本記事に記載の内容は、
「Windows - パフォーマンスモニタでイベント トレース セッションを取得する (ログ解析)方法」に関する内容となっています。
ぜひ参考にしてください。
Windows Server の パフォーマンス モニターを利用した手順となります。
本記事下部に、Active Directory関連のプロバイダー情報を記載しています。
目次
パフォーマンス モニター (Performance Monitor) とは
パフォーマンスモニターは、利用している端末やネットワークを通して別端末の
負荷状況や処理されたイベントをログとして確認できる機能になります。
Windows OSに標準搭載されているので、パフォーマンスを監視/確認したい場合に
管理者権限を持つアカウントでサインインできれば誰でも利用できるツールとなります。
基本的にリアルタイムで情報が収集されグラフで確認することが可能です。
取得できる内容の代表例を以下に記載します。
- CUPの利用率
- ディスクの読み取り
- ディスクの書き込む
- ディスクI/Oの読み取り
- ディスクiI/Oの書き込み
パフォーマンスモニター を起動してみよう
- [Windows キー] と [ R ]を同時に押下して、
[ファイル名を指定して実行]を起動します。
※または、スタートメニューから パフォーマンス モニターを探すことでも起動できます。 - 入力欄に[perfmon.msc]と入力し、[OK]をクリックします。
![[perfmon.msc]と入力し、[OK]をクリック](https://kurataku.com/wp-content/uploads/2022/03/e326b8a402493b48d90ceaad66589d88.png)
- パフォーマンス モニター が立ち上がるので、
左メニュー内の[パフォーマンス モニター]をクリックすることで、グラフを見ることが可能です。 - グラフ表示の上部にある[+]マークをクリックすることで、モニターする項目を追加することが可能です。
![[+]マークをクリックすることで、モニターする項目を追加することが可能](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAA+QAAAKoAQAAAADWywgfAAAAAnRSTlMAAHaTzTgAAABqSURBVHja7cGBAAAAAMOg+VNf4AhVAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAB8A06/AAE+QyZtAAAAAElFTkSuQmCC)
![[+]マークをクリックすることで、モニターする項目を追加することが可能](https://kurataku.com/wp-content/uploads/2022/03/3949cf2b9f0ba4716a4650619464226f.png)
イベント トレース セッションとは
少しややこしい話になりますが、
簡単な説明だと、Windows のイベント情報が収集されログとしてリアルタイムに吐き出すことが可能な機能になります。
例えば・・・ActiveDirectoryのKerberos キーの発行をログとして追ったり・・・
ややこしい話になると、仕組みとかを整理していく必要がありますが、
あまり難しくならないように簡潔にすると・・・
Windowsイベントのトレース・データをEvent Tracing for Windows (EWT)にて収集し管理しています。
その収集されたデータを提供するシステムをプロバイダと呼びます。
イベント トレース セッションを利用することで、上記で収集された情報を
プロバイダを指定してログとして出力してくれる機能となります。
イベント トレース セッション 画面の開き方
- [Windows キー] と [ R ]を同時に押下して、
[ファイル名を指定して実行]を起動します。
※または、スタートメニューから パフォーマンス モニターを探すことでも起動できます。 - 入力欄に[perfmon.msc]と入力し、[OK]をクリックします。
![入力欄に[perfmon.msc]と入力し、[OK]をクリック](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAY8AAADOAQAAAADukrM3AAAAAnRSTlMAAHaTzTgAAAAhSURBVGje7cEBDQAAAMKg909tDjegAAAAAAAAAAAAAF4NKQoAAV8BeZQAAAAASUVORK5CYII=)
- パフォーマンス モニター が立ち上がるので、
左メニュー内の[データ コレクター セット]をクリックし、
追加で表示されたメニュー内にある[イベント トレース セッション]をクリックします。![左メニュー内の[データ コレクター セット]をクリックし、 追加で表示されたメニュー内にある[イベント トレース セッション]をクリック](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAA9YAAAGYAQAAAACPX0cqAAAAAnRSTlMAAHaTzTgAAABISURBVHja7cGBAAAAAMOg+VNf4AhVAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAHwDxaAAAaxGyvgAAAAASUVORK5CYII=)
