Get-EventLogとGet-WinEventでエラーを調べたらMessageが違う
同じエラーイベントなのですが、Get-EventLogとGet-WinEventでは、得られるメッセージ内容が異なっていました。すべてを確認してはいませんが、同じイベント(10016)情報を出力して比較した例です。
先ず、Get-EventLogコマンドレット
上記のコマンドレットを使ったとき、PowerShell画面に出力される情報
メッセージ部だけの抜粋:
ソース 'DCOM' のイベント ID '10016' の説明が見つかりません。必要なレジストリ情報またはメッセージを表示するメッセージ DLL ファイルがローカル コンピューターに存在しない可能性があります。または、これらのデータへのアクセス許可がユーザーに与えられていない可能性があります。次の情報はイベントの一部です:'アプリケーション固有', 'ローカル', 'アクティブ化', '{D63B10C5-BB46-4990-A94F-E40B9D520160}', '{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}', 'XXXXXXXXX', 'xxx', 'S-1-5-21-99363098-3280424543-1175778931-1001', 'LocalHost (LRPC 使用)', '利用不可', '利用不可'
注)上記メッセージ部において
XXXXXXXXX:実際のコンピュータ名が入ります
xxx:実際のユーザー名が入ります
次に、Get-WinEventコマンドレット
上記のコマンドレットを使ったとき、PowerShell画面に出力される情報
メッセージ部だけの抜粋:
アプリケーション固有 のアクセス許可の設定では、CLSID
{D63B10C5-BB46-4990-A94F-E40B9D520160}
および APPID
{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}
の COM サーバー アプリケーションに対するローカルアクティブ化のアクセス許可を、アプリケーション コンテナー 利用不可 SID (利用不可) で実行中のアドレス LocalHost (LRPC 使用) のユーザー XXXXXXXXX\xxx SID (S-1-5-21-99363098-3280424543-1175778931-1001) に与えることはできません。このセキュリティ アクセス許可は、コンポーネント サービス管理ツールを使って変更できます。
注)上記メッセージ部において
XXXXXXXXX:実際のコンピュータ名が入ります
xxx:実際のユーザー名が入ります
イベントビューアーで出力される情報
比較のためを同じエラーイベントを表示してみました。コンテキストメニュー(「Win」+「X」「V」)を使います。
この表示内容は「Get-WinEvent」コマンドレットで得られるメッセージと一致しています。どうやら、「Get-WinEvent」コマンドレットを使った方が良さそうです。
もともとは、「Get-EventLog」と「イベントビューアー」とを使ってエラーイベントを調べているとき、メッセージが一致しないことを不思議に思ったのがきっかけです。調べているうち、コマンドレットに「Get-WinEvent」があることを知りました。ですから、本来の記事としては、「イベントビューアーとGet-EventLogのメッセージ内容が違う」という内容にするのが正しいのでしょう。
すべての記事をまとめた★カテゴリーごとの全記事一覧★がありますのでご覧ください。
以下のバナーをクリックしていただくと、とても励みになります!
[Ctrl]キーを押しながらクリックすると他のページに飛びません
