イベント ビューアー (Event Viewer)

起動方法

以下のいずれかの方法により起動できます。

  • スタートメニューから「イベント ビューアー」で検索して、実行する
  • コントロールパネルの[イベント ログの表示]を開く
  • ファイル名を指定して実行で、eventvwr.mscとタイプして実行する
イベント ビューアーを開く - Microsoft Windows ヘルプ

起動時に[クエリ エラー]としてアクセスが拒否される場合には、スタートメニューからeventvwr.mscを検索し、管理者として実行します。

操作方法

イベントのコピー

イベントの詳細は、メニューまたは操作ウィンドウの【操作 → コピー → 詳細をテキストとしてコピー】からクリップボードへコピーできます。

イベントログ

イベントログの保存場所は、そのプロパティの[ログのパス]で確認できます。またそこで、ログの保存サイズの確認と変更をできます。

エラーイベントへの対処法

エラーは他のエラーによって引き起こされることもあるため、問題のイベントの前に記録されているイベントも確認します。

非ページ プールから割り当てられない

非ページ プール割り当ての制限に達したため、サーバーはシステムの非ページ プールから割り当てることができませんでした。

ソース srv
イベントID 2017

SMBリクエストの最大数を設定するには、[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters]にMaxMpxCtというDWORD値を追加します。Windows Vista ベースのファイル サーバーに送信される同時実行の SMB 要求の最大数を構成することはできません。

ドライバーがコントローラーエラーを検出

ドライバーは \Device\Harddisk n\DR m でコントローラー エラーを検出しました。

ソース Disk
イベントID 11

イベントの説明にある「Harddisk n」のnはディスクのインデックス番号で、diskpartのlist diskで確認できる0から始まる番号に対応します。これがUSB接続されたディスクならば、このエラーは無視できます。

USB デバイスを挿入時に、エクスプローラーからメディアのチェックを行うためデバイス IO コントロールの IRP (IO Request Packet) を発行しますが、処理の完了に 200 ミリ秒以上かかる場合、エクスプローラーはその IRP をキャンセルします。

しかし、USB 大容量記憶装置ドライバー (USBSTOR.SYS) はキャンセルされた IRP に SCSI ステータスコードを設定しないため、ストレージ クラス ドライバはエラーと判断し、この現象が発生します。

なお、イベント ID : 11 が記録された場合でも USB デバイスは正常に機能します。このイベントは無視しても問題はありません

Windows 7 または Windows Server 2008 R2 に USB フラッシュメモリや USB ディスクを接続すると Disk イベント ID 11 が記録される場合がある

デバイスがシステム電源を消費

システムがアイドル状態のときに USB デバイスがシステム電源を消費しています。(USB device draining system power when system is idle.)

ソース USB-USBHUB3
イベントID 196

失敗した削除の処置 (Removal action failed)

  • SkippedAsPersistentIoObserved
  • SkippedAsRecentIoObservered

マスターブラウザーが別のコンピュータからアナウンスを受信

マスター ブラウザーは、自分がトランスポート NetBT_Tcpip_{**} のドメインのマスター ブラウザーであると認識している 別のコンピュータ ** からサーバー アナウンスを受信しました。 マスター ブラウザーが停止しているか、またはブラウザーの選択中です。

ソース bowser※1
イベントID 8003
※1 browserではありません。

マスタブラウザとなるコンピュータを1台に限定します。そのためには、それ以外のコンピュータのComputer Browserサービスを無効にします。エラーイベント MRxSmb、ID:8003 が頻繁に発生する - Ask the Network & AD Support Team - Site Home - TechNet Blogs

  1. [スタート]メニューから[プログラム]、[管理ツール]を選択します。
  2. [サービス]をクリックします。
  3. [Computer Browser]のプロパティを選択します。
  4. [スタートアップの種類]を自動から無効に変更し、[サービスの状態]で停止をクリックします。

ブラウザ サービス (Browser Service)

ローカルアクティブ化のアクセス許可を与えられない

アプリケーション固有 のアクセス許可の設定では、CLSID {***} および APPID {***} の COM サーバー アプリケーションに対するローカルアクティブ化のアクセス許可を、アプリケーション コンテナー 利用不可 SID (利用不可) で実行中のアドレス LocalHost (LRPC 使用) のユーザー NT AUTHORITY\SYSTEM SID (S-1-5-18) に与えることはできません。このセキュリティ アクセス許可は、コンポーネント サービス管理ツールを使って変更できます。

ソース DistributedCOM
イベントID 10016

エラーにあるCLSIDとAPPIDをレジストリエディタで検索し、原因を調査します。

{B0316D0C-DA2F-40E0-9F91-F600CAF042DC}

IPv6スタックを構成できない

ICS_IPV6 で IPv6 スタックを構成できませんでした。

ソース SharedAccess_NAT
イベントID 34001

IPv6を無効にします。Prolems with ICS, and other networking problems

予期されないシャットダウン

以前のシステム シャットダウン (***) は予期されていませんでした。

ソース EventLog
イベントID 6008
レベル エラー

コンピュータがロックされているか、パスワードで保護されたスクリーンセーバーが設定されている状態で、プログラムのInitiateSystemShutdownEx()関数によりシャットダウンされたときにこのイベントが記録されます。コンピュータをシャットダウン後再起動すると、イベント ID 6008 がシステム イベント ログに書き込まれる (Windows 2000)

