通常ページへ

Windows 11の操作:イベントビューアーでPCの操作ログ(記録)を取得する方法

パソコンには、ユーザーが実行した操作に関する多種多様なデータが保存されています。

Windows 11ではそれらのデータ、たとえば、パソコンの起動・シャットダウン、OSへのログイン・ログアウト、ファイルの操作など、Windowsの動作を操作ログ(イベント ログ)として記録しています。

PCの操作ログは、Windows 11やWindows 10に標準装備されている「イベントビューアー」や、専用のフリーソフトから取得できます。

本記事では、Windows 11のイベントビューアーを使い、パソコンの起動とシャットダウン、Windowsのログオン・ログオフのイベントログを確認する方法について解説いたします。

解説に使用したOSは「Windows 11 Pro 24H2」です。Windows 10でも同じように利用できます。

Windows 11の設定については、以下の関連記事も合わせてご覧ください。

関連記事
Windows 11の設定:「 Windows メモリ診断」ツールでメモリーの問題をチェックする

パソコンに搭載されている物理的メモリー(RAM)に異常があると、パソコンのフリーズやブルースクリーンの発生、アプリの突然の終了など、パソコンの動作が不安定になることがあります。このような症状が生起したときに役立つツールが、Windows […]

関連記事
Windows 11の設定:タスクスケジューラによるタスク(ディスク クリーンアップ)の作成方法

Windowsのタスクスケジューラは、設定した時間や条件に基づいて自動的にプログラムなどを実行するためのツールです。この機能を使用することで、定期的に実行するタスク(例:バックアップ、メンテナンス、データ処理など)を自動化できます。本記事[…]

目次
スポンサーリンク

1 確認できる操作ログの種類

システム上で発生したイベントログ(出来事)は、Windows 11の「イベント ビューアー」で閲覧できます。

記録されているイベントログを利用して、「いつ」「どのようにPCを操作したのか」などの行動履歴を把握したり、システムに発生したトラブル要因の目安をつけることも可能です。

イベントビューアーで確認できるパソコンの主な操作ログ(記録)を以下に示します。

  • セキュリティログ
     ユーザーのログオン/ログオフ、アカウントの作成・削除、パスワード変更、アクセス権の変更など、セキュリティ関連の操作が記録されます。

  • システムログ
     OSの起動・シャットダウン、ドライバやハードウェアのエラー、サービスの起動/停止など、システムの動作状態に関する情報が記録されます。

  • アプリケーションログ
     インストールされている各種アプリケーションが出力するエラー、警告、情報などが記録されます。

     特定のソフトウェアのクラッシュ情報や動作状況など。

  • セットアップログ
     OSのインストールやWindows Update、アプリケーションのインストール時の情報が記録されます。

2 イベントビューアーの開き方

Windows 11のイベントビューアーを開く手順を以下に示します。

  1. タスクバーの「スタート」ボタンを右クリックし、クイックリンク メニューの「イベントビューアー」をクリックします。




  2. イベントビューアーが開きます。 

    「左ペイン」「中央ペイン」「右ペイン」の語句は、本ページで使用する仮称です。

すべてのアプリ一覧にある「Windows ツール」から開く。

タスクバーにある検索ボックスに「イベント」と入力して、検索結果から開く。

3 PCのイベントログを確認する手順

表示されるイベントログは非常に数が多いことから、以下に示すいずれの操作もフィルタリングしてからイベント IDを絞り込みます。

イベントID(イベント識別子)とは、Windows が生成したログに記録されている出来事を一意に識別する固有番号です。

3-1 起動とシャットダウン時刻を確認する手順

PCの電源オンと電源オフの時刻を確認する手順を以下に示します。

  1. 上述した手順でイベントビューアーを開きます。

  2. 左ペインの「Windows ログ」左の「>」をクリックして展開します。




  3. 開いたサブフォルダーの「システム」をクリックします。




  4. 右ペインの「現在のログをフィルター」をクリックします。

    (膨大なログにフィルターをかけて、目的のイベント IDを手早く検索するための手順です。)




  5. 別ウィンドウで「現在のログをフィルター」画面が開きます。




    「すべてのイベント ID」欄にイベント IDの「6005-6006」と入力して「OK」ボタンをクリックします。

    「6005」はPCを起動した時刻のイベントIDです。

    「6006」は、PCをシャットダウンした時刻のイベント IDです。




  6. 検索対象の一覧が表示されます。

    目的のイベント IDと日付・時刻を確認します。



    Windows 11の高速スタートアップがオンの場合は、イベント ID「6005」と「6006」は表示されません。

    高速スタートアップはデフォルトでオンになっています。

高速スタートアップのオン/オフの設定方法は、以下の関連記事内の見出し3-4をご参照ください。

関連記事
PCのトラブル『パソコンが遅い・重い』原因を分析して解決策を見つける

更新履歴2024年5月24日:記述内容の一部修正 2023年3月21日:記述内容の全面刷新2022年8月9日:書式を全面的に見直し2022年3月3日:関連記事のリンクを追加  パソコンを長く使用していると、「起動が遅くなった」[…]

3-2 Windows 11へのログオン・ログオフの確認手順

ここで使用するイベント IDは以下のとおりで、このイベント IDを上述3-1の手順⑤と同じように入力し、フィルターをかけてログを確認します。

  • 7001:Windows 11へのログオンのイベント ID
  • 7002:Windows 11からのログオフのイベント ID
  1. 「現在のログをフィルター」画面の「すべてのイベント ID」欄に、イベント IDの「7001-7002」と入力して「OK」ボタンをクリックします。




  2. 検索対象の一覧が表示されます。

    目的のイベント IDと日付・時刻を確認します。

見出し3-1の手順⑤まで操作し、「現在のログをフィルター」画面の「すべてのイベントID」欄に「6005,6006,7001,7002」と入力して、フィルタリングして確認します。

以上で「Windows 11の操作:イベントビューアーでPCの操作ログ(記録)を取得する方法」に関する解説を終わります。

Windows 11の設定については、以下の関連記事も合わせてご覧ください。

関連記事
Windows 11の起動時に自動でアプリを立ち上げる:スタートアップに追加する方法

Windows 11には、パソコンを起動したときに特定のアプリケーションを自動で起動する機能が装備されています。スタートアップ機能がそれであり、スタートアップ フォルダに登録したプログラムやアプリケーションはパソコンを起動するたびに自動的[…]

関連記事
Windows 11の設定:メモリ不足のパソコンを仮想メモリで軽快な動きに改善する方法

メモリとは、RAM(Random Access Memory)とも呼ばれ、CPU(中央処理装置)が処理するデータやプログラムを一時的に保管する場所です。パソコンを使用している間、アプリケーションやシステムの動作に必要なデータがメモリに読み[…]
広告
最新情報をチェックしよう!