Disk2vhdでP2V移行した仮想サーバの同一日時のイベントログの内容が時間経過後変化した。

Question

原因と解決方法を教えていただきたく。

実施したこと。

Windows 2016(物理サーバ)をDisk2vhdをつかってWindows2022(Hiper-Vサーバ)にオフライン移行した。

移行直後にエクスポートしたイベントログには以下のエラーが表示されたいた。

　「ファイル システム フィルター 'WdFilter' (10.0、‎2016‎-‎07‎-‎16T11:25:21.000000000Z) が 正常に読み込まれ、フィルター マネージャーに登録されました。」

(イベントID56)

数日経ってから、移行した仮想サーバ内のイベントログを起動すると、以下のエラーに変化していた。

　　　「ソース "Application Popup" からのイベント ID 56 の説明が見つかりません。

　　　　このイベントを発生させるコンポーネントがローカル コンピューターにインストールされていないか、インストールが壊れています。

　　　　ローカル コンピューターにコンポーネントをインストールするか、コンポーネントを修復してください。

　　　　イベントが別のコンピューターから発生している場合、イベントと共に表示情報を保存する必要があります。

　　　　イベントには次の情報が含まれています:

　　　　SCSI

　　　　000000

　　　　要素が見つかりません。」

同様のことがID7023でも起こっている。

他のエラーで同事象は発生していない。

なお、イベントログをエクスポートするときは、表示情報で「これらの言語についての表示情報」を選択し、「日本語」を選択している。

Answer 1

WdFilter は Windows Defender のフィルタードライバーですが、P2V の前後で Windows Defender の設定や構成など同じでしょうか？

Answer 2

返信ありがとうございます。

Windows Defenderについて特に変更しておりません。

他に必要な情報がありましたら、教えていただけますでしょうか。

Answer 3

ちなみに、過去の（P2V 前の）イベントログの表示が正しくないというだけで、P2V 後のログは問題ないのですよね？

Answer 4

返信ありがとうございます。

P2V後でも再起動すると、下記のエラーが出てしまいます。そこが一番の問題です。(ですので、タイトルとはずれてしまいますが、過去のイベントログは気にしませんが、表示がおかしいイベントログが出続けてしまうことを解決したいです。)

　　　「ソース "Application Popup" からのイベント ID 56 の説明が見つかりません。 

　　　　このイベントを発生させるコンポーネントがローカル コンピューターにインストールされていないか、インストールが壊れています。 

　　　　ローカル コンピューターにコンポーネントをインストールするか、コンポーネントを修復してください。 

　　　　イベントが別のコンピューターから発生している場合、イベントと共に表示情報を保存する必要があります。 

　　　　イベントには次の情報が含まれています: 

　　　　SCSI 

　　　　000000 

　　　　要素が見つかりません。」

なお、P2V直後にエクスポートしたイベントログですが、別端末でみても、P2Vした仮想サーバで見ても、

「ファイル システム フィルター 'WdFilter' (10.0、‎2016‎-‎07‎-‎16T11:25:21.000000000Z) が 正常に読み込まれ、フィルター マネージャーに登録されました。」

のように問題なくみることができます。

Answer 5

Windows Defender のイベントログの表示情報は以下で構成されるようです。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\System\WinDefend

• Eventlog キー - Win32 apps | Microsoft Learn
• イベント ソース - Win32 apps | Microsoft Learn

このキーが存在しているか確認してください。キーが存在する場合は、そのキーのエクスポートの内容を投稿してください（機微情報・機密情報は含まれない認識です）。