BOOK Preview

サーバー管理者のためのイベントログ運用の基本

第7章 OS関連のイベント

7.1 システムの停止、起動に関するイベント

毎日コミュニケーションズの書籍紹介ページへ
書籍情報のページ
2005/09/13

 本コーナーは、Windowsシステム管理者向けの書籍から、第3章第7章をそのまま転載し、その内容を紹介するものです。

 今回ご紹介する『サーバー管理者のためのイベントログ運用の基本』は、Windowsサーバ管理では欠かすことのできないイベントログについて、基礎から実践的な活用方法までを1冊にまとめたものです。

 周知のとおりイベントログは、構成変更や障害発生、セキュリティ監査など、Windowsシステムで発生するさまざまな事象(=イベント)を記録するしくみです。Windowsの日々の運用やトラブル発生時の対処、リソース増強計画など、システム管理者の主要な作業を支える貴重な情報源です。

 しかし、イベントログの内容から、管理者が目的とする情報を得るのは容易なことではありません。イベントログは、あくまでシステムで発生したさまざまな事象を発生順に記録しているだけで、システムで何が起こっているのかを知るためには、複数のイベントを組み合わせて読み解く必要があるなど、高度な経験とノウハウが必要になるからです。

 本書の最大の特徴は、単なるイベントログの解説や、個々のイベントの説明だけでなく、実際のWindowsシステム管理の経験に基づくさまざまなノウハウが収録されていることです。Windowsシステム管理者にとっては非常に心強い一冊でしょう。

 本稿では、この書籍『サーバー管理者のためのイベントログ運用の基本』より、イベントログの基礎を解説した第3章「イベントログとは?」、OS関連のイベントについて解説した第7章「OS関連のイベント」をそれぞれ2回に分けて転載します。

 なお、書籍の詳細については書籍情報のページをご覧ください。

ご注意:本記事は、書籍の内容を改訂することなく、そのまま転載したものです。このため用字用語の統一ルールなどは@ITのそれとは一致しません。あらかじめご了承ください。

7.1 システムの停止、起動に関するイベント

 システム管理者にとって、サーバーやシステムの停止、もしくは起動は、大きな関心事です。障害発生時の調査などでも、システム管理者の認知していない再起動や、(ブルースクリーンが表示される)OSシステムエラー発生時の自動再起動などが発生していないか、を確認することはイベントログ調査の基本の一つです。

 次の図は、正常な停止・起動と予期しないシャットダウンの場合に、[システムログ]に記録されるイベントを説明しています。

図7-1 正常な停止・起動と予期しないシャットダウン時に記録されるイベント

 [ソース:EventLogのイベントID:6006]は、正常終了時にのみ記録され、予期しないシャットダウンが発生した場合は、次の起動時に [ソース:EventLogのイベントID:6008]がエラーとして記録されます。

 次は、実際に記録されるイベントの例を示します。

■システムの起動時に記録されるシステムイベント

ソース名 種類 分類 イベントID ユーザー名 コンピュータ名 説明
@ EventLog 情報 なし 6005 N/A SS01-VMW2003STD イベントログサービスが開始されました。
A EventLog 情報 なし 6009 N/A SS01-VMW2003STD Microsoft(R) Windows(R) 5.02.3790 Uniprocessor Free.
 
注釈
表のイベントの順序を注意してください。
本書では、イベントを順序立てて紹介する表では、発生順に、上から下に並べています。イベントビューアやCSVファイルへ出力したものをExcelで見ると、これとは上下逆(最新のイベントが上)に表示されます。

■システムの正常終了時に記録されるシステムイベント

ソース名 種類 分類 イベントID ユーザー名 コンピュータ名 説明
@ EventLog 情報 なし 6006 N/A SS01-VMW2003STD イベントログサービスが停止されました。

■システムの異常終了時 その後のシステム起動時に記録されるシステムイベント

ソース名 種類 分類 イベントID ユーザー名 コンピュータ名 説明
@ EventLog エラー なし 6008 N/A SS01-VMW2003STD 以前のシステムシャットダウン(YYYY/MM/DD HH:MM:SS)は予期されていませんでした。

■OSシステムエラー発生時に記録されるイベント

ソース名 種類 分類 イベントID ユーザー名 コンピュータ名 説明
@ Save Dump 情報 なし 1001 N/A SS01-VMW2003STD このコンピュータはバグチェック後、再起動されました。バグチェック:[stopコード(例. 0xc000021a (0xe1270188, 0x00000001, 0x00000000, 0x00000000) Windows 2000 [v15.2195]) ] ダンプが保存されました:[ダンプファイルのパス]

 [ソース:Save DumpのイベントID:1001]のイベントが記録されるのは、[システムのプロパティ][詳細タブ][起動/回復ボタン][システム エラー]の[システム ログにイベントを書き込む]がチェックされていることが前提なのですが、Windows Server 2003やWindows 2000 Serverでは、強制的にチェックされています。

図7.2 システムのプロパティ
   
図7.3 起動と回復
 
コラム
Windows 2000 リソースキットのuptime.exeツールを活用しよう!

