Tomorrow easier, more fun

情シスの自由帳

アプリケーションやソフトの起動や終了の履歴を確認する方法 Windows11

2022年2月26日

Windowsにはアプリケーションやソフトの起動や終了をログとして残しておく機能が備わっています。
しかし、初期設定ではそれらの機能が無効になっているため、アプリケーションやソフトの起動や終了の履歴は残りません。

ここでは、アプリケーションやソフトの起動や終了を履歴(ログ)として残しておく機能を有効にする方法と、実際に保存されている履歴(ログ)を閲覧する方法を詳しく解説していきます。

アプリケーションやソフトの起動や終了の履歴(ログ)を常に保存しておく状態になるので、パソコンに負荷がかかる可能性があります。

ローカル セキュリティ ポリシーを開く

まずは、ローカル セキュリティ ポリシーを使ってアプリケーションやソフトの起動や終了を履歴(ログ)として残しておく機能を有効にしていきます。

ローカル セキュリティ ポリシーを開く

キーボードのWindowsボタン+[R]を押して、「ファイル名を指定して実行」と書かれたウィンドウを起動してください。

次に、「名前(O)」と書かれたぶぶんに、[secpol.msc]と入力し、[OK]をクリックしてください。

ローカル セキュリティ ポリシーを開く

このような画面が開ければ成功です。

プロセス追跡の監査を有効にしてアプリケーションやソフトの起動や終了の履歴(ログ)を保存する

ローカル セキュリティ ポリシーの中にある[プロセス追跡の監査]という機能を有効にします。
[プロセス追跡の監査]という機能を有効にすることによって、アプリケーションやソフトの起動や終了の履歴(ログ)が保存されるようになります。

プロセス追跡の監査を有効にする

ローカル セキュリティ ポリシーの左側にある[ローカルポリシー]の左にある[>]をクリックしてください。

[ローカルポリシー]の左にある[>]をクリックすると、下に向かってメニューが展開されます。
その中にある[監査ポリシー]をクリックしてください。

[監査ポリシー]をクリックすると、右側の枠内に[アカウント ログオン イベントの監査]や、[アカウント管理の監査]等の項目が表示されます。
その中にある[プロセス追跡の監査]をダブルクリックしてください。

プロセス追跡の監査を有効にする

[プロセス追跡の監査]をダブルクリックすると、「プロセス追跡の監査のプロパティ」と書かれたウィンドウが立ち上がります。

その中にある[成功(S)]と[失敗(F)]にチェックを入れ、下部にある[OK]をクリックしてください。

[適用]をクリックしなくても大丈夫だろうか?と思った人は、こちらで解説しているOKボタンと適用ボタンの違いについてを是非ご覧ください。

これでアプリケーションやソフトの起動や終了の履歴(ログ)が保存されるようになりました。

イベント ビューアーを開く

アプリケーションやソフトの起動や終了の履歴(ログ)が保存されるようになったら、次はそのログを見ていきます。
ログはWindowsの機能で保存されているため、イベント ビューアーを使って見ることができます。

ここではイベントビューアーを起動する方法をいくつかご紹介します。

検索からイベントビューアーを起動する方法

イベント ビューアーを開く

まずはタスクバーに表示されている[Windowsロゴ]をクリックしてください。
[Windowsロゴ]をクリックすると上に向かってメニューが展開されます。

「検索するには、ここに入力します」と書かれた検索ウィンドウに[イベント ビューアー]と入力してください。

イベントとビューアーの間に半角スペースがあるので注意してください。

検索ウィンドウに[イベント ビューアー]と入力すると、「最も一致する検索結果」に[イベント ビューアー]と書かれた項目が表示されるので、[イベント ビューアー]をクリックしてください。

