1. はじめに
Windows 11で何か問題が発生したとき、「なぜエラーが起きたのか」「いつクラッシュしたのか」を調べる最強のツールが「イベントビューアー(Event Viewer)」です。Windowsはあらゆる出来事—エラー、警告、システムの動作、セキュリティイベント—を詳細なログとして記録しています。
本記事では、イベントビューアーの基本から実践的なトラブル対処まで、システムログを読み解く力を身につけましょう。
2. イベントビューアーとは
「イベントビューアー(Event Viewer)」は、Windowsが記録するシステムログ(イベントログ)を覲別・フィルタリングしながら確認できるGUIツールです。OSの起動・シャットダウン、アプリのエラー、セキュリティイベント、ハードウェアの異常など、あらゆるまでWindowsの「日記」を読むことができます。
イベントビューアーの開き方
方法①:Windowsキー + R → eventvwr.msc と入力 → Enter
方法②:スタートメニューの検索欄に「イベントビューアー」と入力
方法③:コントロールパネル → 管理ツール → イベントビューアー
方法④:タスクマネージャーでプロセスを右クリック → 「イベントビューアーで開く」
イベントログの保存場所
イベントログの実体ファイルは C:\Windows\System32\winevt\Logs\ フォルダ内に .evtx 形式で保存されています。サイズが満杯すると古いエントリは自動的に上書きされます。
3. 画面構成と基本操作
イベントビューアーの画面構成
- 左ペイン(ツリー表示):ログのカテゴリ一覧。クリックするとそのカテゴリのイベントが表示される。
- 中央ペイン(イベント一覧):選択したカテゴリ内のイベントが一覧表示される。レベル・日時・ソース・イベントIDなどが表示される。
- 下部ペイン(詳細情報):選択したイベントの詳細メッセージ、発生日時、ソース、イベントID、タスクカテゴリなどが表示される。
- 右ペイン(操作):フィルタリング、イベント保存、ログのクリア、カスタムビューの作成などの操作メニュー。
イベントの詳細画面の見方
イベントをクリックすると下部に詳細が表示されます。主要項目は以下のとおりです。
- レベル:情報・警告・エラー・指定などの重要度
- 日付と時刻:イベントが発生した正確な日時
- ソース:イベントを発生させたコンポーネント名(アプリやサービスの名前)
- イベントID:イベントの種類を示す固有の番号。トラブル対処のキーになる。
- タスクカテゴリ:イベントの種別(ネットワーク・カーネル・セキュリティなど)
- 説明:イベントの詳細メッセージ。エラーの場合は原因を説明するテキストが含まれる。
4. ログの種類と構成
Windowsログ(主要ログ)
- アプリケーション:アプリケーションのイベントを記録。アプリのクラッシュやエラーを調査する際に使用。
- セキュリティ:ログオン・ログオフ、特権利用、ファイルアクセスなどのセキュリティ関連イベントを記録。不审なアクセスの検出に有効。
- システム:カーネル、ドライバー、サービスなどOSコアコンポーネントのイベントを記録。ハードウェア障害やサービス囍u起失敗の調査に必須。
- 設定:グループポリシーなどの構成変更イベントを記録。
- 転送されたイベント:他のコンピューターから転送されたイベントを受信するログ。
アプリケーションとサービスログ
Microsoft → Windows 以下に数百のカテゴリがあり、Windowsの各コンポーネント別に詳細なログが記録されています。主なカテゴリは以下のとおりです。
- Microsoft → Windows → Diagnostics-Performance:起動・シャットダウン時間の記録
- Microsoft → Windows → PowerShell:PowerShellの実行ログ
- Microsoft → Windows → TaskScheduler:タスクスケジューラーの実行ログ
- Microsoft → Windows → Windows Defender:Defenderのスキャン結果・警告
- Microsoft → Windows → WindowsUpdateClient:Windows Updateの適用ログ
5. イベントレベルとイベントID
イベントレベルの種類
- 情報(Information):山色および白のアイコン。正常な動作の記録。サービスの開始・停止など。
- 警告(Warning):黄色の三角アイコン。限度に追いつきつつある状態、将来的に問題になる可能性がある状態。即時の対応は不要な場合もある。
- エラー(Error):赤い丸にバツのアイコン。重要な問題が発生した状態。サービスの失敗、データの遺失など。迅速な対応が必要。
