【3/18〜】Amazon、VMwareが語る『クラウドの未来』 スラッシュドット    はてなブックマーク  Yahoo!ブックマークに登録  印刷
Windows TIPS
[Network]
  Windows TIPS TOPへ
Windows TIPS全リストへ
内容別分類一覧へ

svchost.exeプロセスとは?

―― sc.exeでサービスをコマンドラインから制御する ――

解説をスキップして操作方法を読む

デジタルアドバンテージ
2004/03/13		  
対象OS
Windows 2000 Professional
Windows XP Professional
Windows XP Home Edition
Windows 2000 Server
Windows 2000 Advanced Server
リッスンしているネットワーク・ポートを調べていると、svchost.exeというプロセスが所有者となっていることがよくある。
svchost.exeは、ネットワーク関連の基本的なサービスを起動するための親となるプロセスであり、いくつかのグループに分けてサービスを起動している。
scコマンドを使うと、サービスをコマンド・プロンプトから制御することができる。
 
解説

 ネットワーク・アプリケーションがリッスン(待ち受け)しているTCP/UDPポートを調べるには、コマンド・プロンプト上で「netstat -a」というコマンドを利用することが多い。具体的な方法についてはすでに「TIPS―netstatでリッスンしているプロセスを特定する」で紹介している。そこではさらに、リッスンしているポートが実際にどのプロセスによってサービスされているかを調べる方法についてもいくつか解説している。

リッスン状態を調査する
リッスン中のプロセスを特定する
netstatコマンドを使いこなす

 その中で「svchost.exe」というプロセスが多くのネットワーク・サービスを担っているということを説明した。本TIPSでは、このプロセス自体について解説する。また、サービスを制御するためのコマンド(sc.exe)についても、その使い方を解説する。

svchostが多数実行されているタスク・マネージャの画面
タスク・マネージャで確認すると、svchost.exeというプロセスが多数動作しており、場合によってはCPU負荷が高くなっていたり、メモリを大量に消費していることがある。svchost.exeはサービスを起動するための元となるプロセスであり、OSのバージョンなどにもよるが、このように複数実行されているのが普通である。これはWindows XP Professionalにおけるタスク・マネージャの例。
  この例では、6つ動作している。


操作方法

svchost.exeプロセスとは? 

 svchost.exeは、OS内の各種サービスを起動するための親となるプロセスである。OS起動時には、svchost.exeを経由して、各種のネットワーク・サービスが起動するようになっている。svchost.exeが起動するサービスは、レジストリの以下のキーに記述されている。

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost

 実際のレジストリ設定を見ると、次のようにグループごとにサービスが分類されていることが分かる。これは、あるWindows XP Professionalマシンにおける例である。

svchost.exeに関するレジストリ設定
svchost.exeによって起動されるサービスは、このレジストリに記述されている。このレジストリを調査することにより、svchost.exeがリッスン元となっているサービスは、これらのいずれかであることが分かる。これはWindows XP Professionalマシンでの例。
  レジストリの位置。
  SvcHostから起動されるサービスはSvcHostキーの下に、グループ別にまとめられて記述されている。
  サービスのグループ。これらのグループごとにまとめてサービスが起動される。ここにはimgsvc〜termsvcsまで6つのグループがある。
  グループに含まれるサービス。
  例えばnetsvcグループには、6to4、AppMgmt、AudioSrv、……などのサービスが含まれ、これらはまとめて1つのグループとして同時に起動させられることになる。

 svchost.exe経由で起動するサービスには多くのものがあるが、このように、いくつかのグループに分かれている。そして同一グループに所属するサービスは、同時に起動することになる。例えば上の画面の例では、「imgsvc」「LocalService」「netsvcs」「NetworkService」「rpcss」「termsvcs」という6つのグループが存在している。どのサービスをどのグループに含めるのかは、サービスの設計者が決めることであり、システム内部の相互の関係や、デバッグや管理のしやすさなどに基づいて決められている(OSのバージョンによっても、同じサービスでもグループ分けが異なる場合がある)。