イベント ビューアーを開く

この画面が開ければイベント ビューアーを開くことに成功です。

ファイル名を指定して実行からイベントビューアーを起動する方法

ファイル名を指定して実行からイベントビューアーを起動する方法

まずは、キーボードの[Windows]キーと[R]キーを押し、「ファイル名を指定して実行」ウィンドウを起動させてください。

ファイル名を指定して実行からイベントビューアーを起動する方法

「ファイル名を指定して実行」ウィンドウが起動したら、「名前(O)」欄に[eventvwr]と入力し、[OK]をクリックしてください。

ファイル名を指定して実行からイベントビューアーを起動する方法

この画面が開ければイベント ビューアーを開くことに成功です。

コマンドプロンプトからイベントビューアーを起動する方法

コマンドプロンプトからイベントビューアーを起動する方法

まずは、キーボードの[Windows]キーと[R]キーを押し、「ファイル名を指定して実行」ウィンドウを起動させてください。

コマンドプロンプトからイベントビューアーを起動する方法

「ファイル名を指定して実行」ウィンドウが起動したら、「名前(O)」欄に[cmd]と入力し、[OK]をクリックしてください。

コマンドプロンプトからイベントビューアーを起動する方法

[OK]をクリックするとコマンドプロンプトの画面が表示されます。

[eventvwr]と入力し、エンターキーを押してください。

コマンドプロンプトからイベントビューアーを起動する方法

この画面が開ければイベント ビューアーを開くことに成功です。

アプリケーションやソフトの起動や終了を記録したログを確認する

ここからはパソコン内の多種多様なログを見ることのできるイベント ビューアーを使って、アプリケーションやソフトの起動や終了を履歴(ログ)を確認する方法を詳しく解説していきます。

アプリケーションやソフトの起動や終了を記録したログを確認する

イベント ビューアーの左側のツリーメニューに記載されている[Windowsログ]の左にある[>]をクリックしてください。

[Windowsログ]の左にある[>]をクリックすると、下に向かってメニューが展開されます。
その中にある[セキュリティ]をクリックしてください。

ここに保存されているのがアプリケーションやソフトの起動や終了を記録したログです。
見た目上では1個のアプリケーションを起動しているだけでもパソコン内部では複数のプロセスが起動しています。
その都合で膨大な量のログが保存されています。

パワーポイントを起動した時のログを見てみる

ログの名前:         Security
ソース:           Microsoft-Windows-Security-Auditing
日付:            2022/02/22 20:11:53
イベント ID:       4688
タスクのカテゴリ:      Process Creation
レベル:           情報
キーワード:         成功の監査
ユーザー:          N/A
コンピューター:       MSI
説明:
新しいプロセスが作成されました。

作成元サブジェクト:
	セキュリティ ID:		MSI\XXXXXXXXXX
	アカウント名:		XXXXXXXXXX
	アカウント ドメイン:		MSI
	ログオン ID:		0x29CF884B

ターゲット サブジェクト:
	セキュリティ ID:		NULL SID
	アカウント名:		-
	アカウント ドメイン:		-
	ログオン ID:		0x0

プロセス情報:
	新しいプロセス ID:		0xac0
	新しいプロセス名:	C:\Program Files (x86)\Microsoft Office\root\Office16\POWERPNT.EXE
	トークン昇格の種類:	TokenElevationTypeLimited (3)
	必須ラベル:		Mandatory Label\Medium Mandatory Level
	作成元プロセス ID:	0x1c48
	作成元プロセス名:	C:\Windows\explorer.exe
	プロセスのコマンド ライン:	

トークン昇格の種類は、ユーザー アカウント制御ポリシーに従って新しいプロセスに割り当てられたトークンの種類を示します。

種類 1 は、特権が削除されていない、またはグループが無効にされていない、フル トークンです。フル トークンは、ユーザー アカウント制御が無効の場合、またはユーザーが組み込みの管理者アカウントまたはサービス アカウントである場合にのみ使用されます。

種類 2 は、特権が削除されていない、またはグループが無効にされていない、昇格されたトークンです。昇格されたトークンは、ユーザー アカウント制御が有効であり、ユーザーが管理者として実行してプログラムを起動することを選択する場合に使用されます。昇格されたトークンは、アプリケーションが常に管理者特権を要求するか、または常に最高の特権を要求するように構成され、ユーザーが管理者グループのメンバーである場合にも使用されます。

種類 3 は、管理者特権が削除され、管理グループが無効にされた、制限されたトークンです。制限されたトークンは、ユーザー アカウント制御が有効で、アプリケーションが管理者特権を要求せず、ユーザーが管理者として実行してプログラムを起動しない場合に使用されます。