 イベントログから、起動や停止に関するイベントをひとつひとつ探し出して整理するのは、結構めんどくさい作業になります。

 Windows 2000 リソースキットのuptime.exeツールを使用すると、起動や停止に関するイベントを自動的に探してくるだけではなく、稼働時間、停止時間、指定期間での稼働率(可用性)を算出してくれます。

<Windows 2000 リソースキットのツールヘルプから、uptime.exeの使用例を抜粋>

 アップタイムに/sオプションを指定すると、可用性の評価と、システムの開始イベントと停止イベントが返されます。

c:\uptime /s
Uptime Report for: \\DONFUNK-DEV2

Current OS: Microsoft Windows 2000 Uniprocessor Free
Time Zone: Pacific Daylight Time

System Events as of 9/15/1999 10:54:10 AM:

Date:      Time:        Event:               Comment:
--------- -----------  -------------------  ------------------------------
7/26/1999  1:01:48 AM  Boot
7/26/1999  6:46:35 PM  Shutdown             Prior uptime:0d 17h:44m:47s
7/26/1999  6:49:21 PM  Boot                 Prior downtime:0d 0h:2m:46s
7/27/1999 11:49:23 AM  Shutdown             Prior uptime:0d 17h:0m:2s
7/27/1999 11:52:14 AM  Boot                 Prior downtime:0d 0h:2m:51s
 8/5/1999 12:06:46 PM  Shutdown             Prior uptime:9d 0h:14m:32s
 8/5/1999 12:17:16 PM  Boot                 Prior downtime:0d 0h:10m:30s
 8/5/1999 12:37:10 PM  Shutdown             Prior uptime:0d 0h:19m:54s
 8/5/1999 12:39:32 PM  Boot                 Prior downtime:0d 0h:2m:22s
 8/6/1999  5:14:20 PM  Shutdown             Prior uptime:1d 4h:34m:48s
 8/6/1999  5:25:12 PM  Boot                 Prior downtime:0d 0h:10m:52s
 8/6/1999  5:43:10 PM  Shutdown             Prior uptime:0d 0h:17m:58s
 8/6/1999  5:45:31 PM  Boot                 Prior downtime:0d 0h:2m:21s
8/23/1999 11:17:44 AM  Shutdown             Prior uptime:16d 17h:32m:13s
8/23/1999 11:21:07 AM  Boot                 Prior downtime:0d 0h:3m:23s
 9/1/1999  5:10:32 PM  Shutdown             Prior uptime:9d 5h:49m:25s
 9/1/1999  5:13:18 PM  Boot                 Prior downtime:0d 0h:2m:46s
 9/1/1999  5:33:19 PM  Abnormal Shutdown    Prior uptime:0d 0h:20m:1s
 9/1/1999  5:39:14 PM  Boot                 Prior downtime:0d 0h:5m:55s

Current System Uptime: 13 day(s), 17 hour(s), 2 minute(s), 21 second(s)


---------------------------------------------------------------------------

Since 7/26/1999:

           System Availability: 99.9409%
                  Total Uptime: 51d 9h:8m:36s
                Total Downtime: 0d 0h:43m:46s
                 Total Reboots: 10
     Mean Time Between Reboots: 5.14 days
             Total Bluescreens: 0

■シャットダウンイベントの追跡
 Windows Server 2003から、「シャットダウンイベントの追跡ツール」がサポートされています。シャットダウンや再起動する時に、次の図のようにその理由を選択、もしくは入力しないと実行できないようになっています。(実際はWindows XPからサポートされていたのですが、デフォルトで無効になっていたために知られていない存在でした。)

