目的と関連ワード
主目的: Windowsで過去のシャットダウン履歴を確認する方法。関連ワード例: シャットダウンログ, イベントビューアー, TurnedOnTimesView, Shutdown Logger, Windows 管理ツール
いつこれが役に立つか(1行で定義)
サーバーや社内PC群の利用状況や異常終了の調査、操作ログの監査が必要なときに使います。
方法1 — イベント ビューアー(Windows Logs)で確認する
Windowsに標準搭載されているイベントビューワーは、シャットダウンやシステムイベントの履歴を参照できる基本ツールです。特にイベントID 6006(イベント ログ サービスの停止)などを使うと「シャットダウンした時間」を特定できます。
手順(簡潔):
- 「Windowsキー + X」を押して表示されるメニューから「イベント ビューアー」を選択します。あるいはスタートメニューで「イベント ビューアー」と検索して開きます。
- 左ペインで「Windows ログ」を展開します。
- 「システム」をクリックします。
- 右側で「現在のログのフィルター」を選択します。
- 「イベント ID」欄に「6006」と入力してフィルターを保存します。
- 中央ペインに表示されたエントリの日付時刻がシャットダウンの時刻です。
重要: イベントIDは環境やWindowsのバージョンで若干異なる場合があります。強制電源断やハードウェア障害ではログが残らないことがあります。
補足 — 稼働時間の確認:
タスクマネージャーでも稼働時間(Up Time)が確認できます。タスクバーを右クリックして「タスク マネージャー」を開き、「パフォーマンス」→「CPU」の項目内で稼働時間を確認してください。
方法2 — Shutdown Logger(シンプルなログ専用ツール)
Shutdown Loggerはシャットダウンのみを記録する軽量サービス型ツールです。インストール後に常駐してシャットダウン時の時刻をテキストファイルへ書き出します。
特徴:
- シャットダウン(電源オフ)のみを記録。スリープや休止は記録しない点に注意。
- テキストログは人間にも読みやすく、スクリプトで集約しやすい。
- ログ保存先の例: C:\ShutdownLoggerSvc\Logs(設定によって変わることがあります)
運用メモ:
- 社内で運用する場合はログ保存ポリシー(保存期間、転送先、アクセス制御)を決めてください。
- 管理者権限が必要な場合があります。ダウンロードは必ず公式配布元で行ってください。
注意: 無料ツールでもソースの信頼性を確認し、ウイルススキャンを実施してから導入してください。
方法3 — TurnedOnTimesView(インストール不要で参照が簡単)
TurnedOnTimesViewはポータブル(インストール不要)で、過去数週間分の起動・シャットダウン・スリープ・休止のイベントを一覧表示できます。イベントの原因やイベントログの該当箇所へのジャンプなど、トラブルシューティングに便利な追加情報も得られます。
特徴:
- インストール不要で実行ファイルを起動するだけで使える。
- 起動・シャットダウン・スリープ・休止をまとめて表示する。
- CSVなどへエクスポートして集約・分析可能。
運用上の注意:
- ローカルのイベントログ情報を読み取るため、管理者権限が必要になる場合があります。
- Fast Startup(高速スタートアップ)やクロックの変更があると表示がわかりにくくなることがあります。
いつこれらの方法がうまく機能しないか(失敗例・注意点)
- 強制的な電源断(電源遮断)ではイベントが正しく記録されない場合があります。
- 時刻設定やタイムゾーンの不整合があると誤ったタイムスタンプが記録されることがあります。
- 「高速スタートアップ」有効時はシャットダウンと休止の扱いが変わり、期待通りのログにならない可能性があります。
- リモートシャットダウン(管理ツール経由)やスクリプトでのシャットダウンでは、ユーザー名の特定が難しいことがあります。
代替アプローチ(すぐ使える例)
- PowerShell: Get-WinEvent または Get-EventLog を使ってイベントIDでフィルタする。自動化スクリプトで集中収集可能。
- WMIクエリ: Win32_OperatingSystemのLastBootUpTimeなどで起動時刻を確認する。
- セントラルログ管理: SIEMやSyslogへ転送して長期保存・横断検索する。
- エンタープライズ向け: Microsoft Endpoint Manager(SCCM/Intune)やActive Directory監査と連携して管理する。
監査・運用のためのミニ手順(監査方法)
- 目的定義: 何を監査するか(シャットダウン時刻、操作ユーザー、頻度など)を明記。
- 取得方法選定: イベントビューアー、Shutdown Logger、TurnedOnTimesView、PowerShellのどれを使うか決める。
- 自動収集: 定期的にログを集中サーバーへ転送するスクリプトを作成。
- 保持ポリシー: 保存期間とアクセス権を決定(例: 90日保存、管理者のみ)。
- 検証: サンプルマシンで意図的にシャットダウン・スリープを行い、ログが正しく残るか検証する。
- レポート: 異常な連続シャットダウンや未承認の操作を検出したらアラートを出す。
役割別チェックリスト
管理者:
- イベントIDのフィルター設定をドキュメント化する
- ログの集中収集とバックアップを設定する
- 定期的にログの整合性を検証する
IT運用/マネージャー:
- 監査目的と保持期間を定める
- インシデント時の連絡フローを用意する
エンドユーザー:
- 意図しないシャットダウンがあればITへ報告する
- 端末の電源管理設定を確認する
1行用語集
- イベント ビューアー: Windowsのログを閲覧・フィルターする標準ツール。
- イベントID 6006: 通常はイベントログサービスの停止(シャットダウン関連の指標)。
- ポータブルアプリ: インストール不要で実行できるソフトウェア。
簡単なトラブルシューティング(チェック項目)
シャットダウン時刻が空白または見つからない場合:
- 管理者権限でツールを実行しているか確認する。
- イベントログ(システム)が破損していないか確認する。
- Fast Startupを無効にして再度テストする。
ログにユーザー名が表示されない場合:
- リモートシャットダウンかサービス経由のシャットダウンの可能性がある。
まとめ / 最終的なおすすめ
- 単発で確認したいならイベントビューアーでイベントIDをフィルタするのが手早く確実です。
- 人間が読みやすいテキストログが欲しい、または特定のシャットダウンだけを記録したい場合はShutdown Loggerが便利です。
- インストールなしで過去の起動・停止履歴を一覧表示したいときはTurnedOnTimesViewが良い選択です。
重要: どの方法でも、時刻設定、タイムゾーン、Fast Startup、強制電源断などが結果に影響します。導入前に検証環境で試し、ログの保存とアクセス制御を必ず計画してください。
あなたはどのツールを使っていますか?運用上の工夫やトラブルがあればコメントで教えてください。
関連記事:
- Windows 10/8/7で不明なファイル拡張子にアクセスする方法
- 海賊版Windows 10を使うリスクとは
- Microsoft To-Do アカウントを無効にする方法
