この記事では、システム イベント ログを使用した予期しない再起動のトラブルシューティングに関する包括的なガイドを提供します。 これは、原因を特定したり、根本原因を見つけるための他のトラブルシューティング手順につながるのに役立ちます。
通常、再起動には通常の再起動と予期しない再起動の 2 種類があります。 通常の再起動は、Windows のシャットダウンまたは再起動オプションを使用してコンピューターがシャットダウンまたは再起動されたときに発生します。 予期しない再起動は、コンピューターが正常に実行されているが、電源の損失、ハードウェア障害、またはバグ チェックによって再起動されたときに発生します。
イベント ID 12、13、6005、6009 で再起動履歴を確認する
システム イベント ログをフィルター処理して、予期しない再起動の原因を特定できます。 イベント ID 12、13、6005、および 6009 では、コンピューターの再起動履歴と頻度を表示できます。
Note
イベント ID 番号はさまざまなソースに関連付けられている可能性があるため、再起動のために関連する番号をフィルター処理してください。
| イベント ID | source | 説明 |
|---|---|---|
| 12 | Kernel-General | オペレーティング システムは、システム時刻 <Date Time> で開始されます。 |
| 13 | Kernel-General | オペレーティング システムがシステム時刻 <Date Time> にシャットダウンしています。 |
| 6005 | EventLog | イベント ログ サービスが開始されました。 |
| 6009 | EventLog | Microsoft (R) Windows (R) <OS バージョン> |
イベント ID 13、41、1074、6008、6009 を確認して再起動の種類を確認する
イベント ID 13、41、1074、6008、および 6009 は、再起動が正常か予期しないかを判断するのに役立ちます。 通常の再起動を示す一般的なイベント ID は、イベント ID 1074 の後にイベント ID 13 とイベント ID 6009 が続きます。 予期しない再起動は、イベント ID 41 とイベント ID 6008 で示されます。
Note
イベント ID 番号はさまざまなソースで関連付けされる可能性があるため、再起動のために関連する番号をフィルター処理してください。
| イベント ID | source | 説明 |
|---|---|---|
| 13 | Kernel-General | オペレーティング システムがシステム時刻 <Date Time> にシャットダウンしています。 |
| 41 | Kernel-Power | システムは、最初に正常にシャットダウンせずに再起動しました。 このエラーは、システムが予期せず応答を停止した場合、クラッシュした場合、または電源が失われた場合に発生する可能性があります。 |
| 1074 | User32 | プロセス <Process Name> は、ユーザー <Domain User> の代わりにコンピューター <Computer Name> の再起動を開始しました。理由は、<Reason> Reason Code: <Hex Code> Shutdown Type: <Type> Comment です。 |
| 6008 | EventLog | <Date>の<Time>での以前のシステムシャットダウンは予期しないものでした。 |
| 6009 | EventLog | Microsoft (R) Windows (R) <OS バージョン>。 |
イベント ID 19、41、1001、1074、7045 で再起動の原因を確認する
イベント ID 19、41、1001、1074、および 7045 は、再起動の原因を示している可能性があります。 一部の再起動は、OS の更新、バグ チェック、ユーザーが開始したシャットダウンまたは再起動によって発生します。 その他の再起動は、ソフトウェアのインストールまたは管理クライアントプロセス中に必要になる場合があります。
| イベント ID | source | 説明 |
|---|---|---|
| 19 | WindowsUpdateClient | インストール成功: Windows が次の更新プログラムを正常にインストールしました: Windows 用セキュリティ更新プログラム (<KB 番号>) |
| 41 | Kernel-Power | システムは、最初に正常にシャットダウンせずに再起動しました。 このエラーは、システムが予期せず応答を停止した場合、クラッシュした場合、または電源が失われた場合に発生する可能性があります。 |
| 1001 | WER-SystemErrorReporting | コンピューターがバグチェックから再起動されました。 バグチェックは 0xXXXXXXXX (0xX、0xX、0xX、0xX) でした。 ダンプは C:\Windows\MEMORY に保存されました。DMP。 レポート ID: <GUID>。 |
| 1074 | User32 | プロセス <Process Name> は、ユーザー <Domain User> の代わりにコンピューター <Computer Name> の再起動を開始しました。理由は、<Reason> Reason Code: <Hex Code> Shutdown Type: <Type> Comment です。 |
| 7045 | サービス コントロール マネージャー | system. にサービスがインストールされましたサービス名: <Name> Service ファイル名: <Path Location> Service Type: <Type Service> Service Start Type: <Start Type> Service Account: <Account> |
