Windows のトラブルシューティングで、ほぼ確実に名前が挙がるのがイベントビューアー です。
一方で、
- 開いた瞬間に情報量が多すぎる
- エラーと警告が大量に並んでいて怖い
- 結局どこを見ればいいのかわからない
という理由で、そっと閉じてしまう方も多いのではないでしょうか。
この記事では、イベントビューアーを「全部読まない」前提で、初心者が最低限見るべきポイントを解説します。
- 前提 : イベント ログは 「過去何が起きていたか」 を知るログ
- イベントビューアーの開き方
- 初心者が見る場所は 2 箇所で OK
- まずは "日付と時刻" を見よう
- "全般" タブを見よう
- よくある(?) 質問
- まとめ
前提 : イベント ログは 「過去何が起きていたか」 を知るログ
イベントビューアーは問題の手がかりを集めるうえで利用されるものです。
しかし、よくある勘違いとして 「エラーが出ていたから今も問題が起き続けている!」 と認識することです。
その認識は時として合っている場合もありますが、そうでない場合もあります。
イベント ビューアーとは、記録されている時刻に何が起きていたかを知るものであり、今現在も同じ状況である保証はありません。
あくまでもイベント ログは、その瞬間に何が起きていたかという過去の情報を知るためのものという点は理解しましょう。
しかし、
- いつ
- どのコンポーネントで
- 何が起きたか
を把握するためには、有用な情報になります。
イベントビューアーの開き方
最も簡単な方法は以下です。
- スタートボタンを右クリックする
- [イベント ビューアー] をクリックする
それ以外にも、 [Windows キー] + [X] を押下後に [イベント ビューアー] をクリックするなどの方法があります。
初心者が見る場所は 2 箇所で OK
イベントビューアーを開くと左側に大量のツリーが表示されますが、
初心者が最初に見るべき場所は 2 つだけです。
それは Windows ログの配下にある、Application とシステムです。
Application には、その名の通りアプリケーションに関する情報が記録され、特定のアプリが落ちる、起動しないなどの場合は基本的にここから見ていきます。
システムにはサービスやドライバー、シャットダウンなどの電源関連といった、OS 全体のログが記録されます。
初心者の場合はこの 2 つだけを見れば大丈夫。
[セキュリティ] や [アプリケーションとサービス ログ] の配下を見る必要がある場合もありますが、これらは中級者になってからかなと個人的には考えています。
「エラー」だけを見ればいい?
多くの方がまず気にするのが、
- 赤いアイコン(エラー)
- 黄色いアイコン(警告)
ですが、エラー = 必ず問題、ではありません。
前提でも述べたように、イベント ログはあくまでも過去の情報です。
そのため、
- 起動時に一瞬失敗して再試行している
- 既に回復済みのエラー
- ユーザー操作に影響しない内部処理
等も警告やエラーとして記録され、残り続けます。
まずは "日付と時刻" を見よう
イベント ログでまず見るポイントは日付と時刻です。
先ほども述べた通り、イベント ビューアーはその時に何が起きていたかという瞬間の情報 (過去の情報) を表示します。
そのため、問題がいつ起きたかを記録し、怪しい時刻を見ていくところからがスタートになります。
見るべき基準
- 問題が発生した時刻
- その 直前〜直後
イベントビューアーは時系列で原因を追うためのツールです。
そのため、イベント単発でわかることは少なく、その直前から直後の、一貫した流れを見ることが重要です。
慣れていない方はエラーや警告だけを見て、「このエラーは何ですか」 という聞き方をします。
脱初心者への道としては、イベント ビューアーは過去に発生した現象の時系列を追うツールであることをしっかり頭にいれて、流れを読むことが大事です。
"全般" タブを見よう
ログを選択すると、画面の下半分に情報が表示されます。
イベント ログで確認する場所は以下になります。
- ① ログの日付
- ② ソース
- ③ イベント ID
- ④ レベル
- ⑤ 説明
これらは「いつ・誰が・何を・どの程度の深刻度で・何をしたか」を判断するための最低限の情報です。
ログの日付はその問題がいつ起きたかを示すものになります。
つまりここが明確になっていないとそれ以上の調査が困難になることもあり得ます。
続いて、ソースとイベント ID はセットだと思ってください。
