製品コラム
セイテクエンジニアのブログ 製品コラム 異常検知前後のイベントログを自動収集したい-BOM for Windows活用例
2026年07月01日配信
執筆者:セイ・テクノロジーズ エバンジェリスト
「BOM for Windows Ver.8.0」(以下、BOM)の「カスタムアクション」を使用すると、BOM標準のアクションにはない、独自の処理を自動化できます。例えば、イベントログ監視やパフォーマンス監視で注意や警告の状態となったときに、直近5分のイベントログを自動収集させることで、異常の原因の調査に役立つ一連のイベントを入手できる場合があります。
以下の連載記事の最後「過去5分間のすべてのイベントを画面またはCSV出力する(おまけ)」に、ローカルコンピューターのすべてのログ(WindowsログのApplication、Security、システム、Setupだけでなく、アプリケーションとサービスログのすべて)を対象に、過去5分間のイベントをCSVファイルに出力するPowerShellのサンプルスクリプト「gathereventsinXmin.ps1」が紹介されています。
vol.209 イベントログを使いこなせ(その1)|セイテク・シス管道場(Web)(かつて山市良と呼ばれたおじさんのブログ)
実は、このスクリプトは、ブログ記事の初期公開時にはなく、BOMのカスタムアクションで実行させることを想定して作成したものを後から追加したものです。
BOMのイベントログ監視項目を使用すると、イベントIDやそのイベントの回数などを条件に特定のイベント発生を監視することができます。しかし、イベント発生の原因を調査するには、監視対象の特定のイベントだけではなく、その前後に記録されていたイベントや、別のログファイルに同時期に記録されているイベントに注目することでヒントが得られることがあります。パフォーマンス監視では、特定のパフォーマンスカウンターをしきい値で監視できますが、異常発生時に何かしらイベントログに記録されている可能性があります。
BOMの各種監視設定のアクションとして、このサンプルスクリプト(この記事の改良版)を実行してCSVファイルに出力するカスタムアクションを作成すれば、異常発生時の直近(例えば5分前からの)のイベントを、ローカルコンピューターのすべてのログファイルを対象に自動収集できます(画面1)。さらに、「メール送信」アクションと組み合わせれば、CSVファイルをメールに添付して自動送信させることができます(画面2)。

画面1 イベントログ収集のためのカスタムアクションとして「gathereventsinXmin.ps1」を実行させ、直近5分(-Min 5)のイベントをCSVファイル(-ExportPath ファイルパス)に出力する

画面2 イベントログ収集に続き、メール送信アクションを逐次実行させ、出力されたCSVファイルをメールに添付して送信する
メールを受信した担当者は、CSVファイルをExcelで開いて分析することもできますし(画面3)、生成AIに分析を依頼することもできます。例えば、Windows 11であればエクスプローラーの右クリックメニューからCopilotやMicrosoft 365 Copilotに送信することができます(画面4)。
イベントのメッセージには、メールアドレスやIPアドレス、ユーザー名などセンシティブなデータ(機密情報)が含まれている可能性があるため、外部の生成AIを利用する場合は、たとえそのサービスが入力データを学習に使用しないと約束されているものであっても(Microsoft 365 Copilotなど)、生データではなくマスクした上で送信するべきです。そこで、サンプルスクリプト「gathereventsinXmin.ps1」を少し改良し、センシティブなデータの可能性のあるテキストをマスクする機能(オレンジのコード)を追加したものを用意しました。

画面3 担当者に過去5分間のイベントログを含むCSVファイルがメールで送られてくる(1つは加工なしのイベント、もう1つはセンシティブなテキストをマスク加工したもの)

画面4 CSVファイル(センシティブな情報をマスクしたもの)を生成AI(Microsoft 365 Copilotなど)し、要約や分析を依頼する
スクリプトに追加したMask-EventLogSensitiveData関数は、メールアドレスやユーザープロファイルパス、UNC名、FQDN、ドメイン¥ユーザー名、URLなどのテキストをマスクします(注: マスクは完全ではありません、単独のユーザー名やコンピューター名はマスクず、そのまま出力されます)。 -ExportPathパラメーターに出力先ファイルのパスを指定すると、マスク前のデータを「ファイル名.拡張子」に、マスク後のデータを「ファイル名_masked.拡張子」にCSV形式で出力します。
[gathereventsinXmin.ps](プレーンテキストで表示)
| 2026年07月01日 | 異常検知前後のイベントログを自動収集したい-BOM for Windows活用例 |
|---|---|
| 2026年06月15日 | What’s new in BOM 8.0 SR2: #3 製品コラムのディスク監視スクリプトをテンプレート化 |
| 2026年06月03日 | 一部の情報が採取されず、サーバー設定仕様書の該当項目が空欄になる-SSD-assistance FAQ(仮) |
| 2026年05月13日 | サーバー設定仕様書からWindows Serverの更新状態を確認したい-SSD-assistance FAQ(仮) |
| 2026年04月22日 | Azure VMのホストメトリックをゲスト側から監視したい-BOM for Windows活用例 |
| 2026年04月15日 | What's New in SSD-assistance: #5 アライドテレシス xシリーズ対応 |
| 2026年04月08日 | What's New in SSD-assistance: #4 Linuxへの対応をさらに強化 |
| 2026年03月25日 | カスタム監視のベストプラクティス-BOM for Windows FAQ(仮) |
| 2026年02月25日 | SNMPマネージャーサービスにベンダーMIBを登録する手順-BOM for Windows FAQ(仮) |
| 2026年02月18日 | ディスクとネットワークのパフォーマンス監視がしたい-BOM for Windows活用例 |