LoginSignup
22
27

More than 5 years have passed since last update.

@sta

Windows のイベントログをファイルに出力する方法を比較してみた

Last updated at Posted at 2017-09-15

イベントログをファイルに出力する必要性に駆られたので調べてみました。

各方法の比較

注意事項:

  • 出力時間は「Win7 x86 Pro で 60000 個くらい溜まってる System ログ」を出した時のものです
  • 各コマンド自体は Windows Server 2012 Std x86_64 でも動くことを確認しています(ので最近の Windows なら問題無く使えると思います)
  • powershell のコマンドラインは表記の制約上、パイプを全角で書いてます
方法 出力時間 出力形式 コマンドライン
winapi BackupEventLog() 0.5秒 EVTX backupeventlog.exe
wevtutil epl 1秒 EVTX wevtutil epl System system.evtx
wevtutil qe XML 6秒 XML wevtutil qe System /f:XML /rd:true > system.txt
wevtutil qe Text 45秒 Text wevtutil qe System /f:Text /rd:true > system.txt
powershell Get-EventLog 160秒 Text powershell -Command "Get-EventLog system | Format-List" > system.txt

どの方法を採用すべきか?

以下の条件次第で、どの方法を使うかが自ずと決まってきます。

  • 出力時間は早い方が良い?遅くても良い?
  • 出力形式は .evtx?それともテキスト?
  • powershell は使ってもよい?wevtutil は使ってもよい?C言語で自製しても良い?

個人的には wevtutil が無難だと思いました。出力時間も短いし、evtx-text 間変換もできるし、とバランスが良いです。

各方法についての解説

大まかにはC言語で自製、wevtutilコマンドがニパターン、PowerShell、と三通りの方法があります。

方法1: Windows API の BackupEventLog() 関数

Windows API の BackupEventLog 関数 を使う方法です。C言語でコンパイルすること前提ですが、おそらく最も早く出力できる方法だと思います。

しかし .evtx 形式であるため、イベントビューアでないと見れません。

ソース:

#include <stdlib.h>
#include <windows.h>
int main(int argc, char *argv[])
{
    HANDLE h = OpenEventLog(NULL, "system");
    BackupEventLog(h, "system.evtx");
    CloseEventLog(h);
    return 0;
}

方法2: wevtutil epl

イベントログを扱うのに wevtutil という便利なコマンドがあります。こいつの epl オプションを使うと .evtx 形式で出力できます。

方法1に迫る勢いで処理が早いので、下手に自製するくらいならこの方法で良いと思います。しかし .evtx 形式なのでやはりイベントビューアが必要です。

方法3: wevtutil qe

wevtutil の別オプション qe を使えば、テキストで出力することもできます。

フォーマットは二種類あって、/f:Text で人間が読めるテキスト形式、/f:XML で XML 形式(人間が読むのは辛い)です。

処理時間は XML の方がだいぶ早いです。どうも内部的には XML がデフォとなっているらしく、/f:Text の場合はデフォの XML からわざわざ変換処理が走っているため遅いのだと考えられます。

方法4: PowerShell の Get-EventLog コマンドレット

PowerShell にも Get-Eventlog というコマンドレットがあります。

スクリプトなので PowerShell に精通しているならあれこれ出来て便利だと思います。が、他の方法と比べると処理時間が遅いのが難点でしょうか。(測ってませんが)CPU 消費率も高い気がしますし。

出力内容サンプル

ここではテキストで出力する方法について、どんな感じに出力されるかのサンプルを挙げてみました。

※オプションの -newest 1/c:1 は「最新一件のみ取得」を意味します。これをしないと何万というログがずらずら出て確認しづらいため。

powershell Get-Eventlog

情報が全然足りませんね。

$ powershell -Command "Get-EventLog system -newest 1"

   Index Time          EntryType   Source                 InstanceID Message
   ----- ----          ---------   ------                 ---------- -------
  177539 9 15  9:27    Information Service Control M...   1073748860 Application ...

powershell Get-EventLog からの Format-List

Format-List により足りない情報も見えています。

$ powershell -Command "Get-EventLog system -newest 1 | Format-List"
Index              : 177539
EntryType          : Information
InstanceId         : 1073748860
Message            : Application Experience サービスは 実行中 状態に移行しました。
Category           : (0)
CategoryNumber     : 0
ReplacementStrings : {Application Experience, 実行中}
Source             : Service Control Manager
TimeGenerated      : 2017/09/15 9:27:10
TimeWritten        : 2017/09/15 9:27:10
UserName           :

wevtutil qe テキスト形式

$ wevtutil qe System /c:1 /f:Text /rd:true
Event[0]:
  Log Name: System
  Source: Service Control Manager
  Date: 2017-09-15T09:27:10.676
  Event ID: 7036
  Task: N/A
  Level: 情報
  Opcode: N/A
  Keyword: クラシック
  User: N/A
  User Name: N/A
  Computer: MYCOMPUTERNAME
  Description:
Application Experience サービスは 実行中 状態に移行しました。

wevtutil qe XML形式

人間が読むものではないですね。

$ wevtutil qe System /c:1 /f:XML /rd:true
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System><Provider Name='Service Control Manager' Guid='{555908d1-a6d7-4695-8e1e-26931d2012f4}' EventSourceName='Service Control Manager'/><EventID Qualifiers='16384'>7036</EventID>...(中略)...</Event>

おわりに

イベントログを出力する方法を比べてみました。他にも良い方法があったら教えてください。

22
27
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
22
27