Windows/イベントログ のバックアップの現在との差分(No.5)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ | ログイン ]

• バックアップ一覧
• 差分 を表示
• ソース を表示
• バックアップ を表示
• Windows/イベントログ へ行く。
  • 1 (2020-03-24 (火) 13:55:00)
  • 2 (2020-03-24 (火) 16:02:15)
  • 3 (2020-03-26 (木) 09:33:23)
  • 4 (2020-12-02 (水) 18:54:24)
  • 5 (2020-12-02 (水) 19:28:01)
  • 6 (2020-12-03 (木) 10:10:47)
  • 7 (2020-12-03 (木) 19:29:42)
  • 8 (2021-01-14 (木) 09:42:24)
  • 9 (2021-08-02 (月) 15:29:42)
  • 10 (2021-09-09 (木) 11:19:27)
  • 11 (2021-09-10 (金) 09:13:21)
  • 12 (2022-08-19 (金) 16:04:24)

---

• 追加された行はこの色です。
• 削除された行はこの色です。

#author("2020-12-02T10:28:01+00:00","default:admin","admin")
#author("2022-09-07T08:52:15+00:00","default:admin","admin")
-コマンド：eventvwr

-[[Windowsで発生したことを確認できるWindowsイベントログを解説する:https://ascii.jp/elem/000/001/993/1993897/]]
-[[Windowsの再起動とその原因をイベントログから探る:https://ascii.jp/elem/000/002/001/2001809/]]

*表示内容 [#s1b5a353]
-[[Windows イベントビューアの情報について:https://helpx.adobe.com/jp/creative-suite/kb/231809.html]]

* PowerShell [#v4a30448]
-[[PowerShellを使用したWindowsイベントログの検索とトラブルシューティング:https://blog.ipswitch.com/jp/using-powershell-to-search-and-troubleshoot-windows-event-logs]]
-[[何百ものサーバーからの Windows イベントログを検索する方法:https://blog.ipswitch.com/jp/how-to-search-windows-event-logs-across-hundreds-of-servers]]
-[[FilterHashtable を使った Get-WinEvent クエリの作成:https://docs.microsoft.com/ja-jp/powershell/scripting/samples/creating-get-winevent-queries-with-filterhashtable?view=powershell-7]]

-[[STEP-BY-STEP: HOW TO TRIGGER AN EMAIL ALERT FROM A WINDOWS EVENT THAT INCLUDES THE EVENT DETAILS USING WINDOWS SERVER 2016:https://clusteringformeremortals.com/2018/10/28/step-by-step-how-to-trigger-an-email-alert-from-a-windows-event-that-includes-the-event-details-using-windows-server-2016/]]

-ローカルマシン上のイベントを含むすべてのログを一覧表示（PowerShellを管理者モードで実行）
 Get-WinEvent -listlog * | where {$_.Recordcount}

*確認 [#sb14ed28]
**起動・終了 [#u161ad83]
-[[Windowsの起動と終了の履歴を確認する方法:https://seyjoh.com/blog/2014/06/24/check_windows_boot_log/]]
--イベントビューアーから「Windows ログ」→「システム」を開く
--右ペインの「現在のログをフィルター」をクリック
--イベントIDでフィルタをかける（6005,6006,6008,12,13）
--イベントIDでフィルタをかける（12,13,41,42,142,6005,6006,6008）
 6005	EventLog	起動時
 6006	EventLog	正常にシャットダウン
 6008	EventLog	正常にシャットダウンせずに終了
 6009	EventLog	起動時にブート情報を記録
 
 42	Kernel-Power	スリープ状態になったとき
 1	Power-Troubleshooter	スリープ状態から復帰したとき
 12	Kernel-General	OS起動時
 13	Kernel-General	OSシャットダウン時
 
