イベントビューアーからCSV形式でログを出力（エクスポート）すると文字化けします

CSV形式で文字化けしている場合は、一度そのCSVファイルをメモ帳などで開き、メモ帳の[ファイル]→[名前をつけて保存]を選択し、保存のダイアログボックスで右下にある[エンコード]を[ANSI]に変更して保存してください。

イベント ID: 4688が見つかりません。

イベント ID: 4688が見つからない場合、まずは「プロセス追跡の監査」を有効にする必要があります。

アプリケーションやソフトの起動や終了の履歴を確認する方法　Windows11

Q: イベント ID: 4688が見つかりません。

イベント ID: 4688が見つからない場合、まずは 「プロセス追跡の監査」を有効 にする必要があります。

2023年6月29日

こんな人にオススメの記事です

パソコンの操作履歴を見たい人
アプリケーションやソフトの起動や終了の履歴をパソコンに保存しておきたい人

WindowsにはPCの起動やシャットダウンに関する履歴（ログ）の他にも、アプリケーションやソフトの起動や終了をログとして残しておく機能が備わっています。
しかし、初期設定ではそれらの機能が無効になっているため、アプリケーションやソフトの起動や終了の履歴は残りません。

ここでは、アプリケーションやソフトの起動や終了を履歴（ログ）として残しておく機能を有効にする方法と、実際に保存されている履歴（ログ）を使って、パソコンの利用履歴を閲覧する方法を詳しく解説していきます。

アプリケーションやソフトの起動や終了の履歴（ログ）を常に保存しておく状態になるので、パソコンに負荷がかかる可能性があります。

ローカルセキュリティポリシーを開く

まずは、ローカルセキュリティポリシーを使ってアプリケーションやソフトの起動や終了を履歴（ログ）としてパソコン内に残しておく機能を有効にしていきます。

キーボードのWindowsボタン＋[R]を押して、「ファイル名を指定して実行」と書かれたウィンドウを起動してください。

次に、「名前(O)」と書かれたぶぶんに、[secpol.msc]と入力し、[OK]をクリックしてください。

「ファイル名を指定して実行」はコマンドを使用してアプリケーションの起動や、設定画面を簡単に開くことができる非常に便利な機能です。
「ファイル名を指定して実行」で使えるコマンドはこちらの「ファイル名を指定して実行で使えるコマンド一覧 - Windows11」で詳しく解説しているので、興味がある人は是非ご覧ください。

上記画像のような画面が開ければ成功です。

「プロセス追跡の監査」を有効にしてアプリケーションやソフトの起動や終了の履歴（ログ）などの操作履歴を保存する

ローカルグループポリシーが開けたら、ローカルセキュリティポリシーの中にある[プロセス追跡の監査]という機能を有効にします。

[プロセス追跡の監査]を有効にすることによって、アプリケーションやソフトの起動や終了の履歴（ログ）など、パソコンの操作履歴が保存されるようになります。

ローカルセキュリティポリシーの左側にある[ローカルポリシー]の左にある[>]をクリックしてください。

[ローカルポリシー]の左にある[>]をクリックすると、下に向かってメニューが展開されます。
その中にある[監査ポリシー]をクリックしてください。

[監査ポリシー]をクリックすると、右側の枠内に[アカウントログオンイベントの監査]や、[アカウント管理の監査]等の項目が表示されます。
その中にある[プロセス追跡の監査]をダブルクリックしてください。

[プロセス追跡の監査]をダブルクリックすると、「プロセス追跡の監査のプロパティ」と書かれたウィンドウが立ち上がります。

その中にある[成功(S)]と[失敗(F)]にチェックを入れ、下部にある[OK]をクリックしてください。

[適用]をクリックしなくても大丈夫だろうか？と思った人は、こちらで解説しているOKボタンと適用ボタンの違いについてを是非ご覧ください。

これでアプリケーションやソフトの起動や終了の履歴（ログ）が保存されるようになりました。

イベントビューアーを開く

アプリケーションやソフトの起動や終了の履歴（ログ）が保存されるようになったら、次はそのログを見ていきます。
ログはWindowsの機能で保存されているため、イベントビューアーを使って見ることができます。

