Windowsの再起動とその原因をイベントログから探る

2020年01月02日 10時00分更新

文● 塩田紳二　編集● ASCII

関数にしてまとめる

　とりあえず、処理の仕方がわかったので、必要なものをまとめた。一部説明を省いた部分もあるが、以下のリストが必要なコマンドを関数化したものだ。

function global:proclog {
　　param($logPath)
　　$mylog = $(Convert-Path $logPath)
# 理由を説明する変数
　　$myres=@{
　　　　12="開始(Kernel-General)";
　　　　13="再起動(Kernel-General)";
　　　　44="ダウンロード開始(Windows Update)";
　　　　43="インストール開始(Windows Update)";
　　　　19="インストール正常終了(Windows Update)";
　　　　216="コミット成功(Windows Update)";
　　　　218="コミット開始(Windows Update)";
　　　　1073="再起動失敗(User32)";
　　　　1074="再起動要求(User32)";
　　　　6008="予期しないシャットダウン(Eventlog)"}
# 時刻の出力フォーマット
　　$myTfmt= "yyyy/MM/dd HH:mm:ss.fffffff"
# 起動
　　Get-WinEvent -Path $mylog -FilterXPath "Event/System[ EventID=12 and Provider[@Name='Microsoft-Windows-Kernel-General']]" -ErrorAction SilentlyContinue | ForEach-Object { "{0}`t{1}`t{2}`t{3}" -F ($_.TimeCreated.ToString($myTfmt)),($_.RecordID),($myres[$_.id]),($_.Properties.value[6]) }
# 再起動
　　Get-WinEvent -Path $mylog -FilterXPath "Event/System[ EventID=13 and Provider[@Name='Microsoft-Windows-Kernel-General']]" -ErrorAction SilentlyContinue | ForEach-Object { "{0}`t{1}`t{2}`t{3}" -F ($_.TimeCreated.ToString($myTfmt)),($_.RecordID),($myres[$_.id]),($_.Properties.value[0]) }
# User32
　　Get-WinEvent -Path $mylog -FilterXPath "Event/System[ (EventID=1073 or EventID=1074) and Provider[@Name='User32']]" -ErrorAction SilentlyContinue | ForEach-Object {"{0}`t{1}`t{2}`t{3}" -F ($_.TimeCreated.ToString($myTfmt)),($_.RecordID),($myres[$_.id]),($_.Properties.value[2]) }
# Windows Update
　　Get-WinEvent -Path $mylog -FilterXPath "Event/System[ (EventID=19 or EventID=43 or EventID=44) and Provider[@Name='Microsoft-Windows-WindowsUpdateClient']]" -ErrorAction SilentlyContinue | Where-Object { $_.Properties.value[0] -match "機能|Insider|Feature|累積|Cumulative|Language" } | ForEach-Object { "{0}`t{1}`t{2}`t{3}" -F ($_.TimeCreated.ToString($myTfmt)),($_.RecordID),($myres[$_.id]),($_.Properties.value[0]) }
# EventLog
　　Get-WinEvent -Path $mylog -FilterXPath "Event/System[ EventID=6008 and Provider[@Name='EventLog']]" -ErrorAction SilentlyContinue | ForEach-Object { "{0}`t{1}`t{2}`t{3}" -F ($_.TimeCreated.ToString($myTfmt)),($_.RecordID),($myres[$_.id]),($_.message) }
　　}

　PowerShellではプログラムはバッチファイル同様テキストファイルにして、拡張子を適当につける（proclist.ps1とした）。拡張子で自動実行はされないので、名前は適当でかまわない。管理者でPowerShellを起動し、カレントディレクトリにプログラムファイルがあるとして

.\proclist.ps1
proclist イベントログファイルへのパス

とすれば、必要なイベントを抜き出したものが出力される。必要に応じて、csファイルなどにリダイレクトしてExcelで見ればいいだろう。

　Windowsのイベントログには細かな情報があり、ちゃんと調べると、いろいろなことがわかる。しかし、あまりに量があるため、必要なものだけを抜き出す必要がある。とりあえずはイベントビューアーで眺め、必要なログの「ソース」と「EventID」を調べ、Get-WinEventで抜き出してみるといいだろう。

　なお、詳細な情報は、メッセージの中に埋め込まれるPropertiesの中にあることが多い。これに関してはソース/EventIDごとに構造が違うので、それぞれのxml形式を見るしかない。その上で、今回使ったようなパターンで必要なイベントを抜き出し、Excelで処理させるとよい。

前へ 1 2 3 次へ

ツイートする

カテゴリートップへ