Windowsの「管理イベント」で重要なイベントを素早く確認する:Tech TIPS
イベントログにはさまざまなイベントが記録されるので、重要なイベントが埋もれてしまうことがある。Windows Vista以降のイベント・ビューアには、重要なイベントだけを素早く抜き出して表示するための「管理イベント」という表示フィルタが用意されている。その使い方のポイントは?
対象OS:Windows Vista / Windows Server 2008
解説
イベントログには、Windowsシステムに起こったさまざまな事象(エラーや警告、情報など)に関する情報が記録される。だが重要性の低いものから緊急性の高いものまで、すべてまとめて記録されているので、ログが多数記録されていると、重要なイベント(例えばハードウェア・エラーやサービスの実行の失敗など)がほかのイベントに埋もれてしまって、見落とす可能性がある。
Windows Vista以降のOS(Windows VistaやWindows Server 2008、Windows 7など)ではイベント・ビューアの機能が拡張され、特定の条件に一致するイベントだけをフィルタして素早く表示する、「カスタム・ビュー」機能が用意されている。従来のWindows OSのイベント・ビューアでもフィルタ機能を持っていたが、特定のイベントログ(例:システム・イベント)からしか検索できなかった。
カスタム・ビューでは、複数のイベントログ(例:システム・イベントとアプリケーション・イベント、アプリケーション・イベントの3種類)にまたがって、特定の条件を持つイベントだけを抜き出して表示するといったことが簡単にできる。
カスタム・ビューを利用するには、まずカスタム・ビューの項目を新規作成しなければならないが、デフォルトでは「管理イベント」というビューがあらかじめ用意されている。本TIPSでは、まずこの管理イベントの利用方法を紹介する。これは、「重大」「警告」「エラー」の3種類のレベルに相当するイベントだけを、全イベントログから抜き出して表示するものである。ユーザー独自のカスタム・ビューを作成する方法は、今後別TIPSで紹介する。
操作方法
Windows Vista以降のWindows OSのイベント・ビューアには、特定の条件にマッチするイベントだけを抜き出して表示する、カスタム・ビューという表示フィルタ機能が用意されている。これを利用すると、注目したいイベントだけを簡単に確認できる。
デフォルトではあらかじめ「管理イベント(admin event)」というカスタム・ビュー・エントリが定義されている。これはイベントログのうち、「レベル」が「重大」「警告」「エラー」となっているもの(赤や黄色のマーク付きで表示されるもの)だけを抜き出して表示するフィルタである。すべてのログ、すべての期間を対象に、これらのレベルのイベントを検索して、表示する。
管理イベントを表示させるには、[コンピュータの管理ツール]から[イベント ビューアー]を起動するか、[サーバー マネージャ]で[診断]−[イベント ビューア]を選択する。そして、イベント・ビューアで、[カスタム ビュー]の下にある[管理イベント]を選択するだけでよい。
イベント・ビューアの管理イベント重大なエラーや警告イベントなどを素早く見つけることができるように、「管理イベント」という表示フィルタがあらかじめ定義されている。
(1)イベント・ビューアのカスタム・ビューを使うと、アプリケーション・イベントログやシステム・イベントログなどから、特定の条件を持つイベントだけを素早く抜き出して表示できる。
(2)「管理イベント」とは、すべてのログから重大やエラー、警告レベルのイベントを抜き出すためのフィルタ。デフォルトで定義されており、削除や変更はできない。この部分をクリックするだけで、自動的にフィルタが適用される。
(3)[管理イベント]をクリックすると、その結果がすぐにここに表示される。
(4)レベルが重大やエラー、警告となっているものだけが表示されている。
(5)イベントを選択すると、ここにその詳細が表示される。
(6)これをクリックすると、[管理イベント]フィルタの定義を確認できる。
[管理イベント]を選択すると、中央のペインには、「レベル」が「重大」「警告」「エラー」となっているイベントが、全ログから検索され、表示される。特定のイベントをダブルクリックすると、そのイベントの詳細が表示されるのは、通常のイベント・ビューアにおける操作方法と同じである。
この管理イベント機能を利用することにより、システムやアプリケーションのイベントログを開いて、赤や黄色マークの付いたイベントを(目視で)検索するといった面倒な操作などは不要になる。
●管理イベントの表示フィルタ内容
管理イベントはあらかじめ定義されたカスタム・ビューの一種である。実際にどのような条件がフィルタとして定義されているかを確認するには、右側の「操作」ペインにある[プロパティ](上の画面の(6))をクリックしてみると確認できる。[プロパティ]をクリックすると次のような画面が表示される。
カスタム・ビューの内容の確認ここで[フィルターの編集]をクリックすると、定義されている内容が次のように表示される。あらかじめ定義されているフィルタなので内容は変更できないが、これを見ると分かるように、すべてのイベントログに対して、特定の「レベル」を持つイベントを抜き出しているだけである。例えばシステム・ログとアプリケーション・ログだけを対象としたければ、カスタム・ビューを定義して、その2つのログを指定すればよいだろう。
管理イベントの表示フィルタの内容デフォルトで定義されている管理イベント・カスタム・ビューの内容。特定のレベルを持つイベントを抜き出しているだけである。
(1)ログの検索対象期間は未指定なので、記録されている全イベントが検索対象となる。
(2)「重大」「警告」「エラー」の3つを選択している。
(3)対象はシステム上の全ログとなっている。
(4)フィルタのXML定義を確認するには(システム内部ではXML形式で保存、管理している)、これをクリックする。
■この記事と関連性の高い別の記事
- イベント・ビューアのカスタム・ビューでユーザー独自のビューを作成する(TIPS)
- イベントログ・ファイルの最大サイズを拡大する(TIPS)
- コマンド・プロンプトでイベントログを表示する(TIPS)
- ログオンの失敗をメールで通知する(TIPS)
- イベントログをトリガーにしてメールを送信する(基本編)(TIPS)
Copyright© Digital Advantage Corp. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。