ここではイベントビューアーを起動する方法をいくつかご紹介します。

検索からイベントビューアーを起動する方法

まずはタスクバーに表示されている[Windowsロゴ]をクリックしてください。
[Windowsロゴ]をクリックすると上に向かってメニューが展開されます。

「検索するには、ここに入力します」と書かれた検索ウィンドウに[イベントビューアー]と入力してください。

イベントとビューアーの間に半角スペースがあるので注意してください。

検索ウィンドウに[イベントビューアー]と入力すると、「最も一致する検索結果」に[イベントビューアー]と書かれた項目が表示されるので、[イベントビューアー]をクリックしてください。

この画面が開ければイベントビューアーを開くことに成功です。

ファイル名を指定して実行からイベントビューアーを起動する方法

まずは、キーボードの[Windows]キーと[R]キーを押し、「ファイル名を指定して実行」ウィンドウを起動させてください。

「ファイル名を指定して実行」ウィンドウが起動したら、「名前(O)」欄に[eventvwr]と入力し、[OK]をクリックしてください。

この画面が開ければイベントビューアーを開くことに成功です。

コマンドプロンプトからイベントビューアーを起動する方法

まずは、キーボードの[Windows]キーと[R]キーを押し、「ファイル名を指定して実行」ウィンドウを起動させてください。

「ファイル名を指定して実行」ウィンドウが起動したら、「名前(O)」欄に[cmd]と入力し、[OK]をクリックしてください。

[OK]をクリックするとコマンドプロンプトの画面が表示されます。

[eventvwr]と入力し、エンターキーを押してください。

この画面が開ければイベントビューアーを開くことに成功です。

アプリケーションやソフトの起動や終了を記録したログを確認する

ここからはパソコン内の多種多様なログを見ることのできるイベントビューアーを使って、アプリケーションやソフトの起動や終了を履歴（ログ）を確認する方法を詳しく解説していきます。

イベントビューアーの左側のツリーメニューに記載されている[Windowsログ]の左にある[>]をクリックしてください。

[Windowsログ]の左にある[>]をクリックすると、下に向かってメニューが展開されます。
その中にある[セキュリティ]をクリックしてください。

ここに保存されているのがアプリケーションやソフト（.exeファイル）の起動や終了を記録したログです。

見た目上では１個のアプリケーションを起動しているだけでもパソコン内部では複数のプロセスが起動しています。
その都合で膨大な量のログが保存されていますが、イベント ID: 4688とイベント ID: 4689を見ればだいたいわかります。

イベント ID: 4688にはアプリケーションなどの起動に関するログが残されており、イベント ID: 4689にはアプリケーションなどの終了時のログが残されています。

パワーポイントを起動した時のログ

こちらはパワーポイントを起動した時に残されるログです。

ログの名前:         Security
ソース:           Microsoft-Windows-Security-Auditing
日付:            2022/02/22 20:11:53
イベント ID:       4688
タスクのカテゴリ:      Process Creation
レベル:           情報
キーワード:         成功の監査
ユーザー:          N/A
コンピューター:       MSI
説明:
新しいプロセスが作成されました。

作成元サブジェクト:
	セキュリティ ID:		MSI\XXXXXXXXXX
	アカウント名:		XXXXXXXXXX
	アカウント ドメイン:		MSI
	ログオン ID:		0x29CF884B

ターゲット サブジェクト:
	セキュリティ ID:		NULL SID
	アカウント名:		-
	アカウント ドメイン:		-
	ログオン ID:		0x0

プロセス情報:
	新しいプロセス ID:		0xac0
	新しいプロセス名:	C:\Program Files (x86)\Microsoft Office\root\Office16\POWERPNT.EXE
	トークン昇格の種類:	TokenElevationTypeLimited (3)
	必須ラベル:		Mandatory Label\Medium Mandatory Level
	作成元プロセス ID:	0x1c48
	作成元プロセス名:	C:\Windows\explorer.exe
	プロセスのコマンド ライン:	

トークン昇格の種類は、ユーザー アカウント制御ポリシーに従って新しいプロセスに割り当てられたトークンの種類を示します。

種類 1 は、特権が削除されていない、またはグループが無効にされていない、フル トークンです。フル トークンは、ユーザー アカウント制御が無効の場合、またはユーザーが組み込みの管理者アカウントまたはサービス アカウントである場合にのみ使用されます。