グループ化されたサービスの起動

 サービスの起動はグループ単位で行われる。例えば「svchost -k netsvc」とすれば、netsvcグループに含まれるサービスが(自動起動するように設定されていれば)起動する。つまり、グループごとに異なるsvchost.exeのインスタンス(プロセス)が作成されるのである。このような事情があるため、実際のプロセスの状態を調べると、複数のsvchost.exeが起動しているように見える。実際のsvchost.exeプロセスとサービスの関係を調べるには、次のようなコマンドを実行する。

C:\>tasklist /fi "imagename eq svchost.exe" /svc

イメージ名                   PID サービス
========================= ====== =============================================
svchost.exe                 1304 RpcSs
svchost.exe                 1440 AppMgmt, AudioSrv, BITS, CryptSvc, Dhcp,
                                 dmserver, ERSvc, EventSystem, helpsvc,
                                 HidServ, lanmanserver, lanmanworkstation,
                                 Messenger, Netman, Nla, RasMan, Schedule,
                                 seclogon, SENS, ShellHWDetection, srservice,
                                 TapiSrv, TermService, Themes, TrkWks,
                                 uploadmgr, W32Time, winmgmt, wuauserv, WZCSVC
svchost.exe                 1612 Dnscache
svchost.exe                 1648 Alerter, LmHosts, RemoteRegistry, SSDPSRV,
                                 WebClient
svchost.exe                 1184 stisvc

 これはWindows XPおよびWindows Server 2003に用意されているtasklist.exe(タスクの一覧を表示させるコマンド)を使った例である。「/fi "imagename eq svchost.exe"」はsvchost.exeプロセスに関する情報だけを表示させる指定、「/svc」はサービスの情報を表示させる指定である。これにより、複数起動されているsvchost.exeプロセスと、各インスタンスのサービスの名称を知ることができる。

 Windows 2000の場合は、サポート・ツール(インストールCD-ROMの\SUPPORT\TOOLSフォルダに含まれるツール集)に含まれるtlist.exeを使えば同様の情報を知ることができる。ただし「/fi(フィルタ)」オプションは存在しないので、「tlist -s | find "svchost.exe"」を実行すればよいだろう。「-s」はサービスに関する情報を表示する指定である。

 以上のようにしてプロセスのID(PID)とそのサービスの関係が分かれば、どのサービス(グループ)がどのポートでリッスンしているかを、大ざっぱではあるが把握することができる。あとは必要ならば、サービスを1つずつ停止したり、起動設定を変更したりしながら調査すればよいだろう。詳細については「TIPS―netstatでリッスンしているプロセスを特定する」を参照していただきたい。ただしサービス名だけでは何のサービスかがよく分からないことが多いので、サービスの設定を変更するためには、そのサービスについてさらに調査する必要がある。

サービス名からその詳細を調査する。

 それぞれのサービスは、「サービス名」と「表示名」という2つの「名前」を持っている。「サービス名」とは、上のtasklist.exeコマンドの結果などで表示されている、サービスを表す短い略称である(サービスが含まれている実行ファイル名ではない)。例えば一番上の行に表示されている「RpcSs」はサービス名であり、このサービスの表示名は正式には「Remote Procedure Call (RPC)」という。

 OS内部では、サービスはすべてこのサービス名で管理されている。例えば各サービスに関するパラメータは、レジストリの「HKLM\SYSTEM\CurrentControlSet\Services」の下にサービス名のキーが作られ、そこに記録されている。

サービスに関するレジストリ・パラメータ
各サービスに関する情報は、レジストリの「HKLM\SYSTEM\CurrentControlSet\Services」以下にサービス名をキーとして作られ、そこに格納されている。これはRpcSsサービスの例。
  サービスに関するレジストリの位置。
  RpcSsサービスの情報を表示させている。このキー名が「サービス名」になっている。
  これがサービスの「表示名」。
  サービスの説明。これを見ると、何をするサービスであるかが推測できる。
  サービスを起動するための実行ファイル・パスとパラメータ。RpcSsサービスはsvchost.exeから起動されていることを確認できる。

