WindowsのイベントIDは、システムやセキュリティの状態を把握し、トラブルシューティングや監視に役立つ重要な情報を提供します。
しかし、「数字がたくさんあってわからない」「どのイベントIDが重要なの?」と感じる方も多いでしょう。
この記事では、代表的なイベントIDとその概要をカテゴリ別にまとめ、実際の対処方法も含めてわかりやすく解説します。
イベントログとは?基本を理解しよう
イベントログの役割
Windowsイベントログは、コンピューターで発生したすべての出来事を記録する「システムの日記」のようなものです。
以下のような情報が自動的に記録されています。
記録される主な情報
- ユーザーのログオン・ログオフ
- アプリケーションの起動・終了
- システムエラーや警告
- セキュリティ関連の出来事
- ハードウェアの状態変化
イベントログの種類
Windowsには主に以下の種類のログがあります。
| ログの種類 | 内容 | 主な用途 |
|---|---|---|
| セキュリティ | ログオン、アクセス制御、監査イベント | セキュリティ監視、不正アクセス検出 |
| システム | OS、ドライバー、サービスのイベント | システム障害の調査、パフォーマンス監視 |
| アプリケーション | インストール済みソフトウェアのイベント | アプリケーション障害の調査 |
| セットアップ | Windowsアップデートやインストール | 更新プログラムの適用状況確認 |
イベントレベルの理解
各イベントには重要度を示すレベルが設定されています。
| レベル | アイコン | 意味 | 対応の緊急度 |
|---|---|---|---|
| エラー | ❌ | システムやアプリケーションに問題が発生 | 高 |
| 警告 | ⚠️ | 将来的に問題になる可能性がある | 中 |
| 情報 | ℹ️ | 正常な動作の記録 | 低 |
| 重要 | ? | システムの安定性に影響する問題 | 最高 |
セキュリティ関連のイベントID
セキュリティイベントは、ユーザーのログオンやシステムの監査ポリシーの変更など、システムの安全性に関わる重要な情報を記録します。
ログオン・ログオフ関連
| イベントID | 内容 | 重要度 | 対処方法 |
|---|---|---|---|
| 4624 | アカウントが正常にログオンしました | 情報 | 通常は対処不要。異常な時間のログオンがないか確認 |
| 4625 | アカウントがログオンに失敗しました | 警告 | 連続した失敗は攻撃の可能性。IPアドレスとアカウント名を確認 |
| 4634 | アカウントがログオフしました | 情報 | 通常は対処不要。ログオン時間の監視に活用 |
| 4648 | 明示的な資格情報を使用してログオンが試行されました | 情報 | RunAsコマンドなどの使用。不審な操作がないか確認 |
4625の詳細な対処例
イベントID: 4625
説明: アカウント "admin" のログオンに失敗しました
失敗の理由: 不明なユーザー名またはパスワードが正しくありません
ワークステーション名: DESKTOP-ABC123
送信元ネットワークアドレス: 192.168.1.100
対処方法:
1. 複数回連続で発生している場合は攻撃の可能性
2. 送信元IPアドレスが社内ネットワーク外の場合は注意
3. 必要に応じてアカウントロックやファイアウォール設定を検討
アカウント管理関連
| イベントID | 内容 | 重要度 | 対処方法 |
|---|---|---|---|
| 4720 | ユーザーアカウントが作成されました | 警告 | 承認されていないアカウント作成がないか確認 |
| 4726 | ユーザーアカウントが削除されました | 警告 | 削除したアカウントと実行者を確認 |
| 4738 | ユーザーアカウントが変更されました | 情報 | 権限変更の内容を確認 |
| 4781 | アカウント名が変更されました | 警告 | 変更理由と実行者を確認 |
Kerberos認証関連
| イベントID | 内容 | 重要度 | 対処方法 |
|---|---|---|---|
| 4768 | Kerberos認証チケット(TGT)が要求されました | 情報 | ドメイン環境での正常な認証。異常な頻度がないか確認 |
| 4769 | Kerberosサービスチケットが要求されました | 情報 | サービスアクセスの記録。不審なサービスアクセスがないか確認 |
| 4771 | Kerberos事前認証に失敗しました | エラー | パスワード攻撃の可能性。連続発生時は要注意 |