種類 2 は、特権が削除されていない、またはグループが無効にされていない、昇格されたトークンです。昇格されたトークンは、ユーザー アカウント制御が有効であり、ユーザーが管理者として実行してプログラムを起動することを選択する場合に使用されます。昇格されたトークンは、アプリケーションが常に管理者特権を要求するか、または常に最高の特権を要求するように構成され、ユーザーが管理者グループのメンバーである場合にも使用されます。

種類 3 は、管理者特権が削除され、管理グループが無効にされた、制限されたトークンです。制限されたトークンは、ユーザー アカウント制御が有効で、アプリケーションが管理者特権を要求せず、ユーザーが管理者として実行してプログラムを起動しない場合に使用されます。

アプリケーションやソフトを起動した場合は[イベント ID: 4688]としてログが作成されます。
タスクのカテゴリは[Process Creation]です。
アカウント名にはそのアプリケーションを開いたユーザー名が表示されますが、今回はXXXXXXXXXXとして伏せています。
[日付:]にはそのログが作成された日時（アプリケーションやソフトを起動した日時とほぼ同様）が記載されます。

プロセス情報欄に実際に何をCreation（起動）したのかが記載されています。
新しいプロセス ID: 0xac0が割り振られていることがわかります。
プロセスの中身として[新しいプロセス名:]が表示されており、[ C:\Program Files (x86)\Microsoft Office\root\Office16\POWERPNT.EXE ]と表示されています。

パワーポイントを終了した（閉じた）時のログ

こちらはパワーポイントを終了した（閉じた）時に残されるログです。

ログの名前:         Security
ソース:           Microsoft-Windows-Security-Auditing
日付:            2022/02/22 20:12:51
イベント ID:       4689
タスクのカテゴリ:      Process Termination
レベル:           情報
キーワード:         成功の監査
ユーザー:          N/A
コンピューター:       MSI
説明:
プロセスが終了しました。

サブジェクト:
	セキュリティ ID:		MSI\XXXXXXXXXX
	アカウント名:		XXXXXXXXXX
	アカウント ドメイン:		MSI
	ログオン ID:		0x29CF884B

プロセス情報:
	プロセス ID:	0xac0
	プロセス名:	C:\Program Files (x86)\Microsoft Office\root\Office16\POWERPNT.EXE
	終了状態:	0x0

アプリケーションやソフトを終了した（閉じた）場合は[イベント ID: 4689]としてログが作成されます。
タスクのカテゴリは[Process Termination]です。
アカウント名にはそのアプリケーションを開いたユーザー名が表示されますが、今回はXXXXXXXXXXとして伏せています。
[日付:]にはそのログが作成された日時（アプリケーションやソフトを起動した日時とほぼ同様）が記載されます。

プロセス情報欄には、具体的に何のプロセスをTerminationした（終了した（閉じた））のかが表示されています。
終了したプロセスIDは0xac0で、C:\Program Files (x86)\Microsoft Office\root\Office16\POWERPNT.EXEを終了したことがわかります。

これら２個のログを合わせて読むことで、ユーザーXXXXXXXXXXは、2022/02/22 20:11:53にPOWERPNT.EXEを起動し、2022/02/22 20:12:51に終了したことがわかります。

Outlookを起動したときのログ

こちらはOutlookを起動した時に残されるログです。

ログの名前:         Security
ソース:           Microsoft-Windows-Security-Auditing
日付:            2022/12/18 13:57:05
イベント ID:       4688
タスクのカテゴリ:      Process Creation
レベル:           情報
キーワード:         成功の監査
ユーザー:          N/A
コンピューター:       MSI
説明:
新しいプロセスが作成されました。

作成元サブジェクト:
	セキュリティ ID:		MSI\XXXXXXXXXX
	アカウント名:		XXXXXXXXXX
	アカウント ドメイン:		MSI
	ログオン ID:		0x28157454