すべてのイベント ID を組み合わせることで、再起動、シャットダウン、およびコンピューターが再起動された可能性のある理由の履歴を取得できます。
通常の再起動シナリオから始めて、再起動が実行されなかった理由を特定できます。 累積的な更新プログラム、ドライバーの更新プログラム、アプリケーションの更新プログラム、シャットダウンなどが原因である可能性があります。 いずれの場合も、再起動を要求した内容と理由を示すイベント ID 1074 が必要です。
イベント ID 1074 からのさまざまな種類の要求の例を次に示します。
-
The process <Process Name> has initiated the power off of computer <Computer Name> on behalf of user <Domain User> for the following reason: No title for this reason could be found Reason Code: 0x500ff Shutdown Type: power off Comment: -
The process <Process Name> has initiated the restart of computer <Computer Name> on behalf of user <Domain User> for the following reason: Other (Unplanned) Reason Code: 0x0 Shutdown Type: restart Comment: -
The process <Process Name> has initiated the restart of computer <Computer Name> on behalf of user <Domain User> for the following reason: Operating System: Service pack (Planned) Reason Code: 0x80020010 Shutdown Type: restart Comment:
例では、再起動を要求するプロセスの後に、再起動を開始したアカウントが表示されます。 理由コードとシャットダウンの種類も説明に記載されています。 多くの場合、プロセス名は再起動のために呼び出される可能性のあるものを判断するのに役立ちます。
理由コードは、さらにデコードできます。 詳細については、以下を参照してください:
予期しない再起動の例
予期しない再起動では、通常、イベント ID 1074 ログ エントリはありません。 予期しない再起動は、イベント ID 41、1001、および 6008 で示されます。 次に例を示します。
| イベント ID | source | 説明 |
|---|---|---|
| 1001 | WER-SystemErrorReporting | コンピューターがバグチェックから再起動されました。 バグチェックは 0xXXXXXXXX (0xX、0xX、0xX、0xX) でした。 ダンプは C:\Windows\MEMORY に保存されました。DMP。 レポート ID: <GUID>。 |
| 41 | Kernel-Power | システムは、最初に正常にシャットダウンせずに再起動しました。 このエラーは、システムが予期せず応答を停止した場合、クラッシュした場合、または電源が失われた場合に発生する可能性があります。 |
| 6008 | EventLog | <Date>の<Time>での以前のシステムシャットダウンは予期しないものでした。 |
この場合、予期しない再起動はバグ チェックによって発生します。 バグ チェックは、最近の開発が原因である可能性があります。 ドライバーのインストールまたは更新プログラム、アプリケーションのインストール、または OS の更新プログラムを検索できます。
イベント ID 12、13、19、41、1001、1074、6008、6009、および 7045 をフィルター処理することで、システムの再起動履歴を確認できます。 フィルター処理された履歴を使用して、最初の予期しない再起動またはバグ チェックがいつ発生したか、および問題が発生する直前に新しいドライバーまたは更新プログラムが適用されたかどうかを確認できます。
次の履歴は、赤で強調表示されたドライバーの更新があり、その直後にバグ チェックが開始されたことを示しています。
例については、次のイベント ID 7045 を参照してください。
A service was installed in the system.
Service Name: Intel(R) Dynamic Application Loader Host Interface Service
Service File Name: %SystemRoot%\System32\DriverStore\FileRepository\dal.inf_amd64_af50fdb80983f7bc\jhi_service.exe
Service Type: user mode service
Service Start Type: auto start
Service Account: LocalSystem
この例では、バグ チェックが最近のドライバーの更新が原因であることを示している可能性があります。 ドライバーの更新プログラムを削除またはロールバックして、バグ チェックが停止するかどうかを確認できます。 そうでない場合は、分析のためにメモリ ダンプを収集できます。