 この機能を使用すると、管理者はユーザーによってコンピュータを再起動もしくはシャットダウンの理由を明確にすることを求められます。

図7.4 シャットダウンの選択
 
図7.5 計画外のシャットダウンの理由
 
図7.6 計画済のシャットダウンの理由

 また、「システムが予期せずシャットダウンした」時には、その次の起動時のログオン後に、以下の画面が表示されます。

図7.7 予期せぬシャットダウン時の理由

 次の図は、図7.1に、シャットダウンイベントの追跡ツールが記録するイベントを追加したものです。

図7.8 シャットダウンイベントの追跡ツールが記録するイベント

 次は、実際にシャットダウンイベントの追跡ツールが記録するイベントの例を示します。

■シャットダウン時に記録されるイベントの例

ソース名 種類 分類 イベントID ユーザー名 コンピュータ名 説明
@ Usesr32 情報 なし 1074 SS01-
VMW2003STD\
Administrator		 SS01-VMW2003STD 次の理由で、プロセス Explorer.EXEは、ユーザー SS01-VMW2003STD\Administrator の代わりに、コンピュータ SS01-VMW2003STD の シャットダウン を始めました:その他 (計画済)
理由コード:0x85000000
シャットダウンの種類:シャットダウン
コメント:
A Usesr32 情報 なし 1074 SS01-
VMW2003STD\
Administrator		 SS01-VMW2003STD 次の理由で、プロセス Explorer.EXE は、ユーザー SS01-VMW2003STD\Administrator の代わりに、コンピュータ SS01-VMW2003STD の シャットダウン を始めました:ハードウェア:インストール (計画済)
理由コード:0x84010002
シャットダウンの種類:シャットダウン
コメント:
B Usesr32 情報 なし 1074 SS01-
VMW2003STD\
Administrator		 SS01-VMW2003STD 次の理由で、プロセス Explorer.EXE は、ユーザー SS-TEST\administrator の代わりに、コンピュータ SS01-VMW2003STD の シャットダウン を始めました:ハードウェア:メンテナンス (計画済)
理由コード:0x84010001
シャットダウンの種類:シャットダウン
コメント:

■再起動時に記録されるイベントの例

ソース名 種類 分類 イベントID ユーザー名 コンピュータ名 説明
@ Usesr32 情報 なし 1074 NT
AUTHORITY\
SYSTEM		 SS01-VMW2003STD 次の理由で、プロセス winlogon.exe は、ユーザー NT AUTHORITY\SYSTEM の代わりに、コンピュータ SS01-VMW2003STDの再起動を始めました:オペレーティング システム:アップグレード (計画済)
理由コード:0x80020003
シャットダウンの種類:再起動
コメント:Windows セットアップが完了しました。コンピュータを再起動する必要があります。
A Usesr32 情報 なし 1074 SS01-
VMW2003STD\
Administrator		 SS01-VMW2003STD 次の理由で、プロセス _INS5576._MP は、ユーザー SS01-VMW2003STD\Administrator の代わりに、コンピュータ SS01-VMW2003STDの再起動を始めました:この理由のタイトルが見つかりません
理由コード:0x0
シャットダウンの種類:再起動
コメント:
B Usesr32 情報 なし 1074 SS01-
VMW2003STD\
Administrator		 SS01-VMW2003STD 次の理由で、プロセス winlogon.exeは、ユーザーNT AUTHORITY\SYSTEMの代わりに、コンピュータSS01-VMW2003STDの再起動を始めました:レガシ API シャットダウン
理由コード:0x80070000
シャットダウンの種類:再起動
コメント:
C Usesr32 情報 なし 1074 SS01-
VMW2003STD\
Administrator		 SS01-VMW2003STD 次の理由で、プロセス winlogon.exeは、ユーザー SS01-VMW2003STD\Administrator の代わりに、コンピュータ SS01-VMW2003STDの再起動を始めました:オペレーティング システム:ホットフィックス (計画済)
理由コード:0x80020011
シャットダウンの種類:再起動
コメント:Windows Server 2003 ホットフィックス-サポート技術情報 (KB) 823182
D Usesr32 情報 なし 1074 SS01-
VMW2003STD\
Administrator		 SS01-VMW2003STD 次の理由で、プロセス Explorer.EXEは、ユーザー SS01-VMW2003STD\Administrator の代わりに、コンピュータ SS01-VMW2003STDの再起動を始めました:ハードウェア:メンテナンス(計画済)
理由コード:0x8401000
シャットダウンの種類:再起動
コメント:

■予期しないシャットダウン時に記録されるイベントの例

ソース名 種類 分類 イベントID ユーザー名 コンピュータ名 説明
@ Usesr32 警告 なし 1076 SS01-
VMW2003STD\
Administrator		 SS01-VMW2003STD 'ユーザー SS01-VMW2003STD\Administrator は、このコンピュータの前回の予期しない再起動の理由として、次の理由を提供しました:その他 (計画外)
理由コード:0xa000000
バグ ID:10
バグチェック文字列:
コメント:原因不明。
A Usesr32 警告 なし 1076 SS01-
VMW2003STD\
Administrator		 SS01-VMW2003STD ユーザー SS-TEST\administratorは、このコンピュータの前回の予期しない再起動の理由として、次の理由を提供しました:システム障害:STOPエラー
理由コード:0x805000f
バグ ID:
バグチェック文字列:
コメント:

 細かいですが、イベントの説明の中で使用されている理由コードついても挙げておきました。

理由コード:0xAABBCCCC
  AA(7-8桁の16進数)→オプションフラグ
  BB(5-6桁の16進数)→主要理由コード(Major Reason Code)
  CCCC(1-4桁の16進数)→詳細理由コード(Minor Reason Code)
 
フラグ 定数名 説明
40 SHTDN_REASON_FLAG_USER_DEFINED ユーザー定義の理由コード。
80 SHTDN_REASON_FLAG_PLANNED 計画されていたシャットダウン。このフラグがない時は、予期せぬシャットダウン。
オプションフラグ
注:オプションフラグについては、上記以外にドキュメント化されていないフラグもある。
 
コード 定数名 説明
04 SHTDN_REASON_MAJOR_APPLICATION アプリケーションの理由。
01 SHTDN_REASON_MAJOR_HARDWARE ハードウェアの理由。
07 SHTDN_REASON_MAJOR_LEGACY_API 古いAPIが使用された。
02 SHTDN_REASON_MAJOR_OPERATINGSYSTEM オペレーティングシステムの理由。
00 SHTDN_REASON_MAJOR_OTHER その他の理由。
06 SHTDN_REASON_MAJOR_POWER 電源障害。
03 SHTDN_REASON_MAJOR_SOFTWARE ソフトウェアの理由。
05 SHTDN_REASON_MAJOR_SYSTEM システム障害。
主要理由コード(Major Reason Code)詳細理由コード(Minor Reason Code)
 
コード 定数名 説明
000F SHTDN_REASON_MINOR_BLUESCREEN STOPエラー。
000b SHTDN_REASON_MINOR_CORDUNPLUGGED 未定義。
0007 SHTDN_REASON_MINOR_DISK ディスク。
000c SHTDN_REASON_MINOR_ENVIRONMENT 環境。
000d SHTDN_REASON_MINOR_HARDWARE_DRIVER ドライバ。
0011 SHTDN_REASON_MINOR_HOTFIX ホットフィックス。
0017 SHTDN_REASON_MINOR_HOTFIX_UNINSTALL ホットフィックスのアンインストール。
0005 SHTDN_REASON_MINOR_HUNG 応答なし。
0002 SHTDN_REASON_MINOR_INSTALLATION インストール。
0001 SHTDN_REASON_MINOR_MAINTENANCE メンテナンス。
0019 SHTDN_REASON_MINOR_MMC MMCの理由。
0014 SHTDN_REASON_MINOR_NETWORK_CONNECTIVITY ネットワーク接続。
0009 SHTDN_REASON_MINOR_NETWORKCARD ネットワークカード。
0000 SHTDN_REASON_MINOR_OTHER その他。
000e SHTDN_REASON_MINOR_OTHERDRIVER その他のドライバ。
000a SHTDN_REASON_MINOR_POWER_SUPPLY 電源。
0008 SHTDN_REASON_MINOR_PROCESSOR プロセッサー。
0004 SHTDN_REASON_MINOR_RECONFIG 再構成。
0013 SHTDN_REASON_MINOR_SECURITY セキュリティの理由。
0012 SHTDN_REASON_MINOR_SECURITYFIX セキュリティのパッチ。
0018 SHTDN_REASON_MINOR_SECURITYFIX_UNINSTALL セキュリティのパッチのアンインストール
0010 SHTDN_REASON_MINOR_SERVICEPACK サービスパック。
0016 SHTDN_REASON_MINOR_SERVICEPACK_UNINSTALL サービスパックのアンインストール。
0020 SHTND_REASON_MINOR_TERMSRV ターミナルサービス。
0006 SHTDN_REASON_MINOR_UNSTABLE 不安定。
0003 SHTDN_REASON_MINOR_UPGRADE アップグレード。
0015 SHTDN_REASON_MINOR_WMI WMIの理由。
詳細理由コード(Minor Reason Code)
 
 

 INDEX
  サーバー管理者のためのイベントログ運用の基本
  第7章 OS関連のイベント
  7.1 システムの停止、起動に関するイベント
    7.2 サービスの起動・停止に関するイベント
    7.3 その他のシステムログに記録されるイベント
 
インデックス・ページヘ  「BOOK Preview」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
@IT