シャットダウン イベントの追跡ツール

シャットダウン時に、その理由の記録をユーザーに要求するツールです。シャットダウン イベントの追跡ツール | TechNet

このツールはローカル グループ ポリシー エディターで【コンピューターの構成 → 管理用テンプレート → システム】にある[シャットダウン イベントの追跡ツールを表示する]を有効に設定することで有効化できます。ローカル コンピューター上でシャットダウン イベントの追跡ツールを構成する | TechNet

正常にシャットダウンする前に再起動

システムは正常にシャットダウンする前に再起動しました。このエラーは、システムの応答の停止、クラッシュ、または予期しない電源の遮断により発生する可能性があります。

ソース Kernel-Power
イベントID 41
レベル 重大
Windows カーネル イベント ID 41 エラー "システムは正常にシャットダウンする前に再起動しました" が Windows 8.1、Windows 8、Windows Server 2012 R2、Windows Server 2012、Windows 7、または Windows Server 2008 R2 で表示される

Application Error

デバッガで調査できます。

イベント ID 1000 で記録される Application Error のイベント ログについて | Japan Developer Support Core Team Blog

   
障害が発生しているアプリケーション (Faulting application)  
バージョン (version)  
タイム スタンプ (time stamp)  
障害が発生しているモジュール (faulting module)  
バージョン (version)  
タイム スタンプ (time stamp)  
例外コード (exception code)  
障害オフセット (fault offset)  
プロセス ID (process id)  
アプリケーションの開始時刻 (application start time)  

スリープ解除の原因

[コンソール ツリー]から【Windows ログ → システム】を選択します。そして[操作ウィンドウ]の[現在のログをフィルター]をクリックします。フィルタ設定のダイアログが表示されるので、[イベント ソース]で[Power-Trobleshooter]にチェックを入れ[OK]をクリックします。このように設定することで、イベントの一覧にスリープからの復帰に関与したものだけを表示できます。Windows Vistaマシンがスリープ状態から勝手に復帰するのを防止する - @IT 小林章彦 (2008/12/26)

スリープ解除の原因として、

  • 電源ボタン
  • 休止までの S4 スリープ
  • タイマー - タスク スケジューラは、'**' タスクを実行します。
  • デバイス - USB Root Hub
  • 不明

のようなものがあります。

タイマーが原因の場合

Windowsの電源の設定で[スリープ解除タイマーの許可]を無効とすることで、タイマーによって解除されなくなります。ただし必要なタスクも実行されなくなる恐れがあるため、設定には注意が必要です。

VBoxSVC.exe

スリープ状態の解除元として「タイマー - VBoxSVC.exe」が記録されることがあります。これはVirtualBoxが原因です。#14789 (VirtualBox wakes Windows 10 from sleep) – Oracle VM VirtualBox

デバイスが原因の場合

デバイス マネージャで対象のデバイスのプロパティを表示し、[電源の管理]タブを開きます。そして[このデバイスで、コンピュータのスタンバイ状態を解除できるようにする]のチェックを外すことで、スリープが解除されなくなります。[電源の管理]タブが表示されないときは、そのデバイスが電源管理に対応していないか、デバイスによるスリープ解除がBIOSで無効にされている可能性があります。Windows 10のデスクトップパソコンでキーボードのキー操作やマウス操作を行いスリープ状態から復帰できるようにする方法 - NEC LAVIE公式サイト

※ロジクール (Logitech) のUnifyingレシーバー (Unifying Receiver) では、使用しているのがマウスだけの場合であっても、キーボード デバイスの設定も変更する必要があります。そのとき両者のVIDは0x46D (046D) で、PIDは0xC52B、0xC52F、0xC532、0xC534のような値であり、その値はマウスとキーボードで共通です。USB\VID_046D&PID_C52B - Unifying Receiver | Device Hunt

Powercfg

直近のスリープ解除の原因を知りたいだけならば、Powercfg

c:\>powercfg /lastwake

とするのが簡単です。【ハウツー】レッツ! Windows 7 - 電源管理編(4) | パソコン | マイナビニュース 阿久津良和 (2010/07/20)

スリープ状態の解除履歴 [0]
  スリープ状態の解除元カウント - 1
  スリープ状態の解除元 [0]
    種類: デバイス
    インスタンス パス: USB\ROOT_HUB20\4&*********&0
    フレンドリ名:
    説明: USB Root Hub
    製造元: (標準 USB ホスト コントローラー)

種類がデバイスならば、デバイス マネージャでその原因のデバイスを確認できます。それには適当なデバイスのプロパティを開き、その[詳細]タブの[デバイス インスタント パス]がpowercfgの[インスタンス パス]と一致するデバイスを探します。ただし問題のデバイスがUSBハブを介して接続されていると、ハブから先の情報は特定できません。

スリープを解除できるデバイス

スリープ解除の原因となり得るデバイスは、

c:\>powercfg /devicequery wake_armed

とすることで確認できます。

デバイスのログ

デバイスの脱着はイベント ビューアーでは確認できないため、サードパーティーのツールを利用します。windows 10 - Where can I find logs on recent USB insertion in the Event Viewer? - Super User

トラブル対処法

カスタム ビューを削除できない

管理者としてイベント ビューアーを開いて、再試行します。

カスタム ビューを開けない

スナップインのエラーが MMC により検出されたので、スナップインがアンロードされます。(MMC has detected an error in a snap-in and will unload it.)」として失敗するときには、イベント ビューアーの不具合の可能性があります。

参考

複数のダウンロードサイトから、まとめて検索