ターゲット サブジェクト:
	セキュリティ ID:		NULL SID
	アカウント名:		-
	アカウント ドメイン:		-
	ログオン ID:		0x0

プロセス情報:
	新しいプロセス ID:		0x391c
	新しいプロセス名:	C:\Program Files (x86)\Microsoft Office\root\Office16\OUTLOOK.EXE
	トークン昇格の種類:	TokenElevationTypeLimited (3)
	必須ラベル:		Mandatory Label\Medium Mandatory Level
	作成元プロセス ID:	0x4b30
	作成元プロセス名:	C:\Windows\explorer.exe
	プロセスのコマンド ライン:	

トークン昇格の種類は、ユーザー アカウント制御ポリシーに従って新しいプロセスに割り当てられたトークンの種類を示します。

種類 1 は、特権が削除されていない、またはグループが無効にされていない、フル トークンです。フル トークンは、ユーザー アカウント制御が無効の場合、またはユーザーが組み込みの管理者アカウントまたはサービス アカウントである場合にのみ使用されます。

種類 2 は、特権が削除されていない、またはグループが無効にされていない、昇格されたトークンです。昇格されたトークンは、ユーザー アカウント制御が有効であり、ユーザーが管理者として実行してプログラムを起動することを選択する場合に使用されます。昇格されたトークンは、アプリケーションが常に管理者特権を要求するか、または常に最高の特権を要求するように構成され、ユーザーが管理者グループのメンバーである場合にも使用されます。

種類 3 は、管理者特権が削除され、管理グループが無効にされた、制限されたトークンです。制限されたトークンは、ユーザー アカウント制御が有効で、アプリケーションが管理者特権を要求せず、ユーザーが管理者として実行してプログラムを起動しない場合に使用されます。

Outlookを終了した（閉じた）時のログ

こちらはOutlookを終了した（閉じた）時に残されるログです。

ログの名前:         Security
ソース:           Microsoft-Windows-Security-Auditing
日付:            2022/12/18 14:00:31
イベント ID:       4689
タスクのカテゴリ:      Process Termination
レベル:           情報
キーワード:         成功の監査
ユーザー:          N/A
コンピューター:       MSI
説明:
プロセスが終了しました。

サブジェクト:
	セキュリティ ID:		MSI\XXXXXXXXXX
	アカウント名:		XXXXXXXXXX
	アカウント ドメイン:		MSI
	ログオン ID:		0x28157454

プロセス情報:
	プロセス ID:	0x391c
	プロセス名:	C:\Program Files (x86)\Microsoft Office\root\Office16\OUTLOOK.EXE
	終了状態:	0x0

Microsoft Edgeを起動したときのログ

こちらはMicrosoft Edgeを起動したときのログです。

ログの名前:         Security
ソース:           Microsoft-Windows-Security-Auditing
日付:            2022/12/18 14:03:23
イベント ID:       4688
タスクのカテゴリ:      Process Creation
レベル:           情報
キーワード:         成功の監査
ユーザー:          N/A
コンピューター:       MSI
説明:
新しいプロセスが作成されました。

作成元サブジェクト:
	セキュリティ ID:		MSI\XXXXXXXXXX
	アカウント名:		XXXXXXXXXX
	アカウント ドメイン:		MSI
	ログオン ID:		0x28157454

ターゲット サブジェクト:
	セキュリティ ID:		NULL SID
	アカウント名:		-
	アカウント ドメイン:		-
	ログオン ID:		0x0

プロセス情報:
	新しいプロセス ID:		0xbe0
	新しいプロセス名:	C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
	トークン昇格の種類:	TokenElevationTypeLimited (3)
	必須ラベル:		Mandatory Label\Low Mandatory Level
	作成元プロセス ID:	0x8d8
	作成元プロセス名:	C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
	プロセスのコマンド ライン:	

トークン昇格の種類は、ユーザー アカウント制御ポリシーに従って新しいプロセスに割り当てられたトークンの種類を示します。

種類 1 は、特権が削除されていない、またはグループが無効にされていない、フル トークンです。フル トークンは、ユーザー アカウント制御が無効の場合、またはユーザーが組み込みの管理者アカウントまたはサービス アカウントである場合にのみ使用されます。

