Windows 11 22H2 とイベントログ（た～くさん）

Atom | RSS

このサイトを検索 | Search this site

Windows 11 22H2 とイベントログ（た～くさん）

AI Translation

Windows メジャーアップデートの恐怖

Windows 11 22H2 へアップデートして以降、イベントログが沢山記録されるようになった。懐かしいもの、初見のものなどが複数記録されております。

ID番号は、200, 201, 202, 10016, 6155, 1108, 28,...etc

200, 201, 202 は過去に調べたけど未解決、10016 はDCOMエラーなので、解決できる可能性がある。6155 は LSA (LsaSrv) が関係しているログで意味不明。

ローカルユーザーとして使用する場合は、ログは無視してもかまわないらしいので積極的に修復することはしないが、200番台のエラーは大量に記録されるためウザいので記録を止めた。

気が向いたら修復方法を探すかもしれないので、ログをメモしておきます。

先ずは、DISM / SFC

Windows 11/10 付属のシステムファイルチェッカーを実行すると、いくつかのイベントログは消える可能性がある。

システムファイルチェッカーは2種類あり、両方を実行するとよい。

DISM/SFC
DISM	Deployment Image Servicing and Management
SFC	System File Checker

ID:6155, 28, 1108 は DISM/SFC 実行後に消えた。

使い方はこちらです。

[Win11 22H2] アップデート後は、先ずは DISM, SFC, コンポーネントサービス

ID: 200, 201, 202

外出先でテザリングしているのが理由なら気にすることはないが、どうなんでしょうか？

イベントログ 200～202
ID	メッセージ
200	Windows Update サービスへの接続を確立できませんでした。
201	Windows Metadata and Internet Services (WMIS) への接続を確立できませんでした。
202	ネットワークリストマネージャーは、インターネットに接続していないことをレポートしています。

根本的な解決ではないが...

とりあえず、ログに記録されないよう対処した。

以下を探して、Enabled=0 に変更するとログの記録が止まります。（既定値：1）

※レジストリの操作は自己責任です。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-System\{fcbb06bb-6a2a-46e3-abaa-246cb4e508b2}

詳しい手順は以下の記事でまとめています。

[EventId 200] Windows Update サービスへの接続を確立できませんでした

[EventId 200,201,202] DeviceSetupManager の警告 | SC2

ID: 10016

DCOMエラーは、Windowsを22H1から22H2のようにメジャーアップデートする際に再発することがあります。この現象は、既定値を変更したDCOMコンポーネントがメジャーアップデートによって初期状態にリセットされるために発生します。そのため、メジャーアップデートだけでなく、毎月のマンスリーアップデートでもDCOM設定が初期化される可能性があります。

エラーログを基にした対処方法

エラーログに記載されている「APPID」と「ユーザー: xxx」の情報を確認することで、適切な対処方法を推測することが可能です。また、ログメッセージには「コンポーネントサービスを使用して修復できる可能性がある」と記載されています。

今回記録されたユーザーは、PC\User(ローカルユーザー)、LOCAL SERVICE の2種類。

PC\User

PerAppRuntimeBroker がアクセス権を要求したことを示唆するログです。

イベントログ
メッセージ	アプリケーション固有のアクセス許可の設定では、CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} および APPID {15C20B67-12E7-4BB6-92BB-7AFF07997402} の COM サーバーアプリケーションに対するローカルアクティブ化のアクセス許可を、アプリケーションコンテナー利用不可 SID (利用不可) で実行中のアドレス LocalHost (LRPC 使用) のユーザー xxx\yyy SID (S-1-5-21-zzz) に与えることはできません。このセキュリティアクセス許可は、コンポーネントサービス管理ツールを使って変更できます。
ログの名前	システム
ソース	DistributedCOM (DCOM)
イベントID	10016
レベル	エラー
ユーザー	Local User（pcName\UserAccount）

修復方法

Re[EventId 10016] PerAppRuntimeBroker、20H2アップデートで復活

LOCAL SERVICE

ShellServiceHost がアクセス権を要求したことを示唆するログです。

イベントログ
メッセージ	アプリケーション固有のアクセス許可の設定では、CLSID {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52} および APPID {4839DDB7-58C2-48F5-8283-E1D1807D0D7D} の COM サーバーアプリケーションに対するローカルアクティブ化のアクセス許可を、アプリケーションコンテナー利用不可 SID (利用不可) で実行中のアドレス LocalHost (LRPC 使用) のユーザー NT AUTHORITY\LOCAL SERVICE SID (S-1-5-19) に与えることはできません。このセキュリティアクセス許可は、コンポーネントサービス管理ツールを使って変更できます。
ログの名前	システム
ソース	DistributedCOM (DCOM)
イベントID	10016
レベル	警告
ユーザー	LOCAL SERVICE

修復方法

re:[EventId 10016] ShellServiceHost にアクセス権を付与する方法

ID: 6155

このログは、Windows 11 22H2 にアップデート以降記録されるようになった。

警告なので深刻そうだが放置でかまいません。

イベントログ
メッセージ	LSA パッケージは予期した通りに署名されていません。これにより、Credential Guard で予期しない動作が発生する可能性があります。パッケージ名: msv1_0
ログの名前	システム
ソース	LSA (LsaSrv)
イベントID	6155
レベル	警告
ユーザー	SYSTEM

ID: 1108

このログは単独で記録されるのではなく、直前のエラーに対応して記録されるらしい。直前に記録されたエラーは次項の ID28です。

イベントログ
メッセージ	Microsoft-Windows-Security-Auditing から発行された受信イベントの処理中に、イベントログサービスでエラーが発生しました。
ログの名前	セキュリティ
ソース	Eventlog
イベントID	1108
レベル	エラー
ユーザー	N/A

ID: 28

カーネルエラーは、深刻なエラーだと思いますよ。...＿|￣|○

イベントログ
メッセージ	プロバイダー {77811378-e885-4ac2-a580-bc86e4f1bc93} の特長の設定でエラーが発生しました。エラー: 0xC0000005
ログの名前	Microsoft-Windows-Kernel-EventTracing/Admin
ソース	Kernel-EventTracing
イベントID	28
レベル	エラー
ユーザー	SYSTEM