セットアップおよびブート イベントの収集を有効にする
セットアップおよびブート イベントの収集を使用して、指定のコレクター コンピューターで、多数のソース コンピューターからのスタートアップおよびセットアップ イベントを確認できます。 データが収集された後、イベント ビューアー、Wevutil.exe、または Windows PowerShell を使用してそのデータを分析できます。
何を監視できるか
次のイベントを監視できます。
カーネル モジュールとドライバーの読み込み
デバイスの列挙とドライバーの初期化
ファイル システムの確認とマウント
実行可能ファイルの起動
システムの更新の開始と完了
システムに関する次の時点:
- ログオン可能になった時点
- ドメイン コントローラーと接続を確立した時点
- サービス開始の完了
- ネットワーク共有の可用性
コレクター サービスをインストールする
管理者特権でのコマンド プロンプトで次のコマンドを使用することで、コレクター サービスをインストールできます: dism /online /enable-feature /featurename:SetupAndBootEventCollection。
管理者特権でのプロンプトで次の Windows PowerShell コマンドを実行して、正しくインストールされたことを確認します: get-service -displayname *boot*。
次のスクリーンショットに示されているように、ブート イベント コレクター サービスは [実行中] と表示されます。
コレクター サービスを構成する
コレクターをインストールした後、そのコレクターを構成する必要があります。 これには、次の 2 つの手順があります。
- ターゲット コンピューター (イベントを収集するコンピューター) で、KDNET/EVENT-NET トランスポートを有効にし、かつイベントの転送を有効にする必要があります。
- コレクター コンピューターで、どのコンピューターからイベントを受け入れるか指定し、それらのイベントの保存場所を定義します。
詳細については、このドキュメントの手順に従います。 セットアップとブート イベント収集を使用してイベントを収集します。
構成が完了したら、ターゲット コンピューターを再起動する必要があります。 ターゲットは、再起動した後、コレクターに接続され、イベントが収集されます。
ログを確認する
イベントの収集が開始された後、それらのイベントを確認できます。 コレクター サービス自体のログは、Microsoft-Windows-BootEvent-Collector/Admin にあります。
イベント用のグラフィカル インターフェイスとしてイベント ビューアーを使用できます。 次の手順に従います。
- 新しいビューを作成します。
- [ アプリケーションとサービス ログ] を展開し、[ Microsoft ] と [ Windows] の順に展開します。
- BootEvent-Collector を見つけて展開し、Admin を見つけます。
また、Windows PowerShell を使用して確認することもできます: Get-WinEvent -LogName Microsoft-Windows-BootEvent-Collector/Admin。
さらにコマンド プロンプトから: wevtutil qe Microsoft-Windows-BootEvent-Collector/Admin。