ソースとは、どのコンポーネントが出したログであるかを示します。
イベント ID だけではわからない理由として、同じイベント ID だけどメッセージを発生させているソースが異なっているという事態がよくあります。
以下のログは、どちらもアプリケーション イベントに記録されているイベント ID : 0 のログですが、ソースが異なっていると内容やレベルが異なります。
そしてレベルについては言わずもがな。
これがエラーであるか警告であるかを示します。
最後に説明。
これがイベント ログの主役です。
何が起きていたかが記録されています。
そのため、Windows に詳しい人に問題が起きたことを知らせる際には、このメッセージを元に状況を紐解いていくことになります。
くれぐれも何か起きていることを詳しい人に調べてもらう際に、「イベント ID : xxx が発生しているんですけどどうしたらいいですか?」 なんて聞き方をしないようにしてくださいね。
最低限、上記の ① から ⑤ を伝えましょう。
エラー コード (例外コード) が出ている場合
説明文に、
- 0x8007xxxx
- 0xC000xxxx
といったコードが含まれることがあります。
これは内部エラーコードと呼ばれるもので、このコードの意味を調べることで問題の内容が明確になることがあります。
エラー コードを調べるために、Microsoft から、エラー ルックアップ ツールというものが提供されていますため、もし見かけた際には使ってみましょう。
よくある(?) 質問
Q. エラーや警告が 1 つ出ていますが、問題ですか?
これだけでは判断できません。
先ほどの ① から ⑤ の内容を読み解いて判断する必要があります。
例えばこちらのイベント。
これは警告のイベントですね。
デスクトップ ウィンドウ マネージャー (dwm.exe) は基本的には常時起動しており、何らかの問題で終了してしまっても、すぐプロセスが再起動します。
そのため、これが単発で出ている場合には問題ないが、頻繁に発生する場合には、プロセスを閉じてしまっている何者かがいる可能性がある、と推測できます。
一方で、単発ですが以下のエラーが発生している場合はどうでしょう。
このイベントは予期せぬシャットダウン、つまり何らかの要因でシャットダウンする前に電源が落ちてしまったことを示します。
これが全く意図していないものであれば、詳細の調査が必要になります。
※ 今回はわざと検証環境の電源をプチっと切って意図的に出しています。故障の原因になりますため真似しないでください。
Q. エラーや警告は全部解消しないといけないですよね?
いいえ。そんなことはありません。
その理由としては、記録されているエラーや警告がもう直っている可能性があること、イベント ログは OS のあらゆるコンポーネントに関するエラーを記録します。
そのため、バックグラウンドで動作しているコンポーネントに関するものが多数記録されている場合や、無視してよいメッセージなども存在します。
これらの 10016 イベントは、Microsoft コンポーネントが必要なアクセス許可なしで DCOM コンポーネントにアクセスしようとしたときにログに記録されます。 このケースでは、この動作は仕様通りです。
イベントを読み解いて、解消すべきエラーかどうかを、その環境を管理している人が正しく判断する必要があります。
Q. 警告は無視してよいのでしょうか?
警告はあくまでも警告。エラーとは質が違うため、無視してよいこともあります。
一方で、無視しない方がよい警告などもありますため、ケースバイケースでの判断になります。
まとめ
イベント ビューアーは、Windows の不調を直接「直す」ためのツールではありません。
過去に何が起きていたかを正しく把握するための記録です。
そのため、
- エラーや警告があるかどうか
- イベント ID が何番か
だけを見て判断するのは適切ではありません。
初心者のうちは、次のポイントだけを意識すれば十分です。
- 見る場所は「Application」と「システム」
- まずは「日付と時刻」を基準に見る
- 単発のイベントではなく前後の流れを見る
- ログを見るときは「①〜⑤」の情報をセットで読む
これらを意識するだけで、イベント ビューアーは「怖いツール」から「状況を整理するための道具」に変わります。
慣れてきたら、エラー コードの意味を調べたり、セキュリティ ログやアプリケーションとサービス ログを読むことで、さらに深いトラブルシューティングができるようになります。
