでイベントログを書き込めなくなってしまう。そのため、前述のダイアログで[イベントを上書きしないでログをアーカイブする]を選択するか、手作業でイベントログをエクスポートする方法で対処する。

この操作もイベントのカテゴリごとに行う。エクスポートしたいイベントのカテゴリを選択してから、[操作]-[イベントに名前を付けて保存]を選択するか、あるいは右クリックして[イベントに名前を付けて保存]を選択する。続いて表示するダイアログでファイル名と保存場所を指定すればよい。

エクスポートされたファイルは「*.evtx」という拡張子を持ち、エクスプローラでファイルをダブルクリックすると、イベントビューアが起動して表示する仕組みだ。

カスタムビューの使用例

イベントビューアの既定値ではすべてのイベントを表示するが、特定の種類のイベントだけ表示させることもできる。これは、ノイズを減らす観点から見て有用な機能と言える。

これを実現するには、設定を行いたいイベントの種類を選択して、[操作]-[カスタムビューの作成]、あるいは右クリックして[カスタムビューの作成]を選択すると表示するダイアログを使う。

ここで、日付の範囲を[ログの日付]で選択できるほか、表示するイベントログの種類やイベントログのソース(発生元)などを限定できる。それによって不要なログを表示しないようにして、大量のログの山に埋もれる事態を回避できる。ただし、表示しないように設定したイベント ログの中に重要なものが含まれている可能性もあるので、特定のイベントログを探す場面に限定して、表示内容を絞り込むほうが良いかもしれない。