Windows 11 イベントビューアー活用法〜トラブル解決に役立つ10の実践テクニック

Windows 11のイベントビューアーとは？

Windows 11を使っていて、突然システムが再起動したり、アプリが動かなくなったりした経験はありませんか？

そんなとき、原因を特定するための強力なツールが「イベントビューアー」です。イベントビューアーは、Windowsシステムで発生したあらゆる出来事を記録する、いわばシステムの「日記帳」のような存在です。エラーや警告、システムの動作状況など、すべてがここに記録されています。

Windows 11では、「スタート」→「すべてのアプリ」→「Windowsツール」→「イベントビューアー」から起動できます。初めて開くと、膨大なログの量に圧倒されるかもしれません。でも、使い方さえ理解すれば、トラブルシューティングの心強い味方になってくれます。

イベントビューアーには、主に5つのログカテゴリーがあります。「アプリケーション」ログにはインストールされたソフトウェアの動作記録、「セキュリティ」ログにはログイン履歴や権限変更の情報、「システム」ログにはWindowsの動作状況やエラーが記録されています。さらに「Setup」ログには更新プログラムのインストール情報が、「転送されたイベント」には他のコンピューターから収集したログが保存されます。

【正規ライセンス保証付きのWindows 11をPCユービックで購入する】

イベントログの種類と保存場所を理解する

効率的にトラブルシューティングを行うには、ログがどこに保存されているかを知っておくことが重要です。

Windows 11のイベントログファイルは、既定では「%SystemRoot%\System32\Winevt\Logs\」フォルダーに保存されています。具体的には「C:\Windows\System32\Winevt\Logs\」というパスになります。このフォルダーには、「Application.evtx」「Security.evtx」「Setup.evtx」「System.evtx」といった拡張子が「.evtx」のファイルが並んでいます。

これらのログファイルは、容量が一定量に達すると古いログから自動的に上書きされていきます。重要なログを保存しておきたい場合は、保存先を変更することも可能です。イベントビューアーで該当するログを右クリックし、「プロパティ」から「ログのパス」欄で新しい保存先を指定できます。ただし、フォルダーは事前に作成しておく必要があります。

ログの種類によって、記録される情報の重要度も異なります。「システム」ログは、ハードウェアやドライバーに関するエラーを追跡するのに最適です。「アプリケーション」ログは、特定のソフトウェアが正常に動作しているかを確認するときに役立ちます。「セキュリティ」ログは、不正アクセスの痕跡を探す際に欠かせません。

出典セイ・テクノロジーズ株式会社「Windows イベントログファイルの保存場所と変更方法」（2024年7月更新）より作成

再起動履歴を確認する実践テクニック

システムが予期せず再起動した原因を突き止めたい……そんなときに役立つのが、イベントIDを活用した再起動履歴の確認です。

再起動には「通常の再起動」と「予期しない再起動」の2種類があります。通常の再起動は、ユーザーがシャットダウンや再起動オプションを選択したときに発生します。一方、予期しない再起動は、電源の損失、ハードウェア障害、バグチェック（ブルースクリーン）によって引き起こされます。

再起動履歴を確認するには、イベントビューアーで「システム」ログを開き、特定のイベントIDでフィルタリングします。イベントID「12」（Kernel-General）はOSの起動時刻を、イベントID「13」（Kernel-General）はシャットダウン時刻を記録しています。イベントID「6005」（EventLog）はイベントログサービスの開始を、イベントID「6009」（EventLog）はOSバージョン情報を示します。

通常の再起動は、イベントID「1074」→「13」→「6009」という順序で記録されます。予期しない再起動の場合は、イベントID「41」（Kernel-Power）や「6008」（EventLog）が記録されます。イベントID「41」は「システムは、最初に正常にシャットダウンせずに再起動しました」というメッセージを表示し、予期せぬ応答停止、クラッシュ、電源損失を示唆します。

