Windowsでは任意のイベントログを出力できる機能があるがどのような方法で出力すればいいのだろうかこの記事では、Windowsでイベントログを出力する方法を、コマンドプロンプトとPowerShellのそれぞれの方法について詳しく解説する。
【Windows】イベントログの出力方法【コマンドプロンプトを使う場合】
Windowsのコマンドプロンプトでイベントログを出力する方法は次のとおりである。コマンドプロンプトでイベントログを出力する場合には、コマンドプロンプトを管理者権限で起動しておくこと。
・コマンドの使い方
コマンドプロンプトでイベントログを出力するときのコマンドの使い方は次のとおりである。
イベントログの出力:EventCreate
ログの種類:/L
レベル:/T
ソース:/SO
イベントID:/ID
出力メッセージ:/D
例えば、イベントビューアーのシステムのログの中に「Information」という種類の「Test」というソースのログを作成する場合には、次のようにコマンドを実行する。
EventCreate /L System /T Information /SO ”Test” /ID 100 /D “テスト用”
コマンドプロンプトにコマンドを入力してEnterキーを押す。イベントログの出力に成功か失敗かが表示される
コマンドプロンプトに「成功」と表示されたらイベントビューアーでも確認しておこう。
イベントビューアーに出力したイベントログが表示されているか確認する
・オプション
コマンドプロンプトからオプションで指定したイベントログの種類と件数をテキスト出力できる。オプションでテキスト出力するコマンドは次のとおりだ。
ログの場所:wevtutil qe [System・Application等取得するログの種類]
取得するログの件数:/c:数字
最新のログから取得:/rd:true
ログのテキスト出力:/f:text
Windowsログのシステムから最新のログ10件をテキストで、デスクトップに「test」というファイル名で出力するというオプションのコマンドは次のとおりである。
wevtutil qe System /c:10 /rd:true /f:text > C:\Users\user\Desktop/test
コマンドプロンプトでコマンドを実行する。すると指定したイベントログのファイルがデスクトップに作成される
・存在するソースを指定した場合のエラー表示内容
コマンドプロンプトでは、「EventCreate」で出力できるイベントログは存在しないソースを指定した場合だけである。もしも存在するソースを指定すると次のエラーが表示される。
「エラー: インストールされているアプリケーションではなく、カスタムアプリケーションまたはスクリプトを識別するためだけに、ソースパラメーターが使用されます。」
【Windows】イベントログの出力方法【PowerShellを使う場合】
Windowsでイベントログを出力する方法は、コマンドプロンプトだけでなくPowerShellを使う方法もある。イベントログの出力でのPowerShellの使い方は次のとおりである。
・コマンドの使い方
PowerShellでのイベントログの出力に使うコマンドは次のとおりである。
イベントログの出力:Write-EventLog
ログの種類:LogName
ソース:Source
イベントID:EventID
出力メッセージ:Message
例えば、イベントビューアーのシステムのログの中の「Test」というソースのログを出力する場合には、次のようにコマンドを実行する。
Write-EventLog -LogName System -Source “Test” -EventID 100 -Message “システム”
コマンドをPowerShellに入力する
・オプション
PowerShellでは上記のコマンドの他に、オプションのコマンドも利用できる。オプションのコマンドは次のとおりだ。
レベル:EntryType
タスクのカテゴリ:Category
コンピュータ:ComputerName
・存在しないソースを指定した場合のエラー表示内容
PowerShellでのイベントログの出力は、存在するソースの出力となる。存在しないソースの出力を指定してしまうと次のエラーメッセージが表示される。
「Write-EventLog : ソース名 “Event Test” はコンピューター “localhost” に存在しません。」
存在しないソースを指定するとエラーメッセージが表示される
※サムネイル画像(Image:omihay / Shutterstock.com)