- 指定エラー(Critical):赤い丸に白いバツのアイコン。最大級の障害。システムのクラッシュやブルースクリーンなどコンピューターの自動再起動を伴う障害。
- 詳細(Verbose):ラベンダー色のアイコン。従来のデバッグ用の詳細情報。通常表示されないことが多い。
重要なイベントID一覧
イベントIDはイベントの種類を識別する番号です。主要なものを覚えておくとトラブル対処が大幅に楽になります。
「システム」ログの主要イベントID:
- ID 6005:イベントログサービスの開始(システム起動のマーカー)
- ID 6006:イベントログサービスの停止(正常なシャットダウンのマーカー)
- ID 6008:前回のシャットダウンが不正常だった(電源隣断やクラッシュ時に記録される)
- ID 41:カーネルの電源バグ(送電なしの再起動。爆走時に発生)
- ID 7031:サービスが予期せず終了した
- ID 7034:サービスが予期せず何度も終了した
- ID 7040:サービスの起動タイプが変更された
- ID 10016:COMサーバーのアクセス制限(少数の発生は通常無視でよい)
「セキュリティ」ログの主要イベントID:
- ID 4624:アカウントのログオン成功
- ID 4625:アカウントのログオン失敗
- ID 4634:アカウントのログオフ
- ID 4648:明示的資格情報を使用したログオン試行
- ID 4672:特権を持つアカウントのログオン
- ID 4698:スケジュールタスクが作成された
- ID 4720:ユーザーアカウントが作成された
- ID 4732:メンバーがセキュリティグループに追加された
「アプリケーション」ログの主要イベントID:
- ID 1000:アプリケーションのクラッシュ(アプリの不具合起動時に記録)
- ID 1001:Windows Error Reportingによるクラッシュレポート
- ID 1002:アプリケーションが応答しなくなった(これつない状態)
6. フィルタリングとカスタムビュー
イベントのフィルタリング方法
大量のログから目的のイベントだけを絞り込むにはフィルタリング機能が便利です。
操作手順:イベントビューアーで対象のログ(例:「システム」)を選択 → 右ペインの「現在のログのフィルター」をクリック
- イベントレベルで絞り込む:エラーのみ・警告のみなどレベルを指定して表示
- イベントIDで絞り込む:特定のID番号(例:4625)だけを表示
- 時間範囲で絞り込む:下限・上限の日時を指定して絞り込む
- ソースで絞り込む:特定のアプリやサービスのイベントだけを表示
- キーワード検索:説明文に含まれる文字列で絞り込む
カスタムビューの作成
一度設定したフィルターを保存して繰り返し使える機能です。
操作手順:左ペインの「カスタムビュー」を右クリック → 「カスタムビューの作成」 → 複数のログとフィルター条件を設定して保存
使い方:カスタムビューに登録すると、毎回指定したログを適用する手間を省ける。例えば「エラーのみ表示」「ログオン失敗のみ表示」などが作れる。
7. ログの保存とアーカイブ
イベントログのエクスポート
ログは外部に保存して守ることができます。
- イベントビューアーで対象ログを右クリック → 「ログを別名で保存」
- 形式:.evtx (Windowsイベントログ形式)または .xml / .txt / .csv で保存可能
- 保存した .evtx ファイルはイベントビューアーで再度開くことができる
- CSV形式で保存するとExcelで分析可能
ログサイズの設定
- イベントビューアーでログを右クリック → 「プロパティ」
- ログの最大サイズ(デフォルト 1MB 程度)を大きく設定することで、古いログが上書きされるまでの期間を延ばせる
- 満杯時の動作:必要に応じて「必要に応じて上書き」または「イベントをアーカイブしてログをクリア」を選択
8. PowerShellでのログ操作
PowerShellを使うと、イベントログの検索・エクスポート・自動化がより強力になります。
基本のログ取得コマンド
Get-EventLog -LogName System(ゲットイベントログ):「システム」ログのイベントを取得する
Get-EventLog -LogName System -Newest 50:最新の50件のイベントを取得する
Get-EventLog -LogName System -EntryType Error:エラーレベルのイベントのみ取得する
Get-EventLog -LogName Security -InstanceId 4625:セキュリティログからID 4625(ログオン失敗)を取得する
Get-WinEvent -LogName System(ゲットウィンイベント):Get-EventLogより高機能なコマンド。新しいログ等も対応する。