- 表示された、画面が現在実施されている イベント トレース セッション となります。
![左メニュー内の[データ コレクター セット]をクリックし、 追加で表示されたメニュー内にある[イベント トレース セッション]をクリック](https://kurataku.com/wp-content/uploads/2022/03/8a378d8e8f7034208af1af61bd0a0957.png)
イベント トレース セッション に 新しい データ コレクター を作成する
- 上記 章[イベント トレース セッション 画面の開き方]にて、イベント トレース セッションを開きます。
- 左メニュー内の[イベント トレース セッション]を右クリックし、
表示されたメニュー内の[新規作成]をクリックします。
その後、更に表示されるメニューの[データ コレクター セット]をクリックします。![[イベント トレース セッション]を右クリックし、 表示されたメニュー内の[新規作成]をクリックします。 その後、更に表示されるメニューの[データ コレクター セット]をクリック](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAA8QAAAGGAQAAAACV2HUUAAAAAnRSTlMAAHaTzTgAAABFSURBVHja7cExAQAAAMKg9U9tCy+gAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAH4GudwAARNTqY4AAAAASUVORK5CYII=)
- 新しいデータ コレクター セット を作成します 画面が表示されるます。
この新しいデータ コレクター セットの作成方法を選択してくださいメニューにて
以下設定を行い、データ コレクター セットを作成していきます。
- 名前:任意の管理者様が分かりやすい名称を設定してください。
- テンプレートから作成する(推奨):該当するテンプレートがあればこちらを選択します。
- 手動で作成する(詳細):該当するテンプレートが無い場合はこちらを選択します。
※本手順では、手動で作成する を選択しています。
- 有効にするイベント トレース プロバイダー を選択してくださいメニューにて
プロバイダー 欄の [追加]をクリックします。![プロバイダー 欄の [追加]をクリック](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAmQAAAHIAQAAAADIXMsZAAAAAnRSTlMAAHaTzTgAAAA5SURBVHja7cEBDQAAAMKg909tDwcUAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAM8GivAAAXsP1FIAAAAASUVORK5CYII=)
- イベント トレース プロバイダー が一覧で表示されるので、
取得した情報が含まれる、イベント トレース プロバイダーを選択し、[OK]をクリックします。![取得した情報が含まれる、イベント トレース プロバイダーを選択し、[OK]をクリック](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAbYAAAG2AQAAAAA7cp7dAAAAAnRSTlMAAHaTzTgAAAAuSURBVHja7cExAQAAAMKg9U/tbwagAAAAAAAAAAAAAAAAAAAAAAAAAAAAAACAN1/QAAGJBsyAAAAAAElFTkSuQmCC)
- 有効にするイベント トレース プロバイダー を選択してくださいメニューに戻るので
選択したプロバイダーが追加されたことを確認し、[次へ]または[完了]をクリックします。
※本手順では[完了]をクリックしています。![選択したプロバイダーが追加されたことを確認し、[次へ]または[完了]をクリック](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAmQAAAHCAQAAAABpx+h/AAAAAnRSTlMAAHaTzTgAAAA4SURBVHja7cExAQAAAMKg9U/taQmgAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAG6JHAAB7qXvLgAAAABJRU5ErkJggg==)
- イベント トレース セッション 画面に 作成した [データ コレクター セット]が表示されていれば作成完了です。
- 作成した[データ コレクター セット]は動作していないので、
イベント トレース セッション 画面に戻り、
作成した[データ コレクター セット]を右クリックして、[開始]をクリックします。![作成した[データ コレクター セット]は動作していないので、 イベント トレース セッション 画面に戻り、 作成した[データ コレクター セット]を右クリックして、[開始]をクリック](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAA9IAAAGmAQAAAAC4xIGNAAAAAnRSTlMAAHaTzTgAAABJSURBVHja7cEBDQAAAMKg909tDwcUAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAD8GcxoAAEW6FrxAAAAAElFTkSuQmCC)