 41     Kernel-Power    予期せぬ電源断が行われた
 142    Kernel-Power    ウォッチドッグの監視によりリセット

**アプリケーションの起動・終了 [#uee6f98c]
-[[アプリケーションやソフトの起動や終了の履歴を確認する方法:https://jo-sys.net/process-log/]]

-defaultでは記録しない
-設定変更で記録するようにはなるが、動作が重くなる可能性がある

**USB抜き差し [#l8277563]
-[[USBの抜き差しのイベントログ:https://yanor.net/wiki/?Windows/%E3%83%8F%E3%83%BC%E3%83%89%E3%82%A6%E3%82%A7%E3%82%A2/USB%E3%81%AE%E6%8A%9C%E3%81%8D%E5%B7%AE%E3%81%97%E3%81%AE%E3%82%A4%E3%83%99%E3%83%B3%E3%83%88%E3%83%AD%E3%82%B0]]
--一度対象のログを有効化する必要あり
--一度有効化すれば、以後はずっと記録される

*イベントID [#xf1642c4]
**41：予期せぬ電源断が行われた [#ne7b67d2]
-[[重大なエラー「Kernel-Power 41」の原因と対処法 – Windows10:https://itojisan.xyz/trouble/20480/]]
-[[[windows10]Kernel-Power 41（パソコンの電源が急に落ちる）:https://kai3blog.com/windows10kernel-power-41%EF%BC%88kp41%E5%95%8F%E9%A1%8C%EF%BC%89/]]
-[[(KP41病)Win10 PCの電源が落ちるのは高速スタートアップが原因だった！！ | パソコントラブル:https://aresei-note.com/1255]]
-[[Windows 10 Kernel-Power 41(通称KP41病)の発症と解決に至るまで:https://www.mikan-partners.com/archives/1174]]
-[[KP41病の原因はこれだった:https://pc.user-infomation.com/hard_soft/so_34.htm]]

**50：遅延書き込みデータの紛失 [#u9484846]

**140：トランザクションログへのデータのフラッシュに失敗 [#n552e4ae]
-[[Windows 仮想マシンの静止スナップショットを作成すると、イベント ID の 50、57、137、140、157、または 12289 が生成される (2006849):https://kb.vmware.com/s/article/2006849?lang=ja]]

**142：ウォッチドッグの監視によりリセット [#qd34c66f]
-[[ハードウェア ウォッチドッグによる再起動:https://answers.microsoft.com/ja-jp/windows/forum/windows_10-performance-winpc/%E3%83%8F%E3%83%BC%E3%83%89%E3%82%A6%E3%82%A7/d50168df-da86-4dd6-8dce-9db81f4e0eb8]]

**157：ディスク x が突然取り外されました [#m8142330]
-[[Windows Server バックアップ実行時やユーザー プロファイル ディスク(UPD)が アンマウントされた時に記録される、ソース: disk、ID: 157 の警告について:https://docs.microsoft.com/ja-jp/archive/blogs/askcorejp/windows-server-diskid-157-3]]
--Windows Server バックアップでは、バックアップ データの保持形式として仮想ディスク イメージ (VHD/X) を採用しており、バックアップ処理中にこの仮想ディスクの接続と切断が発生します。
--そのため、仮想ディスク切断時に「 disk、ID: 157」 のイベントが記録されますが、これは Windows Serverバックアップの動作として想定される動作となりますので、警告イベントによる悪影響はなく、安全に無視可能です。
--バックアップも正常に完了していれば、バックアップ データの整合性にも問題ありません。

-[[Windows 仮想マシンの静止スナップショットを作成すると、イベント ID の 50、57、137、140、157、または 12289 が生成される (2006849):https://kb.vmware.com/s/article/2006849?lang=ja]]
-[[https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q12162420912]]