監査・ログ関連
| イベントID | 内容 | 重要度 | 対処方法 |
|---|---|---|---|
| 4719 | システム監査ポリシーが変更されました | 重要 | 変更内容と実行者を確認。承認されない変更は調査 |
| 1102 | 監査ログが削除されました | 重要 | ログ削除の理由と実行者を確認。証拠隠滅の可能性 |
これらのイベントは、セキュリティ侵害の兆候を早期に検出するために監視することが推奨されています。特に4625、4720、1102は重点的にチェックしましょう。
システム関連のイベントID
システムイベントは、Windowsの起動やシャットダウン、サービスの状態など、システムの動作状況を記録します。
システム起動・シャットダウン関連
| イベントID | 内容 | 重要度 | 対処方法 |
|---|---|---|---|
| 4608 | Windowsが起動しています | 情報 | システム起動の記録。起動時間の監視に活用 |
| 4609 | Windowsがシャットダウンしています | 情報 | 正常シャットダウンの記録。予期しないシャットダウンがないか確認 |
| 6005 | イベントログサービスが開始されました | 情報 | システム起動の確認に使用 |
| 6006 | イベントログサービスが停止しました | 情報 | システムシャットダウンの確認に使用 |
| 6008 | 前回のシステムシャットダウンが予期しないものでした | 警告 | 不正なシャットダウンの原因を調査 |
6008の詳細な対処例
イベントID: 6008
説明: 前回のシステムシャットダウンは予期しないものでした
前回の起動時刻: 2025-01-08 09:30:15
シャットダウン時刻: 2025-01-08 14:45:22
対処方法:
1. 停電やハードウェア障害の可能性を確認
2. イベントログで同時刻のエラーイベントを確認
3. ブルースクリーンダンプファイルの確認
4. UPSの導入やハードウェア診断を検討
アプリケーションエラー関連
| イベントID | 内容 | 重要度 | 対処方法 |
|---|---|---|---|
| 1000 | アプリケーションエラーが発生しました | エラー | 障害アプリケーションの特定と更新・再インストール |
| 1001 | アプリケーションのハングが発生しました | エラー | アプリケーションの強制終了と原因調査 |
| 1026 | .NETランタイムエラーが発生しました | エラー | .NET Frameworkの更新や再インストール |
Windowsアップデート関連
| イベントID | 内容 | 重要度 | 対処方法 |
|---|---|---|---|
| 19 | Windows Updateの更新プログラムが正常にインストールされました | 情報 | インストール済み更新の確認 |
| 20 | Windows Updateの更新プログラムのインストールに失敗しました | エラー | エラー詳細を確認し、手動での更新を試行 |
| 21 | Windows Updateが再起動を要求しています | 警告 | 適切なタイミングでの再起動実施 |
サービス・ドライバー関連
| イベントID | 内容 | 重要度 | 対処方法 |
|---|---|---|---|
| 7000 | サービスの開始に失敗しました | エラー | サービスの依存関係とアクセス許可を確認 |
| 7001 | サービスが予期せず終了しました | エラー | サービスの再起動と原因調査 |
| 7011 | サービスからの応答がタイムアウトしました | 警告 | サービスの応答性を確認し、必要に応じて再起動 |
| 7034 | サービスが予期せず終了しました | エラー | サービスの設定と依存関係を確認 |
システムファイル・時刻関連
| イベントID | 内容 | 重要度 | 対処方法 |
|---|---|---|---|
| 4001 | システムファイルの整合性チェックに失敗しました | エラー | sfc /scannowコマンドでシステムファイルを修復 |
| 4616 | システム時刻が変更されました | 情報 | 時刻同期の確認。不正な変更がないかチェック |
| 1100 | イベントログサービスがシャットダウンしました | 情報 | 正常なシャットダウンプロセスの一部 |
| 1104 | セキュリティログが満杯になりました | 警告 | ログサイズの拡張またはアーカイブ設定の見直し |