- 停止したい場合は、
作成した[データ コレクター セット]を右クリックして、[停止]をクリックします。![停止したい場合は、 作成した[データ コレクター セット]を右クリックして、[停止]をクリック](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAA8gAAAGSAQAAAAAXo9UXAAAAAnRSTlMAAHaTzTgAAABGSURBVHja7cGBAAAAAMOg+VNf4AhVAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAADAN7+UAAHQdw67AAAAAElFTkSuQmCC)
- 収集されたログが保管される場所を確認するために、
作成した[データ コレクター セット]を右クリックして、[プロパティ]を開きます。![ログが保管される場所を確認するために、 作成した[データ コレクター セット]を右クリックして、[プロパティ]を開きます](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAA9QAAAGWAQAAAACxoPZnAAAAAnRSTlMAAHaTzTgAAABHSURBVBgZ7cGBAAAAAMOg+1MP4QLVAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAgCvEqAABnXDbsAAAAABJRU5ErkJggg==)
- プロパティ画面が開くので、[ディレクトリ]タブをクリックします。
※プロパティ画面で、参照しているプロバイダーを確認/追加/削除することが可能です。![[ディレクトリ]タブをクリックします。 ※プロパティ画面で、参照しているプロバイダーを確認/追加/削除することが可能](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAc4AAAISAQAAAABtiRLUAAAAAnRSTlMAAHaTzTgAAAA1SURBVHja7cExAQAAAMKg9U9tBn+gAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA+A16JgABKn3FVQAAAABJRU5ErkJggg==)
- 保管場所が表示されます。
保管場所を開くために、パスをコピーしてエクスプローラーを開き
コピーしたパスを開きます。
開いたディレクトリに、[データ コレクター セット]と[同一名称.etl]ファイルがあることを確認します。![パスをコピーしてエクスプローラーを開き コピーしたパスを開きます。 開いたディレクトリに、[データ コレクター セット]と[同一名称.etl]ファイルがあることを確認](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAcoAAAISAQAAAABkYrKuAAAAAnRSTlMAAHaTzTgAAAA1SURBVHja7cExAQAAAMKg9U9tBn+gAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA+A16JgABKn3FVQAAAABJRU5ErkJggg==)
- etlファイルをそのまま参照することは難しいため、
人間でも分かりやすいデータにするために成型します。 - コマンドプロンプトを[管理者として実行]で起動します。
- 本章の項番11でコピーしたディレクトリパスを参照したいので、
以下コマンドを入力します。command cd <コピーしたディレクトリパス>
- 以下コマンドを入力し、人間でもわかるデータに成型します。
command tracerpt "<etlファイル名>" -of CSV -o log.txt -f HTML -report report.html
- コピーしたディレクトリパスの場所を開くと、[report.html]ファイルが存在しています。
このファイルをダブルクリックしブラウザで参照することで、
データを閲覧することが可能です。![[report.html]ファイルが存在しています。 このファイルをダブルクリックしブラウザで参照することで、 データを閲覧することが可能です。](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAvkAAAHFAQAAAABAl9ueAAAAAnRSTlMAAHaTzTgAAABBSURBVHja7cExAQAAAMKg9U9tCU+gAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA4GyrpQAB008diAAAAABJRU5ErkJggg==)
![[イベント トレース セッション]を右クリックし、 表示されたメニュー内の[新規作成]をクリックします。 その後、更に表示されるメニューの[データ コレクター セット]をクリック](https://kurataku.com/wp-content/uploads/2022/03/87eb52c3e5d48a5982807ffd8a81a83f.png)