アプリケーションやソフトを起動した場合は[イベント ID: 4688]としてログが作成されます。
タスクのカテゴリは[Process Creation]です。
アカウント名にはそのアプリケーションを開いたユーザー名が表示されますが、今回はXXXXXXXXXXとして伏せています。
[日付:]にはそのログが作成された日時(アプリケーションやソフトを起動した日時とほぼ同様)が記載されます。

プロセス情報欄に実際に何をCreation(起動)したのかが記載されています。
新しいプロセス ID: 0xac0が割り振られていることがわかります。
プロセスの中身として[新しいプロセス名:]が表示されており、[ C:\Program Files (x86)\Microsoft Office\root\Office16\POWERPNT.EXE ]と表示されています。

パワーポイントを終了した(閉じた)時のログを見てみる

ログの名前:         Security
ソース:           Microsoft-Windows-Security-Auditing
日付:            2022/02/22 20:12:51
イベント ID:       4689
タスクのカテゴリ:      Process Termination
レベル:           情報
キーワード:         成功の監査
ユーザー:          N/A
コンピューター:       MSI
説明:
プロセスが終了しました。

サブジェクト:
	セキュリティ ID:		MSI\XXXXXXXXXX
	アカウント名:		XXXXXXXXXX
	アカウント ドメイン:		MSI
	ログオン ID:		0x29CF884B

プロセス情報:
	プロセス ID:	0xac0
	プロセス名:	C:\Program Files (x86)\Microsoft Office\root\Office16\POWERPNT.EXE
	終了状態:	0x0

アプリケーションやソフトを終了した(閉じた)場合は[イベント ID: 4689]としてログが作成されます。
タスクのカテゴリは[Process Termination]です。
アカウント名にはそのアプリケーションを開いたユーザー名が表示されますが、今回はXXXXXXXXXXとして伏せています。
[日付:]にはそのログが作成された日時(アプリケーションやソフトを起動した日時とほぼ同様)が記載されます。

プロセス情報欄には、具体的に何のプロセスをTerminationした(終了した(閉じた))のかが表示されています。
終了したプロセスIDは0xac0で、C:\Program Files (x86)\Microsoft Office\root\Office16\POWERPNT.EXEを終了したことがわかります。

これら2個のログを合わせて読むことで、ユーザーXXXXXXXXXXは、2022/02/22 20:11:53にPOWERPNT.EXEを起動し、2022/02/22 20:12:51に終了したことがわかります。

アプリケーションやソフトの起動や終了の記録(ログ)を削除する方法

アプリケーションやソフトの起動や終了を記録したログはイベントビューアーから削除することができます。

アプリケーションやソフトの起動や終了の記録(ログ)を削除する方法

起動や終了の記録(ログ)を削除するには、イベントビューアーの右上にある[ログの削除]をクリックしてください。

アプリケーションやソフトの起動や終了の記録(ログ)を削除する方法

[ログの削除]をクリックすると、「このログの内容を消去する前に保存できます。」と表示されます。

削除前にログを保存したい場合は[保存と消去(S)]を、保存する必要がない場合は[消去(C]をクリックしてください。

アプリケーションやソフトの起動や終了の記録(ログ)を削除する方法

[消去(C]をクリックすると、上記画像のようにログが削除されます。

記録(ログ)の保存を停止する方法

アプリケーションやソフトの起動や終了の履歴(ログ)の保存を停止するには、プロセス追跡の監査を無効にします。

記録(ログ)の保存を停止する方法

[成功(S)]と[失敗(F)]のチェックを外し、下部にある[OK]をクリックしてください。

ログの保存はパソコンに負荷がかかる可能性があります。
不要になったら記録(ログ)の保存を停止することをオススメします。

最後までご覧いただきありがとうございました。
情シスの自由帳は、情シスマンが半径3m以内のITに関する情報を掲載してるサイトです。

Windows系を主として、ソフトや周辺機器について思い立った物を色々解説しています。
できる限り詳しく、丁寧に解説していくつもりですが、解説で不明な部分やもっと深く掘り下げたほうが良い記事がありましたら遠慮なくコメント欄でコメントいただけるとありがたいです。

操作環境
Windows11 Home
Microsoft Office 2019

  • B!