このページについて
このページは、イベントログと向き合ってきたシステムエンジニアの記録です。
イベントログとは
イベントログとは、OS、アプリケーション、あるいはシステムコンポーネントの動作中に発生した「出来事(イベント)」を時系列で記録したデータです。
主にトラブルシューティング、システム監視、セキュリティ分析などに活用されます。リアルタイムの監視モニターとは異なり、過去に「何が起きたか」を正確に把握するための、極めて信頼性の高い一次情報となります。
イベントID10016では、RuntimeBroker、PerAppRuntimeBroker、ShellServiceHost などがよく記録されます。そして修復可能です。
10016イベントを修復する際は、ExecTI というフリーソフトを利用すると便利です。修復にはレジストリエディタが必要ですが、ExecTIはレジストリエディタを使用しなくてもコンポーネントのアクセス権を獲得します。
イベントログのレベルと種類
イベントログのレベル
| レベル | 内容 | |
| 情報 | システムが正常に動作している記録 | |
| 警告 | 直ちに影響はないが、放置すると将来的に問題となる可能性がある予兆 | |
| エラー | 機能の停止やデータの不整合など、明確な不具合が発生した状態 | |
| 重大 | システム全体がダウンするなど、回復不能な致命的ダメージ |
イベントログの種類
| 種類 | 内容 | |
| アプリケーションログ | アプリケーション(ソフト)が出力するログ。 例:ソフトのクラッシュや動作異常 | |
| システムログ | OSやドライバ関連のイベント。 例:デバイスの認識失敗、サービス停止 | |
| セキュリティログ | ログオンやアクセス制御などの監査情報。 例:ログイン成功・失敗、不正アクセスの兆候 | |
| セットアップログ | インストールやアップデート関連の記録 |
まず最初に、必ず実行すべき「2つの基本対策」
24H2から25H2などのメジャーアップデートは、OSの根幹に関わるファイルが大幅に書き換えられています。まずはWindowsに搭載された2つの標準ツールを使って、システムイメージの整合性を整えることが最も効果的です。
どちらもWindowsに標準搭載されている強力なツールです。メジャーアップデート後に実行しておくことで、原因不明のフリーズや設定の不具合を未然に防ぐことができます。
以下の2つのツールは、交互に複数回実行すると効果的だと言われています。
- DISM
- SFC
DISM (展開イメージのサービスと管理ツール)
展開イメージのサービスと管理ツール
DISMは、Windowsの「イメージ」自体に壊れた箇所がないかをチェックし、必要に応じてクラウド(Windows Update)から正しいファイルをダウンロードして修復します。コマンドラインシェルは、管理者特権で使用する必要があります。
実行イメージ(コマンドはコピペして使えます)
 |  |
| PS C:\> DISM /Online /Cleanup-image /Restorehealth
展開イメージのサービスと管理ツール イメージのバージョン: 10.0.26200.8037 [===================100.0%===================] 復元操作は正常に完了しました。操作は正常に完了しました。 | |
SFC (システムファイルチェッカー)
システムファイルチェッカー
DISMでイメージを整えた後、SFCを使用して実際に動作しているシステムファイルに破損がないかをスキャン・修復します。破損や変更が検出された場合は、正しいMicrosoft純正のファイルに置き換えられます。これはシステムファイルをデフォルトの健全な状態に戻す操作です。
破損したファイルが見つかった場合は、SFCを複数回繰り返し実行すると効果的です。1回目で一部が修復され、2回目以降で残りの問題が修復されることがあります。
また、破損したシステムファイルが検出され、正常に修復された旨のメッセージが表示された場合、これにより関連するイベントログのエラーや警告の記録が停止する可能性があります。
コマンドプロンプトを使用する場合は、管理者特権で使用する必要があります。
実行イメージ(コマンドはコピペして使えます)
| |
| PS C:\> sfc /scannow
システム スキャンを開始しています。これにはしばらく時間がかかります。 システム スキャンの検証フェーズを開始しています。 Windows リソース保護は、整合性違反を検出しませんでした。 | |
よく記録されるイベントID
DCOMエラー(イベントID10016)
DCOM(Distributed Component Object Model)とは、マイクロソフトが開発した技術で、異なるコンピュータ上のソフトウェアコンポーネント同士が通信できるようにする仕組みです。DCOMはCOM(Component Object Model)の拡張であり、ネットワーク越しの通信をサポートします。
マイクロソフトによると、DCOMエラーはWindowsコンポーネントが正しく動作した結果のため、修正せずに無視推奨としています。修正には副作用が発生する可能性があるとしています。
DCOMエラーは、修正済みであっても、Windowsを24H2から25H2のようにメジャーアップデートすると再発することがあります。この現象は、既定値を変更したDCOMコンポーネントがメジャーアップデートによって初期状態にリセットされるために発生します。そのため、メジャーアップデートだけでなく、毎月のマンスリーアップデートでもDCOM設定が初期化される可能性があります。
DCOMエラーに対応するイベントログは [ID10016] が付与されます。大抵の場合、DCOMコンポーネントのアクセス権を修正するとエラーは改善します。
RuntimeBroker
Windowsの大型アップデート以降にイベントログに記録されるコンポーネントとしては、RuntimeBroker が代表的です。そして修復可能です。
RuntimeBrokerに「NETWORK SERVICE」「Users」などを追加して適切なアクセス権を付与することでエラーを修復できる可能性があります。何を追加するかはエラーメッセージがヒントになります。
PerAppRuntimeBroker
PerAppRuntimeBroker は、Windows 10 version 1903以降で記録されるようになりました。それより前のWindowsバージョンでは、「RuntimeBroker」という名前でした。APPIDが異なるが同じ名前の「RuntimeBroker」が存在したため、途中から名前を変えたのだと考えられます。
筆者の環境では、PerAppRuntimeBrokerに「Users」を追加することで修復できました。
ShellServiceHost
ShellServiceHost もよく見かけるコンポーネントです。DCOMコンポーネントに「LOCAL SERVICE」を追加すると修正できます。
Windows.SecurityCenter.WscDataProtection
Windows.SecurityCenter.WscDataProtection (セキュリティセンター) が関与するエラーはID10016ですが、通常の方法では修復できません。冒頭で描いた「ExecTI」を利用して、スタートアップの種類を「自動(通常起動)」に修正すると改善します。厄介なことに、スタートアップの種類は通常アカウントでは変更できないようになってます。
その他のイベントID
筆者が対応したイベントログのうち、頻繁に遭遇するログを抜粋して表にまとめています。最近のものは含まれませんが、比較的修正しやすいログが多いです。
- イベントID対応まとめ(リンク)
*上のリンクにないIDは下の番号にリンクを張ってます。イベントID: 2, 3, 4, 10, 11, 20, 34, 131, 134, 157, 200/201/202, 257, 333, 359, 360, 455, 642, 1000, 1001, 1008, 1020, 1534, 2002, 2003, 2484, 3095, 4434, 6105, 7000, 7009, 9010, 10016, 4434
筆者が対応したイベントログ(イベントID)の全記録
筆者がこれまでに対応したイベントログの一覧表です。このリストはページを表示した際に更新されるため、網羅性があります。
タイトルにキーワードを入れいているので、ブラウザの全文検索でお探しください。または、このページの上または右の検索ボックスにキーワードを入れると検索できます。
おまけ
自分の記事を英訳していた頃の記事リストです。未だにアクセスがあるため掲載しておきます。(This is a list of articles from when I was translating my own articles into English. I'm posting it here because it still gets traffic.)
このサイトを検索 | Search this site