![プロバイダー 欄の [追加]をクリック](https://kurataku.com/wp-content/uploads/2022/03/1beb6748beeea8e7c3dfeeb524f92184.png)
![取得した情報が含まれる、イベント トレース プロバイダーを選択し、[OK]をクリック](https://kurataku.com/wp-content/uploads/2022/03/57122c958090f0c96221e2b8adf5b48a.png)
![選択したプロバイダーが追加されたことを確認し、[次へ]または[完了]をクリック](https://kurataku.com/wp-content/uploads/2022/03/e7cc48ff3ce29361961a48aca17065e0.png)
![作成した[データ コレクター セット]は動作していないので、 イベント トレース セッション 画面に戻り、 作成した[データ コレクター セット]を右クリックして、[開始]をクリック](https://kurataku.com/wp-content/uploads/2022/03/8b1fb6b07a5c6b72f13f6fd5417a6c58.png)
![停止したい場合は、 作成した[データ コレクター セット]を右クリックして、[停止]をクリック](https://kurataku.com/wp-content/uploads/2022/03/20a96411da9c89551300320302dc44f8.png)
![ログが保管される場所を確認するために、 作成した[データ コレクター セット]を右クリックして、[プロパティ]を開きます](https://kurataku.com/wp-content/uploads/2022/03/ddd8d68781d92489fe72b62ef4be0ae3.png)
![[ディレクトリ]タブをクリックします。 ※プロパティ画面で、参照しているプロバイダーを確認/追加/削除することが可能](https://kurataku.com/wp-content/uploads/2022/03/d7ae57b9a60508953789816d7fc430f3.png)
![パスをコピーしてエクスプローラーを開き コピーしたパスを開きます。 開いたディレクトリに、[データ コレクター セット]と[同一名称.etl]ファイルがあることを確認](https://kurataku.com/wp-content/uploads/2022/03/b71165840e435b5d8166724b345fd97a.png)
![[report.html]ファイルが存在しています。 このファイルをダブルクリックしブラウザで参照することで、 データを閲覧することが可能です。](https://kurataku.com/wp-content/uploads/2022/03/fa5ffd45b2abade64cf243820a44ac4a.png)
よく使う、プロバイダー と収集できる情報
私が良く利用する、プロバイダーを記載します。
- Domain Services: Core
- メモリやCPUに関する情報
- Domain Services
- Windowsで利用者のユーザーアカウントやアクセス権についてのセキュリティ設定
- Kerberos: Client
- Windows PCのAD認証関連
- Kerberos: KDC
- ユーザー名とパスワードをドメインの鍵配布センター (KDC) に対して確認するために Kerberos プロトコルを使用します。
Key Distribution Center:SSO に利用するチケット (TGT, サービスチケット) を払い出す機能のことです。KDC には AS と TGS が含まれています。
- ユーザー名とパスワードをドメインの鍵配布センター (KDC) に対して確認するために Kerberos プロトコルを使用します。
- Kerberos: AS
- Authentication Service:認証を行い、成功の場合には TGT を払い出す機能です。
- Kerberos: TGT
- Ticket Granting Ticket:身分証のことです。TGS に見せることで適切なチケットをもらえます。
- Kerberos: TGS
- Ticket Granted Service]TGT を持っているユーザがあるサービスにアクセスしたいときに、適切な権限でアクセスを許可するサービスチケットを払い出す機能です。
- NetLogon
- Windows Active Directory (以下AD)ドメイン参加したPCがドメインコントローラとの接続に使用するセキュアチャネルを生成するためのサービス。ドメインにログオンするにはこのセキュアチャネルが必要。
さいごに・・・
イベント トレース セッションを利用できると、
ちょっとした問題が起きた時に、どこで詰まっているのか調べることができて便利です。
スペック的な問題であれば、パフォーマンスモニタで確認ができるのです
システムのイベントで問題が起きていたり、発行されて欲しい情報が発行されていないこともあるので
ぜひ1度利用してみてくださいっ
※イベントビューアーで必要な情報が取れることが大半だとは思うので、
基本的にはイベントビューアーで追いきれないときに使うような機能ですっ