Windowsイベントログ - WhiteFox

イベントログとは？

イベントログシステムは、Windows OS(NT/2000/XP/Vista/7/8/Server 2003/Server 2008/Server 2012) の標準機能として提供され、Windowsシステム全般のエラー情報などを共通フォーマットで格納し、システム管理者に情報を提供するためのものです。簡単に言えば、OS(カーネル、デバイスドライバ、Windowsサービス)のログです。

イベントログのバックアップ/クリア

イベントログは、WindowsサーバーのOS,ドライバ, Windows サービスプログラムなどで事象(エラー等)が発生した際に書込まれます。イベントログは知らぬ間に件数が増え、定期的にバックアップやクリアを行う管理作業が必要です。定期的に事象の内容(エラー／警告など)をチェックしていないと思わぬ障害につながることもあります。

イベントログの表示とファイル形式

イベントログは、管理ツールの「イベントビューア」で表示できます。「イベントビューアは イベントログを表示するプログラムの１つ」という位置づけで、イベントビューア以外でも WSHでWMIを使用した管理スクリプトなどからもイベントログを表示できます。イベントビューアでは イベントログの表示、フィルタリング以外にも 消去、ファイルへの保存などができます。ファイル保存は、独自のバイナリ形式（EVT または EVTX形式）か、EXCELなどでも表示できるCSV形式がありますが、CSV形式は「説明文が適切に改行されていない」など フォーマットが不完全な部分があります。
【参考】 Windows標準コマンド WMIC.EXEでイベントログを表示する方法

イベントログの種類

イベントログには種別が３種類あり、種別ごとに最大ログサイズなどが指定できます ... が、既定値のままサーバーを運用すると、イベントログが上書きされ、障害が発生した時点のログがない可能性もあります。

イベントログの新／旧タイプ

Windows Server 2003,XPまでの「旧タイプのWindowsイベントログ」は、すべてのログファイルを合計して 約300MBまでしか記録できません。Windows Server 2008,Windows Vista以降の「新タイプのWindowsイベントログ」ではサイズの制限が緩和されました。旧タイプのOSを利用していて、多くのサーバーアプリケーションをインストールしたサーバーなどでは、定期的なバックアップ/クリアをお勧めいたします。
イベントログの各ログ、すべてのログサイズの推奨値

開発者から見たイベントログ

システム開発者から見た イベントログシステムは、イベントログを書き込む仕組みと、イベントログを参照・表示するための仕組みにより構成されます。イベントログを書き込む仕組みもWindowsサービスで、サービス制御マネージャ「SERVICES.EXE」の一部として提供されています。イベントログには、WIN32APIをはじめ、WMI(Windows Management Instrumentation)、.NET Frameworkのクラスライブラリなどを使用して書き込みができます。