コマンドプロンプトでイベントログを確認する方法|wevtutilコマンドの基本と活用
目次
スポンサードリンク
イベントログとは?
イベントログはWindowsで発生したシステムやアプリケーションの動作を記録したログのことです。問題発生時のトラブルシューティングやシステム監視に活用されます。通常は「イベントビューアー」というGUIアプリケーションから確認しますが、コマンドプロンプトでも確認が可能です。
コマンドプロンプトでイベントログを確認する基本コマンド
Windowsでは wevtutil コマンドでイベントログを確認できます。基本的な構文は以下の通りです。
wevtutil el
以下例では、システム内のイベントログをすべて表示しています。(一部抜粋)
C:\Users\username>wevtutil el
AMSI/Debug
AirSpaceChannel
Analytic
Application
Camera_DeviceMFT
Camera_FrameServer
Dell
Dell Trusted Device
DirectShowFilterGraph
ログの詳細な内容を確認する方法
wevtutil el コマンドでは、どのような種類のログがあるか確認することができました。各ログの詳細な内容を確認したいときは、以下のコマンドを実行します。
wevtutil qe <ログファイル名> /c:10 /f:text
主要なイベントログの種類には以下があります。
| ログ名 | 用途 |
|---|---|
| System | デバイス、ドライバ、OSの動作ログ |
| Application | アプリケーション関連のログ |
| Security | ユーザー認証や監査イベント |
| Setup | インストールやセットアップ関連 |
| ForwardedEvents | 他のPCから転送されたイベントログ |
以下例は、Dell というイベントログの内容を10件テキスト形式で表示したものの抜粋です。
C:\Users\username>wevtutil qe Dell /c:10 /f:text
Event[0]
Log Name: Dell
Source: DigitalDelivery
Date: 2025-03-10T15:07:36.7320000Z
Event ID: 0
Task: なし
Level: 情報
Opcode: 情報
Keyword: クラシック,
User: N/A
User Name: N/A
Computer: NOTE001
Description:
Found 0 entitlement notifications to send.
Event[1]
Log Name: Dell
Source: DigitalDelivery
Date: 2025-03-10T15:11:25.2220000Z
Event ID: 0
Task: なし
Level: 情報
Opcode: 情報
Keyword: クラシック,
User: N/A
User Name: N/A
Computer: NOTE001
Description:
Found 0 entitlement notifications to send.
/f:text は出力形式を指定しています。XML形式での出力にも対応しています。以下例ではSystemログをXML形式で出力しています。
C:\Users\username>wevtutil qe System /c:1 /f:xml
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System><Provider Name='Microsoft-Windows-Kernel-General' Guid='{a68ca8b7-004f-d7b6-a698-07e2de0f1f5d}'/><EventID>16</EventID><Version>0</Version><Level>4</Level><Task>0</Task><Opcode>0</Opcode><Keywords>0x8000000000000000</Keywords><TimeCreated SystemTime='2025-01-15T03:45:56.0517519Z'/><EventRecordID>66854</EventRecordID><Correlation/><Execution ProcessID='20668' ThreadID='9188'/><Channel>System</Channel><Computer>NOTE001</Computer><Security UserID='S-1-5-18'/></System><EventData><Data Name='HiveNameLength'>171</Data><Data Name='HiveName'>\??\Volume{a0b3c635-8d0c-4938-a90b-af5de90d1e40}\System Volume Information\SPP\SppCbsHiveStore\{cd42efe1-f6f1-427c-b004-033192c625a4}{1038DF21-EB2C-49DA-A411-5531D734274F}</Data><Data Name='KeysUpdated'>825</Data><Data Name='DirtyPages'>106</Data></EventData></Event>
まとめ
イベントログの確認は、システム運用や障害対応に欠かせない作業です。GUIのイベントビューアーよりも素早く確認したいときや、スクリプトによる自動取得を行いたいときは、wevtutilの活用が非常に便利です。
コマンドプロンプトのポケットリファレンス:Windows11対応版
Windows環境で開発やシステム管理を行うエンジニアにとって、コマンドプロンプトの知識は非常に重要なスキルセットです。こちらの書籍は初心者にもわかりやすく網羅的です。手元に置いておきたい一冊です。
リンク
PowerShellの基礎を一通り学べるおすすめ書籍
リンク
