関数にしてまとめる
とりあえず、処理の仕方がわかったので、必要なものをまとめた。一部説明を省いた部分もあるが、以下のリストが必要なコマンドを関数化したものだ。
function global:proclog {
param($logPath)
$mylog = $(Convert-Path $logPath)
# 理由を説明する変数
$myres=@{
12="開始(Kernel-General)";
13="再起動(Kernel-General)";
44="ダウンロード開始(Windows Update)";
43="インストール開始(Windows Update)";
19="インストール正常終了(Windows Update)";
216="コミット成功(Windows Update)";
218="コミット開始(Windows Update)";
1073="再起動失敗(User32)";
1074="再起動要求(User32)";
6008="予期しないシャットダウン(Eventlog)"}
# 時刻の出力フォーマット
$myTfmt= "yyyy/MM/dd HH:mm:ss.fffffff"
# 起動
Get-WinEvent -Path $mylog -FilterXPath "Event/System[ EventID=12 and Provider[@Name='Microsoft-Windows-Kernel-General']]" -ErrorAction SilentlyContinue | ForEach-Object { "{0}`t{1}`t{2}`t{3}" -F ($_.TimeCreated.ToString($myTfmt)),($_.RecordID),($myres[$_.id]),($_.Properties.value[6]) }
# 再起動
Get-WinEvent -Path $mylog -FilterXPath "Event/System[ EventID=13 and Provider[@Name='Microsoft-Windows-Kernel-General']]" -ErrorAction SilentlyContinue | ForEach-Object { "{0}`t{1}`t{2}`t{3}" -F ($_.TimeCreated.ToString($myTfmt)),($_.RecordID),($myres[$_.id]),($_.Properties.value[0]) }
# User32
Get-WinEvent -Path $mylog -FilterXPath "Event/System[ (EventID=1073 or EventID=1074) and Provider[@Name='User32']]" -ErrorAction SilentlyContinue | ForEach-Object {"{0}`t{1}`t{2}`t{3}" -F ($_.TimeCreated.ToString($myTfmt)),($_.RecordID),($myres[$_.id]),($_.Properties.value[2]) }
# Windows Update
Get-WinEvent -Path $mylog -FilterXPath "Event/System[ (EventID=19 or EventID=43 or EventID=44) and Provider[@Name='Microsoft-Windows-WindowsUpdateClient']]" -ErrorAction SilentlyContinue | Where-Object { $_.Properties.value[0] -match "機能|Insider|Feature|累積|Cumulative|Language" } | ForEach-Object { "{0}`t{1}`t{2}`t{3}" -F ($_.TimeCreated.ToString($myTfmt)),($_.RecordID),($myres[$_.id]),($_.Properties.value[0]) }
# EventLog
Get-WinEvent -Path $mylog -FilterXPath "Event/System[ EventID=6008 and Provider[@Name='EventLog']]" -ErrorAction SilentlyContinue | ForEach-Object { "{0}`t{1}`t{2}`t{3}" -F ($_.TimeCreated.ToString($myTfmt)),($_.RecordID),($myres[$_.id]),($_.message) }
}
PowerShellではプログラムはバッチファイル同様テキストファイルにして、拡張子を適当につける(proclist.ps1とした)。拡張子で自動実行はされないので、名前は適当でかまわない。管理者でPowerShellを起動し、カレントディレクトリにプログラムファイルがあるとして
.\proclist.ps1
proclist イベントログファイルへのパス
とすれば、必要なイベントを抜き出したものが出力される。必要に応じて、csファイルなどにリダイレクトしてExcelで見ればいいだろう。
Windowsのイベントログには細かな情報があり、ちゃんと調べると、いろいろなことがわかる。しかし、あまりに量があるため、必要なものだけを抜き出す必要がある。とりあえずはイベントビューアーで眺め、必要なログの「ソース」と「EventID」を調べ、Get-WinEventで抜き出してみるといいだろう。
なお、詳細な情報は、メッセージの中に埋め込まれるPropertiesの中にあることが多い。これに関してはソース/EventIDごとに構造が違うので、それぞれのxml形式を見るしかない。その上で、今回使ったようなパターンで必要なイベントを抜き出し、Excelで処理させるとよい。
この連載の記事
-
第424回
PC
Windowsの基本機能であるクリップボードについてあらためて整理 -
第423回
PC
PowerShellの今を見る 2つあるPowerShellはどっち使えばいい? -
第422回
PC
Windows 11の目玉機能が早くも終了、Windows Subsystem for Android(WSA)を振り返る -
第421回
PC
進化しているPowerToys LANで接続したマシンでキーボード/マウス共有機能などが追加 -
第420回
PC
Windowsプレビュー版に搭載されたsudoを試す -
第419回
PC
Windows Insider Previewが変わって、今秋登場のWindows 11 Ver.24H2の新機能が見えてきた? -
第418回
PC
Windows 11のスマートフォン連携は新機能が追加されるなど、いまだ進化している -
第417回
PC
Windows 11のスマートフォン連携機能をあらためて使ってみる -
第416回
PC
Windowsセキュリティ(Defender)をコマンドラインで扱う -
第415回
PC
ConvertFrom-Stringを使って、テキストデータをテンプレートで読み込む -
第414回
スマホ
Windows Subsytem for Linux(WSL)が昨年9月のアップデートでファイアウォール対応になった - この連載の一覧へ