種類 2 は、特権が削除されていない、またはグループが無効にされていない、昇格されたトークンです。昇格されたトークンは、ユーザー アカウント制御が有効であり、ユーザーが管理者として実行してプログラムを起動することを選択する場合に使用されます。昇格されたトークンは、アプリケーションが常に管理者特権を要求するか、または常に最高の特権を要求するように構成され、ユーザーが管理者グループのメンバーである場合にも使用されます。

種類 3 は、管理者特権が削除され、管理グループが無効にされた、制限されたトークンです。制限されたトークンは、ユーザー アカウント制御が有効で、アプリケーションが管理者特権を要求せず、ユーザーが管理者として実行してプログラムを起動しない場合に使用されます。

Microsoft Edgeを終了した（閉じた）時のログ

こちらはMicrosoft Edgeを終了した（閉じた）時に残されるログです。

ログの名前:         Security
ソース:           Microsoft-Windows-Security-Auditing
日付:            2022/12/18 14:03:26
イベント ID:       4689
タスクのカテゴリ:      Process Termination
レベル:           情報
キーワード:         成功の監査
ユーザー:          N/A
コンピューター:       MSI
説明:
プロセスが終了しました。

サブジェクト:
	セキュリティ ID:		MSI\XXXXXXXXXX
	アカウント名:		XXXXXXXXXX
	アカウント ドメイン:		MSI
	ログオン ID:		0x28157454

プロセス情報:
	プロセス ID:	0x4078
	プロセス名:	C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
	終了状態:	0x0

Google Chromeを起動したときのログ

こちらはGoogle Chromeを起動したときのログです。

ログの名前:         Security
ソース:           Microsoft-Windows-Security-Auditing
日付:            2022/12/18 14:08:12
イベント ID:       4688
タスクのカテゴリ:      Process Creation
レベル:           情報
キーワード:         成功の監査
ユーザー:          N/A
コンピューター:       MSI
説明:
新しいプロセスが作成されました。

作成元サブジェクト:
	セキュリティ ID:		MSI\XXXXXXXXXX
	アカウント名:		XXXXXXXXXX
	アカウント ドメイン:		MSI
	ログオン ID:		0x28157454

ターゲット サブジェクト:
	セキュリティ ID:		NULL SID
	アカウント名:		-
	アカウント ドメイン:		-
	ログオン ID:		0x0

プロセス情報:
	新しいプロセス ID:		0x3728
	新しいプロセス名:	C:\Program Files\Google\Chrome\Application\chrome.exe
	トークン昇格の種類:	TokenElevationTypeLimited (3)
	必須ラベル:		Mandatory Label\Medium Mandatory Level
	作成元プロセス ID:	0xb78
	作成元プロセス名:	C:\Program Files\Google\Chrome\Application\chrome.exe
	プロセスのコマンド ライン:	

トークン昇格の種類は、ユーザー アカウント制御ポリシーに従って新しいプロセスに割り当てられたトークンの種類を示します。

種類 1 は、特権が削除されていない、またはグループが無効にされていない、フル トークンです。フル トークンは、ユーザー アカウント制御が無効の場合、またはユーザーが組み込みの管理者アカウントまたはサービス アカウントである場合にのみ使用されます。

種類 2 は、特権が削除されていない、またはグループが無効にされていない、昇格されたトークンです。昇格されたトークンは、ユーザー アカウント制御が有効であり、ユーザーが管理者として実行してプログラムを起動することを選択する場合に使用されます。昇格されたトークンは、アプリケーションが常に管理者特権を要求するか、または常に最高の特権を要求するように構成され、ユーザーが管理者グループのメンバーである場合にも使用されます。

種類 3 は、管理者特権が削除され、管理グループが無効にされた、制限されたトークンです。制限されたトークンは、ユーザー アカウント制御が有効で、アプリケーションが管理者特権を要求せず、ユーザーが管理者として実行してプログラムを起動しない場合に使用されます。

Google Chromeを終了した（閉じた）時のログ

こちらはGoogle Chromeを終了した（閉じた）時に残されるログです。

ログの名前:         Security
ソース:           Microsoft-Windows-Security-Auditing
日付:            2022/12/18 14:10:36
イベント ID:       4689
タスクのカテゴリ:      Process Termination
レベル:           情報
キーワード:         成功の監査
ユーザー:          N/A
コンピューター:       MSI
説明:
プロセスが終了しました。