これらのイベントは、システムの安定性やパフォーマンスの問題を特定する際に役立ちます。特に7000番台のサービスエラーと1000番台のアプリケーションエラーは優先的に対処しましょう。
アプリケーション関連のイベントID
アプリケーションイベントは、インストールされているソフトウェアの動作状況やエラー情報を記録します。
一般的なアプリケーションエラー
| イベントID | 内容 | 重要度 | 対処方法 |
|---|---|---|---|
| 1000 | アプリケーションがクラッシュしました | エラー | アプリケーションの再インストールや更新 |
| 1001 | アプリケーションのエラー報告が生成されました | 情報 | Windows Error Reportingの結果確認 |
| 1002 | アプリケーションがハングしました | エラー | アプリケーションの強制終了と原因調査 |
Microsoft Office関連
| イベントID | 内容 | 重要度 | 対処方法 |
|---|---|---|---|
| 2001 | Microsoft Officeアプリケーションのエラー | エラー | Officeの修復インストールまたは更新 |
| 2004 | Outlookの同期エラー | 警告 | メールサーバー接続とプロファイル設定の確認 |
Web ブラウザー関連
| イベントID | 内容 | 重要度 | 対処方法 |
|---|---|---|---|
| 1000 | Internet Explorerのクラッシュ | エラー | ブラウザーの設定リセットやアドオンの無効化 |
| 1002 | Chromeプロセスのクラッシュ | エラー | ブラウザーの更新やプロファイルの再作成 |
これらのイベントは、アプリケーションのトラブルシューティングやパフォーマンスの最適化に役立ちます。頻繁に発生するアプリケーションエラーは、システム全体の安定性に影響することがあります。
イベントIDの確認方法
イベントビューアーの基本操作
Windowsでは、以下の手順でイベントIDを確認できます。
手順1: イベントビューアーの起動
Windows + Rキーを押して「ファイル名を指定して実行」を開くeventvwr.mscと入力してEnterキーを押す または- スタートメニューを開き、「イベントビューアー」と入力
- 検索結果から「イベントビューアー」をクリック
手順2: ログの選択
- 左ペインの「Windowsログ」を展開
- 確認したいログ(セキュリティ、システム、アプリケーション)を選択
手順3: イベントの詳細確認
- 中央ペインのイベント一覧から詳細を確認したいイベントをダブルクリック
- 「全般」タブにイベントIDや詳細情報が表示される
効率的な検索とフィルタリング
特定のイベントIDを検索
- 右ペインの「現在のログをフィルター」をクリック
- 「イベントID」欄に検索したいIDを入力(複数の場合はカンマ区切り)
- 「OK」をクリック
時間範囲での絞り込み
- フィルター画面で「記録」欄の開始日時と終了日時を設定
- 特定の期間のイベントのみを表示
レベル別での絞り込み
- フィルター画面で「イベントレベル」の該当項目にチェック
- エラーのみ、警告のみなどに絞り込み可能
PowerShellでのイベント取得
より高度な分析には、PowerShellコマンドが便利です。
基本的なイベント取得
# 最新の10件のシステムエラーを取得
Get-EventLog -LogName System -EntryType Error -Newest 10
# 特定のイベントIDを検索
Get-EventLog -LogName Security -InstanceId 4625 -Newest 50
# 特定の時間範囲のイベントを取得
$StartTime = (Get-Date).AddDays(-1)
Get-WinEvent -FilterHashtable @{LogName='System'; StartTime=$StartTime; Level=2}
CSVファイルへの出力
# セキュリティログオン失敗をCSVで出力
Get-EventLog -LogName Security -InstanceId 4625 -Newest 100 |
Export-Csv -Path "C:\temp\login_failures.csv" -NoTypeInformation
監視すべき重要なイベントID
優先度:最高(即座に対応が必要)
| イベントID | ログ種別 | 内容 | なぜ重要か |
|---|---|---|---|
| 1102 | セキュリティ | 監査ログが削除された | 証拠隠滅の可能性 |
