このページの本文へ

前へ 1 2 3 次へ

Windows Info 第204回

Windowsの再起動とその原因をイベントログから探る

2020年01月02日 10時00分更新

文● 塩田紳二 編集● ASCII

  • この記事をはてなブックマークに追加
  • 本文印刷

関数にしてまとめる

 とりあえず、処理の仕方がわかったので、必要なものをまとめた。一部説明を省いた部分もあるが、以下のリストが必要なコマンドを関数化したものだ。

function global:proclog {
  param($logPath)
  $mylog = $(Convert-Path $logPath)
# 理由を説明する変数
  $myres=@{
    12="開始(Kernel-General)";
    13="再起動(Kernel-General)";
    44="ダウンロード開始(Windows Update)";
    43="インストール開始(Windows Update)";
    19="インストール正常終了(Windows Update)";
    216="コミット成功(Windows Update)";
    218="コミット開始(Windows Update)";
    1073="再起動失敗(User32)";
    1074="再起動要求(User32)";
    6008="予期しないシャットダウン(Eventlog)"}
# 時刻の出力フォーマット
  $myTfmt= "yyyy/MM/dd HH:mm:ss.fffffff"
# 起動
  Get-WinEvent -Path $mylog -FilterXPath "Event/System[ EventID=12 and Provider[@Name='Microsoft-Windows-Kernel-General']]" -ErrorAction SilentlyContinue | ForEach-Object { "{0}`t{1}`t{2}`t{3}" -F ($_.TimeCreated.ToString($myTfmt)),($_.RecordID),($myres[$_.id]),($_.Properties.value[6]) }
# 再起動
  Get-WinEvent -Path $mylog -FilterXPath "Event/System[ EventID=13 and Provider[@Name='Microsoft-Windows-Kernel-General']]" -ErrorAction SilentlyContinue | ForEach-Object { "{0}`t{1}`t{2}`t{3}" -F ($_.TimeCreated.ToString($myTfmt)),($_.RecordID),($myres[$_.id]),($_.Properties.value[0]) }
# User32
  Get-WinEvent -Path $mylog -FilterXPath "Event/System[ (EventID=1073 or EventID=1074) and Provider[@Name='User32']]" -ErrorAction SilentlyContinue | ForEach-Object {"{0}`t{1}`t{2}`t{3}" -F ($_.TimeCreated.ToString($myTfmt)),($_.RecordID),($myres[$_.id]),($_.Properties.value[2]) }
# Windows Update
  Get-WinEvent -Path $mylog -FilterXPath "Event/System[ (EventID=19 or EventID=43 or EventID=44) and Provider[@Name='Microsoft-Windows-WindowsUpdateClient']]" -ErrorAction SilentlyContinue | Where-Object { $_.Properties.value[0] -match "機能|Insider|Feature|累積|Cumulative|Language" } | ForEach-Object { "{0}`t{1}`t{2}`t{3}" -F ($_.TimeCreated.ToString($myTfmt)),($_.RecordID),($myres[$_.id]),($_.Properties.value[0]) }
# EventLog
  Get-WinEvent -Path $mylog -FilterXPath "Event/System[ EventID=6008 and Provider[@Name='EventLog']]" -ErrorAction SilentlyContinue | ForEach-Object { "{0}`t{1}`t{2}`t{3}" -F ($_.TimeCreated.ToString($myTfmt)),($_.RecordID),($myres[$_.id]),($_.message) }
  }

 PowerShellではプログラムはバッチファイル同様テキストファイルにして、拡張子を適当につける(proclist.ps1とした)。拡張子で自動実行はされないので、名前は適当でかまわない。管理者でPowerShellを起動し、カレントディレクトリにプログラムファイルがあるとして

.\proclist.ps1
proclist イベントログファイルへのパス

とすれば、必要なイベントを抜き出したものが出力される。必要に応じて、csファイルなどにリダイレクトしてExcelで見ればいいだろう。

 Windowsのイベントログには細かな情報があり、ちゃんと調べると、いろいろなことがわかる。しかし、あまりに量があるため、必要なものだけを抜き出す必要がある。とりあえずはイベントビューアーで眺め、必要なログの「ソース」と「EventID」を調べ、Get-WinEventで抜き出してみるといいだろう。

 なお、詳細な情報は、メッセージの中に埋め込まれるPropertiesの中にあることが多い。これに関してはソース/EventIDごとに構造が違うので、それぞれのxml形式を見るしかない。その上で、今回使ったようなパターンで必要なイベントを抜き出し、Excelで処理させるとよい。

前へ 1 2 3 次へ

カテゴリートップへ

この連載の記事

注目ニュース

ASCII倶楽部

プレミアムPC試用レポート

ピックアップ

ASCII.jp RSS2.0 配信中

ASCII.jpメール デジタルMac/iPodマガジン