さらに詳しく原因を調べるには、イベントID「19」（WindowsUpdateClient）でWindows更新プログラムのインストール状況を、イベントID「1001」（WER-SystemErrorReporting）でバグチェック（ブルースクリーン）からの再起動を、イベントID「7045」（System）で新しいサービスのインストールを確認できます。これらのイベントIDを組み合わせることで、再起動の原因を特定しやすくなります。

出典Microsoft Learn「システムイベントログを使用した予期しない再起動のトラブルシューティング」より作成

効率的なログ検索とフィルタリング方法

膨大なログの中から必要な情報だけを抽出する……これがイベントビューアー活用の鍵です。

イベントビューアーには強力なフィルタリング機能が備わっています。ログを右クリックして「現在のログをフィルター」を選択すると、イベントレベル（重大、エラー、警告、情報、詳細）、ログの記録日時、イベントID、タスクのカテゴリ、キーワード、ユーザー、コンピューターなど、さまざまな条件で絞り込めます。

たとえば、過去24時間以内に発生したエラーだけを表示したい場合、「ログの記録」で「最後の24時間」を選択し、「イベントレベル」で「エラー」にチェックを入れます。特定のアプリケーションに関連するイベントだけを見たいときは、「イベントソース」でアプリケーション名を指定します。

複数のイベントIDを同時に検索したいときは、「<すべてのイベントID>」フィールドにカンマ区切りで入力します。例えば「41,6008,1001」と入力すれば、予期しない再起動に関連するイベントをまとめて表示できます。逆に特定のイベントIDを除外したい場合は、イベントIDの前にマイナス記号を付けます。

さらに高度な検索には、「カスタムビューの作成」機能が便利です。よく使う検索条件を保存しておけば、次回から簡単にアクセスできます。「カスタムビュー」→「カスタムビューの作成」から、フィルター条件を設定して名前を付けて保存するだけです。

【正規ライセンス保証付きのWindows 11をPCユービックで購入する】

エラーイベントの読み解き方と対処法

エラーログを見つけたら、次はその内容を正しく理解することが大切です。

イベントビューアーのエラーには、それぞれ「イベントID」と「ソース」が記録されています。イベントIDは問題の種類を示す番号で、ソースは問題が発生したコンポーネントやアプリケーションを示します。エラーの詳細を確認するには、該当するイベントをダブルクリックします。

エラーメッセージには、「一般」タブと「詳細」タブがあります。「一般」タブには、エラーの概要、発生日時、ソース、イベントIDが表示されます。「詳細」タブには、より技術的な情報がXML形式で記録されています。この情報は、サポートに問い合わせる際に役立ちます。

よくあるエラーとして、イベントID「41」（Kernel-Power）は予期しないシャットダウンを示し、電源ユニットの不具合や過熱が原因の可能性があります。イベントID「1001」（WER-SystemErrorReporting）はバグチェック（ブルースクリーン）からの回復を示し、ドライバーの問題やメモリ不良が疑われます。イベントID「10016」（DistributedCOM）はDCOM関連のアクセス許可エラーで、多くの場合は無視しても問題ありません。

エラーの対処法は、エラーの種類によって異なります。ドライバー関連のエラーなら、デバイスマネージャーでドライバーを更新します。アプリケーション関連のエラーなら、アプリの再インストールや更新を試します。システム関連のエラーなら、Windows Updateで最新の修正プログラムを適用します。

セキュリティログで不正アクセスを検知する

セキュリティログは、システムへのアクセス履歴を追跡する重要なツールです。

セキュリティログには、ユーザーのログイン・ログアウト、権限変更、ファイルアクセス、セキュリティポリシーの変更などが記録されます。不正アクセスの痕跡を探すには、特定のイベントIDに注目します。

イベントID「4624」は成功したログオンを、イベントID「4625」は失敗したログオンを記録します。短時間に多数の「4625」イベントが記録されている場合、ブルートフォース攻撃（総当たり攻撃）の可能性があります。イベントID「4720」は新しいユーザーアカウントの作成を、イベントID「4732」はセキュリティグループへのメンバー追加を示します。