| 4720 | セキュリティ | ユーザーアカウントが作成された | 不正アカウント作成の可能性 |
| 4625 | セキュリティ | ログオン失敗(連続発生時) | ブルートフォース攻撃の可能性 |
| 6008 | システム | 予期しないシャットダウン | システム障害の兆候 |
優先度:高(定期的な確認が必要)
| イベントID | ログ種別 | 内容 | 確認頻度 |
|---|---|---|---|
| 4719 | セキュリティ | 監査ポリシー変更 | 週次 |
| 4726 | セキュリティ | ユーザーアカウント削除 | 週次 |
| 7000-7034 | システム | サービス関連エラー | 日次 |
| 1000 | アプリケーション | アプリケーションクラッシュ | 日次 |
優先度:中(月次での確認で十分)
| イベントID | ログ種別 | 内容 | 確認頻度 |
|---|---|---|---|
| 4624 | セキュリティ | 正常ログオン | 月次 |
| 4608/4609 | システム | 起動/シャットダウン | 月次 |
| 19/20 | システム | Windows Update | 月次 |
自動監視とアラートの設定
タスクの作成による自動監視
Windows標準機能でイベント発生時の自動対応が可能です。
手順例:ログオン失敗の監視
- イベントビューアーでイベントID 4625を右クリック
- 「このイベントにタスクをアタッチ」を選択
- タスクスケジューラが起動し、条件設定
- アクション(メール送信、プログラム実行など)を設定
PowerShellスクリプトでの定期監視
# 過去24時間のログオン失敗をチェック
$StartTime = (Get-Date).AddDays(-1)
$FailedLogins = Get-WinEvent -FilterHashtable @{
LogName='Security'
ID=4625
StartTime=$StartTime
}
if ($FailedLogins.Count -gt 10) {
# メール送信やログ出力などの処理
Write-Host "警告: 過去24時間で$($FailedLogins.Count)回のログオン失敗が発生"
}
トラブルシューティングの実践例
ケース1: ログオン失敗が頻発している
症状: イベントID 4625が短時間で複数回発生
調査手順
- イベントの詳細で送信元IPアドレスを確認
- 対象アカウント名を確認
- 時間パターンを分析
対処方法
外部IPからの攻撃の場合:
- ファイアウォールでIPブロック
- VPN経由アクセスの検討
- アカウントロックポリシーの強化
内部での問題の場合:
- パスワード期限切れの確認
- アプリケーションの設定確認
- サービスアカウントの確認
ケース2: システムが予期せずシャットダウンする
症状: イベントID 6008が定期的に発生
調査手順
- 同時刻のシステムログをチェック
- ハードウェア関連のエラーを確認
- 温度やファンの動作状況を確認
対処方法
ハードウェア問題の場合:
- メモリ診断の実行
- ハードディスクの健康状態確認
- 電源ユニットの診断
ソフトウェア問題の場合:
- デバイスドライバーの更新
- Windowsアップデートの適用
- セーフモードでの動作確認
ケース3: アプリケーションが頻繁にクラッシュする
症状: イベントID 1000が特定のアプリケーションで頻発
調査手順
- クラッシュするアプリケーションの特定
- 障害モジュールの確認
- 関連するWindowsアップデートの確認
対処方法
アプリケーション固有の問題:
- アプリケーションの更新
- 設定ファイルのリセット
- クリーンアンインストール後の再インストール
システム関連の問題:
- .NET Frameworkの修復
- Visual C++ Redistributableの更新
- システムファイルの整合性チェック
まとめ:イベントログを活用してシステムを安全に運用しよう
Windowsのイベントログは、システムの健康状態を把握し、問題の早期発見・解決に役立つ重要な機能です。
単なる記録ではなく、プロアクティブなシステム管理のための強力なツールとして活用できます。
この記事で学んだポイント
- イベントログの基本概念と種類の理解
- セキュリティ、システム、アプリケーション各分野の重要イベントID
- イベントビューアーとPowerShellを使った効率的な調査方法
- 優先度別の監視すべきイベントIDの整理
- 実践的なトラブルシューティング手法
コメント