Windowsのシャットダウン時、何をしているのか“のぞき見”したい！：山市良のうぃんどうず日記（136）（2/2 ページ）

Windowsのシャットダウンや再起動に異常に長い時間がかかるとき、電源ボタンを長押しするのは早計です。電源ボタンによるリセットが必要なハングアップ状態なのかもしれませんが、何か重要な処理を行っていて、それに時間がかかっているのかもしれません。今回は、Windowsがシャットダウン処理中に何をしているのか、知りたいときに利用できる2つの方法を紹介します。

[山市良，テクニカルライター]

Sysmonでプロセスの作成と終了をイベントログに記録する

　Procmonのブートログは、システムの詳細なアクティビティーを記録できますが、監視負荷が大きいため、調査が必要なときに有効化します。対して、Sysmonは常にシステムを監視し、監視データをイベントログに記録します。

　Sysmon（System Monitorの略）は、Windowsのサービス（Sysmon）およびデバイスドライバ（SysmonDrv）としてシステムにインストールされます。一度インストールされると、システムのブート初期段階からシャットダウン処理の途中まで、システムのアクティビティーを監視し続けます。この監視は、Sysmonをアンインストールするまで続きます。

　Sysmonを「-i」オプション付きで実行すると、サービスとドライバがシステムにインストールされます（画面4）。「-u」オプション付きで実行すると、アンインストールされます。「-c」オプションは、現在のSysmonの構成を表示または変更します。

画面4　「Sysmon -i」を実行すると、Sysmonがシステムにインストールされ、既定の構成で監視が始まる

　詳細な構成については説明を省きますが、既定ではプロセスの作成（イベントID 1）と終了（イベントID 5）、ドライバの読み込み（イベントID 6）、Sysmonサービスの状態変化（イベントID 4）を「Microsoft-Windows-Sysmon/Operational」ログに記録します（画面5）。

画面5　監視されたアクティビティーは、イベントログの「Microsoft-Windows-Sysmon/Operational」に記録される。ブート時の監視開始は、イベントID 4のSysmonサービスの開始で判断できる

　オプションでネットワーク接続の状況監視、特定のプロセスだけを対象とした監視、プロセスに対するモジュールの読み込み、リモートスレッドの作成、レジストリアクセス、WMI（Windows Management Instrumentation）イベントの監視などを構成できます。

　Procmonのブートログに比べれば、Sysmonの監視負荷は高くありません。しかし、Sysmonの構成によっては、過度な監視につながる場合もあります。詳細レベルで監視を行う場合は、特定のプロセスだけを対象とするなどの工夫が必要になります。また、大量のログが記録されることになるので、「Microsoft-Windows-Sysmon/Operational」ログの最大サイズや上書き設定を適切に調整する必要もあります。

筆者紹介

山市 良（やまいち りょう）

岩手県花巻市在住。Microsoft MVP：Cloud and Datacenter Management（Oct 2008 - Sep 2016）。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows Server 2016テクノロジ入門−完全版』（日経BP社）。