Windows/イベントログ

• コマンド：eventvwr

• Windowsで発生したことを確認できるWindowsイベントログを解説する
• Windowsの再起動とその原因をイベントログから探る

表示内容 †

• Windows イベントビューアの情報について

PowerShell †

• PowerShellを使用したWindowsイベントログの検索とトラブルシューティング
• 何百ものサーバーからの Windows イベントログを検索する方法
• FilterHashtable を使った Get-WinEvent クエリの作成

• STEP-BY-STEP: HOW TO TRIGGER AN EMAIL ALERT FROM A WINDOWS EVENT THAT INCLUDES THE EVENT DETAILS USING WINDOWS SERVER 2016

• ローカルマシン上のイベントを含むすべてのログを一覧表示（PowerShellを管理者モードで実行）

  Get-WinEvent -listlog * | where {$_.Recordcount}

確認 †

起動・終了 †

• Windowsの起動と終了の履歴を確認する方法
  • イベントビューアーから「Windows ログ」→「システム」を開く
  • 右ペインの「現在のログをフィルター」をクリック
  • イベントIDでフィルタをかける（12,13,41,42,142,6005,6006,6008）

    6005	EventLog	起動時
    6006	EventLog	正常にシャットダウン
    6008	EventLog	正常にシャットダウンせずに終了
    6009	EventLog	起動時にブート情報を記録
    
    42	Kernel-Power	スリープ状態になったとき
    1	Power-Troubleshooter	スリープ状態から復帰したとき
    12	Kernel-General	OS起動時
    13	Kernel-General	OSシャットダウン時
    
    41     Kernel-Power    予期せぬ電源断が行われた
    142    Kernel-Power    ウォッチドッグの監視によりリセット

アプリケーションの起動・終了 †

• アプリケーションやソフトの起動や終了の履歴を確認する方法

• defaultでは記録しない
• 設定変更で記録するようにはなるが、動作が重くなる可能性がある

USB抜き差し †

• USBの抜き差しのイベントログ
  • 一度対象のログを有効化する必要あり
  • 一度有効化すれば、以後はずっと記録される

イベントID †

41：予期せぬ電源断が行われた †

• 重大なエラー「Kernel-Power 41」の原因と対処法 – Windows10
• [windows10]Kernel-Power 41（パソコンの電源が急に落ちる）
• (KP41病)Win10 PCの電源が落ちるのは高速スタートアップが原因だった！！ | パソコントラブル
• Windows 10 Kernel-Power 41(通称KP41病)の発症と解決に至るまで
• KP41病の原因はこれだった

50：遅延書き込みデータの紛失 †

140：トランザクションログへのデータのフラッシュに失敗 †

• Windows 仮想マシンの静止スナップショットを作成すると、イベント ID の 50、57、137、140、157、または 12289 が生成される (2006849)

142：ウォッチドッグの監視によりリセット †

• ハードウェア ウォッチドッグによる再起動

157：ディスク x が突然取り外されました †

• Windows Server バックアップ実行時やユーザー プロファイル ディスク(UPD)が アンマウントされた時に記録される、ソース: disk、ID: 157 の警告について
  • Windows Server バックアップでは、バックアップ データの保持形式として仮想ディスク イメージ (VHD/X) を採用しており、バックアップ処理中にこの仮想ディスクの接続と切断が発生します。
  • そのため、仮想ディスク切断時に「 disk、ID: 157」 のイベントが記録されますが、これは Windows Serverバックアップの動作として想定される動作となりますので、警告イベントによる悪影響はなく、安全に無視可能です。
  • バックアップも正常に完了していれば、バックアップ データの整合性にも問題ありません。

• Windows 仮想マシンの静止スナップショットを作成すると、イベント ID の 50、57、137、140、157、または 12289 が生成される (2006849)
• https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q12162420912

1001：Windows Error Reporting †

CLR20r3 †

• .NETプログラム例外落ちイベント(CLR20r3)を読み取る
  • P1: exeファイル名の名前(32文字制限付き)
  • P2: exeファイルのアセンブリ バージョン
  • P3: exeファイルのタイムスタンプ(16進数)… new DateTime?(1970, 1, 1).AddSeconds?(P3).ToLocalTime?()
  • P4: 欠陥アセンブリの名前(64文字制限付き)
  • P5: 欠陥アセンブリのバージョン
  • P6: 欠陥アセンブリのタイムスタンプ(16進数)… new DateTime?(1970, 1, 1).AddSeconds?(P6).ToLocalTime?()
  • P7: 欠陥アセンブリの型とメソッド(16進数)。MethodDef?
  • P8: 欠陥メソッドのIL命令(16進数)。オフセット
  • P9: スローされた例外の種類(32文字制限付き)
    • P9の文字列は長い場合、末尾のExceptionを省略してみたり、160ビット位(32進数×32桁)のハッシュ値にされたりしてしまいます。

• ～は動作を停止しました (CLR20r3編)
• ～は動作を停止しました (CLR20r3：MDbg.exe編)

• CLR20r3と格闘
  • .NET 3.5のアプリを.NET 2.0と.NET 4.0環境で動かすと落ちる
  • .NET Frameworkのバージョンを整理する

• CLR20r3の追跡は素直に対象アプリをildasmで逆アセンブラすればいいわけじゃなかった

• How to Fix Clr20r3 Error on Windows 10/8/7

• P9 : IOIBMURHYNRXKW0ZXKYRVFN0BOYYUFOW

• 解決策
  • .NET Frameworkの再インストール
    • 「コントロールパネル」を開く
    • 「プログラムと機能」を開く
    • 「Windows の機能の有効化または無効化」を開く
    • .NET Framework 3.5、.NET Framework 4.8 Advanced Services の2つのチェックを解除して「OK」を押下
    • PCを再起動
    • 再度「Windows の機能の有効化または無効化」を開く
    • .NET Framework 3.5、.NET Framework 4.8 Advanced Services の2つにチェックを入れて「OK」を押下
    • PCを再起動

10016：DistributedCOMエラー †

• Windows に DCOM イベント ID 10016 が記録される
• Windows 10の イベントID 10016 を解消する方法
• イベントID　10016　解消した
• DistributedCOMエラーの原因と解決方法