Get-WinEvent -FilterHashtable @{LogName=’System’; Level=2}:システムログからレベル2(エラー)のイベントを取得する
Get-WinEvent -FilterHashtable @{LogName=’Security’; Id=4625; StartTime=’2025-01-01′}:日付・ ID・ログ名をまとめて指定して取得する
ログのエクスポートコマンド
wevtutil epl System C:\Logs\system.evtx(ウェブユーティル):システムログを指定パスにエクスポートする
wevtutil qe System /f:text:システムログをテキスト形式で出力する
wevtutil cl System:システムログをクリアする(管理者権限必要)
リアルタイムモニタリングコマンド
Get-WinEvent -LogName System -MaxEvents 5 | Format-List:最新イベントを5件詳細表示する
9. トラブル対処への活用
ケース別ログ調査の流れ
ケース①:PCが突然再起動した
- 「システム」ログを開く
- ID 41(カーネル電源バグ)を検索する
- ID 6008(不正常なシャットダウン)を検索する
- 発生時刻の前後のエラー・警告を調べる
- ID 1001(Windows Error Reporting)で具体的なアプリまたはドライバー名を確認する
ケース②:特定アプリが起動しない
- 「アプリケーション」ログを開く
- ID 1000(アプリクラッシュ)で対象アプリをフィルタリングする
- 説明文からエラーコードや問題のモジュール名を確認する
- 必要に応じてアプリを再インストールまたは修復する
ケース③:不審なログイン試行の確認
- 「セキュリティ」ログを開く
- ID 4625(ログオン失敗)をフィルタリングする
- 速短時間内に多数回失敗している場合はブルートフォース攻撃の可能性がある
- ID 4624(ログオン成功)でログイン履歴を確認し、身に覚えのないログインがないかチェックする
ケース④:Windows起動が遅い
- Microsoft → Windows → Diagnostics-Performance → Operational ログを開く
- ID 100(起動プロセスの全体所要時間)を確認する
- ID 101,ID 102:个々の起動アプリの遅延時間が記録されている
- 起動を遅くしているアプリを特定し、タスクマネージャーの「スタートアップ」タブで無効化する
10. イベントビューアーを使ったセキュリティ監視
セキュリティログを定期的に確認することで、不审なアクセスやインシデントを早期発見できます。
定期確認すべきセキュリティイベント
- ID 4625の連続発生:パスワードブルートフォースの可能性。アカウントロックアウトポリシーの設定を検討する。
- ID 4720(アカウント作成):迷惑なアカウント作成がないか確認する。マルウェアがアカウントを作成する事例がある。
- ID 4732(グループへの追加):許可なく権限戯与が行われていないか確認する。
- ID 4698(タスク作成):身に覚えのないタスクが登録されていないか確認する。マルウェアの永続化に使われることがある。
セキュリティログの監査設定(アドバンスト)
セキュリティログの記録内容は、グループポリシーの監査ポリシー設定で制御できます。gpedit.msc → 「Windows設定」 → 「セキュリティ設定」 → 「ローカルポリシー」 → 「セキュリティオプション」 → 「監査ポリシー」から詳細設定が可能です。
11. まとめ
今回は「Windows 11のイベントビューアーとシステムログ活用術」を解説しました。
- イベントビューアー:eventvwr.mscで起動。Windowsの全出来事の日記を読む最強のツール。
- ログの種類:Windowsログ(アプリケーション・セキュリティ・システムなど)とアプリケーション・サービスログがある。
- イベントレベル:指定エラー > エラー > 警告 > 情報の順に重要度を判断する。
- イベントID:トラブル対処のキー。主要なID(特に 41, 6008, 4625, 1000)を覚えると役立つ。
- PowerShell活用:Get-WinEventで自動化や詳細検索が可能。
イベントビューアーは最初は複雑に見えますが、主要なログとイベントIDを覚えることで、PCトラブルの調査が格段に楽になります。対応が必要なエラーにだけ集中するために、フィルタリングとカスタムビューを積極的に活用しましょう。
次回は「Windows 11の電源管理とバッテリー最適化」を解説予定です。ノートパソコンやタブレットの方にとって実践的な内容です。引き続きよろしくお願いします!