 Windows OSでは、サービスの状態を管理するGUIツールとして、[スタート]メニューに[管理ツール]−[サービス]というツールが用意されている。これを使うと、各サービスの情報を得ることができるが、ここでは「表示名」だけが表示されているので、サービス名しか分からない場合には、サービスの詳細を調査するのは容易ではない。何らかの方法でサービス名から表示名を取得する必要がある。

サービスのGUI管理ツール
GUIベースのサービス管理ツールを使えば、各サービスの説明や動作状態などを調査することができる。ただしサービス名ではなく、表示名によって分類されているので、例えばRpcSsサービスは何か、ということを簡単に知ることはできない。
  これはRpcSsサービスのこと。サービス名から表示名を知ることができれば、どのサービスであるか、そのサービスは何か、といった情報を知ることができる。

 サービス名から表示名を知るにはいくつか方法があるが(上記のレジストリを直接調べるという方法もある)、ここではsc.exeコマンドを使う方法を紹介しておこう。

 sc.exeは、Windows XP/Windows Server 2003で標準で用意されている、サービスを制御するためのコマンドである。数多くのサブコマンドを持っているが、その中にサービスに関する情報を調査するためのサブコマンドがある。sc.exeコマンドのサブコマンド一覧については、別稿の「Windows XPの正体―強化されたコマンドライン・ツール」を参照していただきたい。Windows 2000の場合は、Resource Kitツールに含まれている(Resource Kitツールの入手方法については「TIPS―リソースキット・ツールを入手する」参照)。

 sc.exeにqueryexeサブコマンドを付けて実行すると(「sc queryex」を実行する)、現在システム上で実行されているサービスの一覧情報を得ることができるが、サービスに関するコンフィグレーション情報を得るコマンドとして「qc」サブコマンドも用意されている(それぞれの違いについてはsc.exeのヘルプ・メッセージを参照のこと。queryは動作状態を、qcは設定情報を得るサブコマンド)。これを使うと、次のような情報を得ることができる。

C:\>sc qc rpcss
[SC] GetServiceConfig SUCCESS …コマンドが正常実行された

SERVICE_NAME: rpcss  …サービス名
        TYPE               : 20  WIN32_SHARE_PROCESS
        START_TYPE         : 2   AUTO_START …起動方法
        ERROR_CONTROL      : 1   NORMAL
        BINARY_PATH_NAME   : C:\WINDOWS\system32\svchost -k rpcss …実行パス
        LOAD_ORDER_GROUP   : COM Infrastructure
        TAG                : 0
        DISPLAY_NAME       : Remote Procedure Call (RPC) …表示名
        DEPENDENCIES       : …依存関係
        SERVICE_START_NAME : LocalSystem

 これを見ると分かるように、サービス名と表示名が表示されている。いったん表示名さえ分かれば、これと同様の情報は、「サービス」管理ツールでも表示させるのは簡単である。表示名を元にサービスを特定し、そのエントリをダブルクリックすればよい。次のようなダイアログが表示される。End of Article

管理ツールの「サービス」による表示
RpcSsサービスの情報を表示させたところ。
  サービス名。
  表示名。コマンド・プロンプト上で「net start 〜」コマンドを使う場合は、この表示名が使われることが多い。
  サービスの説明。これによってサービスの概要を知り、トラブルシューティングの助けにすることができる。
  実行ファイルのパス。svchost.exeはさらに内部的に多くのサービスを抱えているので、このようにして、起動するサービスのグループを指定している。
  サービスの起動方法。svchost.exeはシステムの基本的なサービスであり、ユーザーが制御することはできないので淡色表示になっている。
  サービスの動作状態。
 
関連記事(Windows Server Insider)
  TIPS―ポートのリッスン状態を調査する
  TIPS―netstatコマンドを使いこなす
  TIPS―netstatでリッスンしているプロセスを特定する
  Windows XPの正体―強化されたコマンドライン・ツール
  TIPS―リソースキット・ツールを入手する
     