サブジェクト:
	セキュリティ ID:		MSI\XXXXXXXXXX
	アカウント名:		XXXXXXXXXX
	アカウント ドメイン:		MSI
	ログオン ID:		0x28157454

プロセス情報:
	プロセス ID:	0x2af8
	プロセス名:	C:\Program Files\Google\Chrome\Application\chrome.exe
	終了状態:	0x0

PCでLINEを起動したときのログ

こちらはPCでLINEを起動したときのログです。

ログの名前:         Security
ソース:           Microsoft-Windows-Security-Auditing
日付:            2022/12/18 14:11:45
イベント ID:       4688
タスクのカテゴリ:      Process Creation
レベル:           情報
キーワード:         成功の監査
ユーザー:          N/A
コンピューター:       MSI
説明:
新しいプロセスが作成されました。

作成元サブジェクト:
	セキュリティ ID:		MSI\XXXXXXXXXX
	アカウント名:		XXXXXXXXXX
	アカウント ドメイン:		MSI
	ログオン ID:		0x28157454

ターゲット サブジェクト:
	セキュリティ ID:		NULL SID
	アカウント名:		-
	アカウント ドメイン:		-
	ログオン ID:		0x0

プロセス情報:
	新しいプロセス ID:		0x2450
	新しいプロセス名:	C:\Users\XXXXXXXXXX\AppData\Local\LINE\bin\current\LINE.exe
	トークン昇格の種類:	TokenElevationTypeLimited (3)
	必須ラベル:		Mandatory Label\Medium Mandatory Level
	作成元プロセス ID:	0xc0c
	作成元プロセス名:	C:\Users\XXXXXXXXXX\AppData\Local\LINE\bin\LineLauncher.exe
	プロセスのコマンド ライン:	

トークン昇格の種類は、ユーザー アカウント制御ポリシーに従って新しいプロセスに割り当てられたトークンの種類を示します。

種類 1 は、特権が削除されていない、またはグループが無効にされていない、フル トークンです。フル トークンは、ユーザー アカウント制御が無効の場合、またはユーザーが組み込みの管理者アカウントまたはサービス アカウントである場合にのみ使用されます。

種類 2 は、特権が削除されていない、またはグループが無効にされていない、昇格されたトークンです。昇格されたトークンは、ユーザー アカウント制御が有効であり、ユーザーが管理者として実行してプログラムを起動することを選択する場合に使用されます。昇格されたトークンは、アプリケーションが常に管理者特権を要求するか、または常に最高の特権を要求するように構成され、ユーザーが管理者グループのメンバーである場合にも使用されます。

種類 3 は、管理者特権が削除され、管理グループが無効にされた、制限されたトークンです。制限されたトークンは、ユーザー アカウント制御が有効で、アプリケーションが管理者特権を要求せず、ユーザーが管理者として実行してプログラムを起動しない場合に使用されます。

PCでLINEを終了した（閉じた）ときのログ

こちらはPCでLINEを終了した（閉じた）時に残されるログです。

ログの名前:         Security
ソース:           Microsoft-Windows-Security-Auditing
日付:            2022/12/18 14:16:46
イベント ID:       4689
タスクのカテゴリ:      Process Termination
レベル:           情報
キーワード:         成功の監査
ユーザー:          N/A
コンピューター:       MSI
説明:
プロセスが終了しました。

サブジェクト:
	セキュリティ ID:		MSI\XXXXXXXXXX
	アカウント名:		XXXXXXXXXX
	アカウント ドメイン:		MSI
	ログオン ID:		0x28157454

プロセス情報:
	プロセス ID:	0x4740
	プロセス名:	C:\Users\XXXXXXXXXX\AppData\Local\LINE\bin\LineLauncher.exe
	終了状態:	0x0

