vol.209 イベントログを使いこなせ（その1）｜セイテク・シス管道場（Web）

• URL: https://www.say-tech.co.jp/contents/blog/yamanxworld/2026vol209
• 日付: 2026-06-10
• Tier: Tier 1
• 要旨: Windowsイベントログの構造とコマンドラインツール（WEVTUTIL・Get-WinEvent）を解説。GUIのイベントビューアより圧倒的に高速な検索・フィルタリングが可能で、WinRE環境でのオフライン解析にも対応する。

詳細

Vista以降、イベントログはETWベースに再設計され「アプリケーションとサービスログ」が追加されてログ数が爆発的に増加。WEVTUTIL・Get-WinEventはXPATH形式のクエリを使い、「过去12時間のCritical/Errorイベント一覧」のような複雑な条件を高速で実行できる。

XPATHはイベントビューアのフィルターダイアログのXMLタブからコピー生成可能（<=等のHTMLエンティティは手動デコード必要）。

実用例として紹介されているのは「最後のコールドブート・スリープ復帰からの経過時間をイベントIDで計算するPowerShellスクリプト」。Kernel-General EventID 12（起動）とKernel-Power EventID 107（スリープ復帰）・EventID 1（時刻変更）を組み合わせる。

WEVTUTILはWinREコマンドプロンプトでも動作し、起動不能時のオフラインログ解析（/lfオプション）が可能。tail -f的なリアルタイム監視スクリプトもGet-WinEventで実装可能（2秒ポーリング）。