  関連リンク
  Windows XP の Svchost.exe の詳細(マイクロソフト)
  Svchost.exe の説明(マイクロソフト)
     
この記事と関連性の高い別のWindows TIPS
サービスのプロセスを特定する(Windows Vista編)
netstatでリッスンしているプロセスを特定する
サードパーティ製サービスの稼働状況を素早く確認する
サービスで使用される「System」「Local Service」「Network Service」アカウントとは?
自動更新サービスを一時的に停止する
このリストは、(株)デジタルアドバンテージが開発した
自動関連記事探索システム Jigsaw(ジグソー) により自動抽出したものです。
generated by

「Windows TIPS」

ホワイトペーパーTechTargetジャパン

Windows Server Insider フォーラム 新着記事

@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

RSSフィード

@IT 新着記事

スキルアップ/キャリアアップ(JOB@IT)

- PR -
@IT Special -PR-
「いつかは壊れるサーバ」そんな故障に
迅速で安価に手軽に対応する方法とは?
New!
「特権ユーザー」の事件を防げ!
万能権限を持つユーザーの管理方法とは?
New!
仮想環境の構築とデータ保護の特効薬?!
実績と信頼性の高いパッケージで安心運用
仮想環境のバックアップもこれまでどおり
「まるごと取ってまるごと戻す」簡単運用
おばかアプリ選手権、第4弾開催中!!
ムダにカッコよくてくだらない作品求ム!
社内ファイルサーバを“クラウド”に統合
VPN直結「クラウド型ストレージ」を紹介
その数、なんと400台以上! グループ内
サーバの「統合管理」によるメリットは?
美人!? まあまあ? 気になる いやし系!!
PV急増で「美人時計」がとった手段とは?
進化を続ける富士通ストレージETERNUS DX
製品開発者の自信を裏付けるものとは何か
運用管理の課題を“2つの観点”から分析
ユーザー満足度の高い「仮想環境」とは?

→@IT Special ヘ

- PR -

お勧め求人情報

キャリアアップ 〜JOB@IT
@IT Special -PR-
  TomcatやJBossなどAPサーバ環境に関する
情報を集約! “業務”用APサーバ大百科
New!
  一気に解説! 最新のクラスタストレージ
「RAIDを超えたストレージ基準」……など
New!
  クラウド的ユーザー体験の変化は脅威か?
仮想化技術を使いこなす運用管理術を紹介
New!

  上司や部下、部署内メンバーとの情報共有
を“ガラッ”と変えるコラボツールとは?
New!
  おばかアプリ選手権、第4弾開催中!!
ムダにカッコよくてくだらない作品求ム!
  社内ファイルサーバを“クラウド”に統合
VPN直結「クラウド型ストレージ」を紹介

  Twitterのアカウントはなぜ突破された?
メールによる新手の攻撃手法とその対策
  もう仮想化のお試しフェイズは終わりだ!
Hyper-V 2.0が基幹システムも仮想化
  美人!? まあまあ? 気になる いやし系!!
PV急増で「美人時計」がとった手段とは?

  クライアント企業から求められる人材
⇒IT技術と経営戦略を併せ持つ「戦略家」
  .NET編集長が実践する「技術情報検索術」
サンプル・コードを簡単に探す“技”は?
  業務効率と情報セキュリティ対策を両立!
手間なく確実に機密情報を守る方法とは?

  進化を続ける富士通ストレージETERNUS DX
製品開発者の自信を裏付けるものとは何か
  運用管理の課題を“2つの観点”から分析
ユーザー満足度の高い「仮想環境」とは?

  【CTC事例】約30の基幹システムを統合!
膨大なバッジジョブを制御した方法は?
  仮想化すればコストは削減できるか?
仮想化に必要な「3つの視点」を解説する
  その数、なんと400台以上! グループ内
サーバの「統合管理」によるメリットは?

→@IT Special ヘ