**1001：Windows Error Reporting [#j0d567d4]
***CLR20r3 [#o61dc936]
-[[.NETプログラム例外落ちイベント(CLR20r3)を読み取る:http://dd-kaihatsu-room.blogspot.com/2012/02/netclr20r3.html]]
--P1: exeファイル名の名前(32文字制限付き)
--P2: exeファイルのアセンブリ バージョン
--P3: exeファイルのタイムスタンプ(16進数)… new DateTime(1970, 1, 1).AddSeconds(P3).ToLocalTime()
--P4: 欠陥アセンブリの名前(64文字制限付き)
--P5: 欠陥アセンブリのバージョン
--P6: 欠陥アセンブリのタイムスタンプ(16進数)… new DateTime(1970, 1, 1).AddSeconds(P6).ToLocalTime()
--P7: 欠陥アセンブリの型とメソッド(16進数)。MethodDef
--P8: 欠陥メソッドのIL命令(16進数)。オフセット
--P9: スローされた例外の種類(32文字制限付き)
---P9の文字列は長い場合、末尾のExceptionを省略してみたり、160ビット位(32進数×32桁)のハッシュ値にされたりしてしまいます。

-[[～は動作を停止しました (CLR20r3編):http://dd-kaihatsu-room.blogspot.com/2012/04/clr20r3.html]]
-[[～は動作を停止しました (CLR20r3：MDbg.exe編):http://dd-kaihatsu-room.blogspot.com/2012/04/clr20r3mdbgexe.html]]

-[[CLR20r3と格闘:http://blog-url.hatenablog.jp/entry/CLR20r3]]
--[[.NET 3.5のアプリを.NET 2.0と.NET 4.0環境で動かすと落ちる:https://www.majishini.net/hg/post/2014/20140128-001/]]
--[[.NET Frameworkのバージョンを整理する:https://www.atmarkit.co.jp/ait/articles/1211/16/news093.html]]

-[[CLR20r3の追跡は素直に対象アプリをildasmで逆アセンブラすればいいわけじゃなかった:https://qiita.com/ShirayanagiRyuji/items/2ec146056c0f532fb474]]

-[[How to Fix Clr20r3 Error on Windows 10/8/7:https://www.winosbite.com/clr20r3-error-and-how-to-fix-it/]]

-P9 : IOIBMURHYNRXKW0ZXKYRVFN0BOYYUFOW

-解決策
--.NET Frameworkの再インストール
---「コントロールパネル」を開く
---「プログラムと機能」を開く
---「Windows の機能の有効化または無効化」を開く
---.NET Framework 3.5、.NET Framework 4.8 Advanced Services の2つのチェックを解除して「OK」を押下
---PCを再起動
---再度「Windows の機能の有効化または無効化」を開く
---.NET Framework 3.5、.NET Framework 4.8 Advanced Services の2つにチェックを入れて「OK」を押下
---PCを再起動

**10016：DistributedCOMエラー [#n0b74e48]
-[[Windows に DCOM イベント ID 10016 が記録される:https://docs.microsoft.com/ja-jp/troubleshoot/windows-client/application-management/event-10016-logged-when-accessing-dcom]]
-[[Windows 10の イベントID 10016 を解消する方法:https://www.tnrsca.jp/windows-10%E3%81%AE-%E3%82%A4%E3%83%99%E3%83%B3%E3%83%88id-10016-%E3%82%92%E8%A7%A3%E6%B6%88%E3%81%99%E3%82%8B%E6%96%B9%E6%B3%95/]]
-[[イベントID　10016　解消した:https://www.aiik.net/2019/04/19/%E3%82%A4%E3%83%99%E3%83%B3%E3%83%88id%E3%80%8010016%E3%80%80%E8%A7%A3%E6%B6%88%E3%81%97%E3%81%9F/]]
-[[DistributedCOMエラーの原因と解決方法:https://pcrepair.w-pickup.com/post-5381/]]

     

Site admin: anonymous

PukiWiki 1.5.1 © 2001-2016 PukiWiki Development Team. Powered by PHP 5.6.99-hhvm. HTML convert time: 0.037 sec.