セキュリティログを効果的に活用するには、監査ポリシーを適切に設定する必要があります。「グループポリシー管理エディター」から「コンピューターの構成」→「Windowsの設定」→「セキュリティ設定」→「詳細監査ポリシーの構成」に移動し、必要な監査カテゴリーを有効にします。

特に重要なのは、「アカウントログオンイベントの監査」「アカウント管理の監査」「ディレクトリサービスアクセスの監査」「ログオンイベントの監査」「オブジェクトアクセスの監査」です。これらを「成功」と「失敗」の両方で監査するよう設定すると、セキュリティインシデントの検出精度が高まります。

出典Microsoft Learn「Windows イベントログの監査ポリシーを構成する」より作成

アプリケーションログでソフトウェアの問題を追跡する

アプリケーションが突然クラッシュしたり、正常に起動しなかったり……そんなときはアプリケーションログを確認しましょう。

アプリケーションログには、インストールされているソフトウェアの動作状況、エラー、警告が記録されています。特定のアプリケーションに問題がある場合、そのアプリ名やプロセス名でフィルタリングすると、関連するイベントを素早く見つけられます。

アプリケーションエラーでよく見られるのは、「Application Error」や「Application Hang」といったソースです。「Application Error」は、アプリケーションがクラッシュしたことを示し、イベントID「1000」や「1001」で記録されます。「Application Hang」は、アプリケーションが応答しなくなったことを示し、イベントID「1002」で記録されます。

エラーメッセージには、「障害が発生しているアプリケーション名」「障害が発生しているモジュール名」「例外コード」などの情報が含まれています。例外コードは、エラーの種類を示す16進数の値で、「0xc0000005」はアクセス違反を、「0xc0000409」はスタックバッファオーバーランを示します。

アプリケーションエラーの対処法として、まずアプリケーションを最新バージョンに更新します。それでも解決しない場合は、アプリケーションを再インストールします。エラーが特定のファイルやモジュールに関連している場合は、そのファイルが破損していないか確認し、必要に応じて修復します。

イベントログをトリガーにした自動通知設定

重要なエラーが発生したら、すぐに知りたい……そんな要望を叶えるのが、タスクスケジューラーと連携した自動通知機能です。

Windows 11では、特定のイベントが記録されたときに、自動的にメールを送信したり、スクリプトを実行したりできます。この機能は、イベントビューアーではなく、タスクスケジューラーで設定します。

設定手順は次の通りです。まず、「コントロールパネル」→「管理ツール」→「タスクスケジューラー」を開きます。「タスクの作成」を選択し、「全般」タブで分かりやすい名前を付けます。「トリガー」タブで「新規」をクリックし、「タスクの開始」で「イベント時」を選択します。

次に、「ログ」で監視したいログ（例：システム）を、「ソース」でイベントソース（例：Kernel-Power）を、「イベントID」で監視したいID（例：41）を指定します。「操作」タブで「新規」をクリックし、実行したいアクション（メール送信、プログラム起動など）を設定します。

メール送信を設定する場合、「操作」で「電子メールの送信」を選択し、送信元、送信先、件名、本文、SMTPサーバーを入力します。ただし、Windows 10以降では、セキュリティ上の理由から「電子メールの送信」アクションが非推奨となっているため、代わりにPowerShellスクリプトを使用する方法が推奨されます。

出典@IT「イベント・ログをトリガーにしてメールを送信する（基本編）」より作成

ログのエクスポートとバックアップ戦略

重要なログは、後で分析したり、証拠として保存したりするために、エクスポートしておくことが大切です。

イベントビューアーでは、ログを複数の形式でエクスポートできます。ログを右クリックして「すべてのイベントに名前を付けて保存」を選択すると、「イベントファイル（.evtx）」「XMLファイル」「テキストファイル」「CSVファイル」のいずれかの形式で保存できます。

「イベントファイル（.evtx）」形式は、Windowsのイベントビューアーで再度開くことができ、フィルタリングや検索などの機能をそのまま使えます。「XMLファイル」形式は、プログラムで解析しやすく、自動化されたログ分析に適しています。「テキストファイル」や「CSVファイル」形式は、Excelやテキストエディタで開いて、人間が読みやすい形式で確認できます。