アプリケーションやソフトの起動や終了の記録（ログ）などの操作履歴をテキストファイルに書き出す方法

アプリケーションやソフトの起動や終了を記録したログは、以下の手順でイベントビューアーからテキスト形式（メモ帳で開ける）で出力することができます。

STEP

出力したいログを選択して[選択したイベントの保存]をクリック

テキスト形式（メモ帳で開ける）で出力したいログを選択し、右下にある[選択したイベントの保存]をクリックしてください。

複数のログを出力したい場合は、Ctrlを押しながら選択するか、Shiftを使ってまとめて範囲選択してください。

STEP

ファイルの種類を[テキスト(タブ区り)(*.txt)]に変更

[選択したイベントの保存]をクリックすると「名前を付けて保存」と書かれたウィンドウが立ち上がります。

その中にある[ファイルの種類(T)]をクリックし、[テキスト(タブ区り)(*.txt)]を選択してください。

Excelを使ってログを見たい場合は、ファイルの種類を[CSV(コンマ区り)(*.csv)]に変更してください。

STEP

ファイル名、保存場所を選択して[保存(S)]をクリック

ファイルの種類を[テキスト(タブ区り)(*.txt)]に変更したら、続いてファイル名とファイルの保存場所を決め、右下にある[保存(S)]をクリックしてください。

STEP

出力したテキストファイルを開く

[保存(S)]をクリックすると、テキストファイルが保存されます。

そのファイル（ここではlog.txt）を開くと、以下のようにイベントビューアーで見た情報が表示されます。

アプリケーションやソフトの起動や終了の記録（ログ）などの操作履歴をテキストファイルに書き出す方法 Step4 出力したテキストファイルを開く

アプリケーションやソフトの起動や終了の記録（ログ）などの操作履歴を削除する方法

アプリケーションやソフトの起動や終了を記録したログはイベントビューアーから削除することができます。

起動や終了の記録（ログ）を削除するには、イベントビューアーの右上にある[ログの削除]をクリックしてください。

[ログの削除]をクリックすると、「このログの内容を消去する前に保存できます。」と表示されます。

削除前にログを保存したい場合は[保存と消去(S)]を、保存する必要がない場合は[消去(C]をクリックしてください。

[消去(C]をクリックすると、上記画像のようにログが削除されます。

アプリケーションやソフトの起動や終了の履歴（ログ）の保存を停止する方法

アプリケーションやソフトの起動や終了の履歴（ログ）の保存を停止するには、プロセス追跡の監査を無効にします。

プロセス追跡の監査画面の開き方は「プロセス追跡の監査」を有効にしてアプリケーションやソフトの起動や終了の履歴（ログ）などの操作履歴を保存する」をご覧ください。

[成功(S)]と[失敗(F)]のチェックを外し、下部にある[OK]をクリックしてください。

ログの保存はパソコンに負荷がかかる可能性があります。
不要になったら記録（ログ）の保存を停止することをオススメします。

よくある質問

イベントビューアーからCSV形式でログを出力（エクスポート）すると文字化けします: CSV形式で文字化けしている場合は、一度そのCSVファイルをメモ帳などで開き、メモ帳の[ファイル]→[名前をつけて保存]を選択し、保存のダイアログボックスで右下にある[エンコード]を[ANSI]に変更して保存してください。
イベント ID: 4688が見つかりません。: イベント ID: 4688が見つからない場合、まずは「プロセス追跡の監査」を有効にする必要があります。

その他のWindowsログ（履歴）に関する記事

イベントビューアーにはWindowsの様々な操作のログ（記録）が残っています。
「パソコンにはどんなログ（履歴）が保存されているのか？」興味があるかたは是非ご覧ください

その他Windows11に関する記事

その他Windows11に関する記事はこちらです。ぜひご覧ください。

最後までご覧いただきありがとうございました。
このサイトは情シスマンが半径3m以内のITに関する情報を掲載してるサイトです。
Windows系を主として、ソフトや周辺機器の操作や設定について画像も用いながらわかりやすく解説しています。

解説している内容に誤りがあった場合や、補足が必要な場合、もっと知りたい場合はこちらのお問い合わせフォームからご連絡ください。
個人の方を限定にサポートさせていただきます。

実行環境
Windows11 Home 24H2
64 ビットオペレーティングシステム
11th Gen Intel(R) Core(TM) i7-11375H @ 3.30GHz 3.30 GHz
16.0 GB RAM
Microsoft 365