ラボラジアン 1. イベントビューアーについて
Windows には イベントビューアー というアプリケーションが付属しており、そのコンピュータ上で記録された各種イベントを閲覧することができます。
2. イベントビューアーの起動
イベントビューアを使うには、スタートメニューを開き “イベントビューアー” と入力すると「イベントビューアー」アプリケーションが現れますので、そこをクリックするだけです。
3. フィルター機能を使ってイベントの履歴を追う
よく見るのは、画面左の [Windows ログ] – [システム] です。ここには、Windows の起動・シャットダウン・スリープ・ログオンなどといった Windows 自体のイベントが記録されています。
例えば、以下の画面上で選択されているイベントは、「OS (Windows) が起動した」というイベントです。下のあたりを見ると、このイベントの イベントIDが 12 であることが分かります。
このイベントIDを使って、イベントをフィルター(フィルタリング)することができます。この場合で言えば、イベントID 12 でフィルタリングすることによって、「過去、いつ Windows を起動したか」が分かります。
フィルタリングするには、画面左からイベントのカテゴリを選んだ上で、画面右にある「現在のログをフィルター…」をクリックします。
フィルターに指定できる条件はいろいろありますが、イベントIDを指定するには 
のフィールドにイベントIDを入力します。その後、[OK]ボタンを押せば合致したイベントのみが表示されます。
※ そこにも書いてありますが、複数のイベントIDを指定する場合はカンマ区切りで入力することもできますし、範囲指定するにはハイフンでIDをつなげます。
つまり、「どのイベントにどのイベントIDが割り当てられているか」が分かれば、イベント発生の履歴を追うことができます。調査したいイベントIDは自分で調べることもできますし、分からなければインターネットで検索してもよいでしょう。
また、同じイベントIDでもイベントレベルが異なるイベントもありますので、意図したイベントだけをより正確に表示したい場合は複数の条件を指定しましょう。
4. 主なイベントとイベントID
Windows 10 のおける、主なイベントとそのイベントIDを表にしました。
| イベントID | ソース | レベル | イベントの内容 |
|---|---|---|---|
| 12 | Kernel-General | 情報 | OS起動 |
| 13 | Kernel-General | 情報 | OSシャットダウン |
| 42 | Kernel-Power | 情報 | システムがスリープ状態になる |
| 107 | Kernel-Power | 情報 | システムがスリープ状態から再開 |
| 6005 | EventLog | 情報 | イベントログサービスが開始 |
| 6006 | EventLog | 情報 | イベントログサービスが停止 |
| 6008 | EventLog | エラー | システムが正しくシャットダウンしなかった後の起動 |
| 6009 | EventLog | 情報 | 起動時にプロセッサー情報を検知 |
| 7001 | Winlogon | 情報 | ログオン |
| 7002 | Winlogon | 情報 | ログオフ |
追記 (2020年7月)
以下の記事で、イベントについてもう少し詳しく調べました。