定期的なログのバックアップは、セキュリティインシデントの調査や、システム障害の原因分析に役立ちます。特に、セキュリティログは、不正アクセスの証拠として法的に重要な場合があるため、改ざんされないように安全な場所に保存することが推奨されます。

自動バックアップを設定するには、タスクスケジューラーでスクリプトを定期実行する方法があります。PowerShellを使えば、特定のログを定期的にエクスポートし、ネットワークドライブや外部ストレージに保存できます。バックアップの保存期間は、組織のポリシーや法的要件に応じて決定します。

【正規ライセンス保証付きのWindows 11をPCユービックで購入する】

サードパーティ製ログ解析ツールの活用

Windows標準のイベントビューアーは強力ですが、より高度な分析には専用ツールが便利です。

無料で使えるツールとして、「FullEventLogView」はシンプルなログビューアーで、検索・フィルタ機能があり、CSVやHTMLにエクスポートできます。「Event Log Explorer」は高度なフィルタリング・リアルタイム監視機能を備え、日本語にも対応しています。無料版は機能制限がありますが、基本的なログ分析には十分です。

より高度なセキュリティ監視には、「Wazuh」や「Graylog」といったSIEM（セキュリティ情報・イベント管理）ツールが有効です。これらのツールは、Windowsイベントログだけでなく、ネットワークログやアプリケーションログを統合的に管理し、リアルタイムでアラート通知を行えます。不正アクセスやマルウェア感染の兆候を自動検知する機能もあります。

「Wazuh」はオープンソースのSIEMツールで、ログのリアルタイム監視、侵入検知、脆弱性検出、コンプライアンス監視などの機能を提供します。「Graylog」は、ログをダッシュボードでグラフやチャートとして可視化し、特定のエラーログをリアルタイムでアラート通知できます。

これらのツールは、インストールや設定がやや複雑ですが、大規模なシステムや複数のサーバーを管理する場合には、効率的なログ管理を実現できます。中小企業でも、セキュリティ対策を強化したい場合には、導入を検討する価値があります。

出典サイバーセキュリティ.com「Windowsイベントログ解析の無料ツール｜おすすめフリーソフトと活用事例」より作成

まとめ〜イベントビューアーで安定したPC環境を実現

ここまで、Windows 11のイベントビューアーを活用したトラブル解決の実践テクニックを詳しく解説してきました。

イベントビューアーは、システムエラー、アプリケーションの不具合、セキュリティインシデントなど、あらゆる問題の原因を特定するための強力なツールです。ログの種類と保存場所を理解し、効率的な検索とフィルタリングを行えば、膨大なログの中から必要な情報を素早く見つけられます。

再起動履歴の確認、エラーイベントの読み解き、セキュリティログでの不正アクセス検知、アプリケーションログでのソフトウェア問題の追跡など、具体的な活用シーンを理解することで、日常的なトラブルシューティングがスムーズになります。さらに、イベントログをトリガーにした自動通知設定や、ログのエクスポート・バックアップ戦略を実践すれば、問題の早期発見と証拠保全が可能になります。

サードパーティ製のログ解析ツールを活用すれば、より高度な分析やリアルタイム監視も実現できます。無料ツールから本格的なSIEMツールまで、ニーズに応じて選択できます。

イベントビューアーを使いこなすことで、システムの安定性を高め、セキュリティリスクを低減し、トラブル発生時の対応時間を大幅に短縮できます。まずは、日常的にイベントビューアーを開いて、システムの状態を確認する習慣をつけることから始めてみてください。

そして、安定したPC環境を長く維持するためには、正規ライセンスのWindows 11を使用することが不可欠です。PCユービックでは、正規認証保証付きのWindows

11を格安価格で提供しています。全国一律送料無料、インボイス対応の適格請求書も発行可能です。法人・個人問わず、安心してご利用いただけます。

イベントビューアーで原因特定 → あとは安定環境を整えるだけ【正規ライセンス保証付きのWindows 11をPCユービックで購入する】