セットアップおよびブート イベントの収集を有効にする
セットアップおよびブート イベントの収集を使用して、指定のコレクター コンピューターで、多数のソース コンピューターからのスタートアップおよびセットアップ イベントを確認できます。 データが収集された後、イベント ビューアー、Wevutil.exe、または Windows PowerShell を使用してそのデータを分析できます。
何を監視できるか
次のイベントを監視できます。
カーネル モジュールとドライバーの読み込み
デバイスの列挙とドライバーの初期化
ファイル システムの確認とマウント
実行可能ファイルの起動
システムの更新の開始と完了
システムに関する次の時点:
ログオン可能になった時点
ドメイン コントローラーと接続を確立した時点
サービス開始の完了
ネットワーク共有の可用性
コレクター サービスをインストールする
管理者特権でのコマンド プロンプトで次のコマンドを使用することで、コレクター サービスをインストールできます: dism /online /enable-feature /featurename:SetupAndBootEventCollection。
管理者特権でのプロンプトで次の Windows PowerShell コマンドを実行して、正しくインストールされたことを確認します: get-service -displayname *boot*。
次のスクリーンショットに示されているように、ブート イベント コレクター サービスは [実行中] と表示されます。
コレクター サービスを構成する
コレクターをインストールした後、そのコレクターを構成する必要があります。 これには、次の 2 つの手順があります。
ターゲット コンピューター (イベントを収集するコンピューター) で、KDNET/EVENT-NET トランスポートを有効にし、かつイベントの転送を有効にする必要があります。
コレクター コンピューターで、どのコンピューターからイベントを受け入れるか指定し、それらのイベントの保存場所を定義します。
詳しくは、セットアップおよびブート イベントの収集によるイベントの収集に関するドキュメント内の指示に従ってください。
構成が完了したら、ターゲット コンピューターを再起動する必要があります。 ターゲットは、再起動した後、コレクターに接続され、イベントが収集されます。
ログを確認する
イベントの収集が開始された後、それらのイベントを確認できます。 コレクター サービス自体のログは、Microsoft-Windows-BootEvent-Collector/Admin にあります。
イベント用のグラフィカル インターフェイスとしてイベント ビューアーを使用できます。 次の手順に従います。
新しいビューを作成します。
[アプリケーションとサービス] ログを展開し、[Microsoft] を展開し、次に [Windows] を展開します。
[BootEvent-Collector] を見つけて展開し、[管理者] を見つけます。
また、Windows PowerShell を使用して確認することもできます: Get-WinEvent -LogName Microsoft-Windows-BootEvent-Collector/Admin。
さらにコマンド プロンプトから: wevtutil qe Microsoft-Windows-BootEvent-Collector/Admin。