起動しない Windows PC がやってきました。
正確に言うと、正常に起動しない Windows PC が出先の営業所から私の手元にやってきました。
起動しない HDD からイベントログをみることができるのか
Gerd AltmannによるPixabayからの画像
以下は、状況です。
- OS は Windows7 Pro 32bit
- 購入は 2012年11月
- 「Windows を起動しています」から先に進まない
- 前日、Windowsを使っているときは何の問題もなく、正常にシャットダウン、今朝つけたらこの状態
- セーフモードも同様に起動しない
- 当方の部署に送られてきたPCの起動を試みたところ、上と同じ状況で起動せず
なので、
- おそらくは HDD で異常が発生している状態
と考えられるのであるが、もし可能であれば、
- イベントログを確認したい
- その上で、本來 Dドライブに保存されている、Thunderbird のメールデータ等を取り出したい
Event Log Explorer でイベントの濁流を泳ぐ
UNIX であれば、ログ関連は /var/log にあるので、HDD さえ無事であれば、マウントして syslog 等を見ればよいのだけれども、Windows の場合はどうすればいいのか・・
で、色々調べてみると、Eventlog Explorer というソフトがあるらしく、早速インストール。
一応ライセンスの購入が必要そうではあるのだけれども、30日間は評価版として全機能が利用できるみたい。どのみち、今回のこのPCのイベントログさえ見れればいいのだから、それでも全然良い1。
インストールして、起動すると次のようなライセンス確認のダイアログが。
Event Log Explorer のインストール
ここは、Continue evalueation として、評価版として利用。
起動すると、ひとまずローカルホストのイベントログのツリーが表示されています。
他のホスト(から外した HDD)のイベントを見るようなメニューは・・と。
メニューはすべて英語ではあるのだけれども、怯まずに探していくと、
「File」 → 「Open Log file」→ 「standard」
として、ダイアログを開き、元のPCで Cドライブ であったであろうディスクを開きます。
イベントログファイルを開く
Windows におけるイベントログは、%SYSTEMROOT%\System32\winevt\Logs に実体のファルがあります。
なので、他のPCから取り外した HDD の Cドライブが K:\ として、自身のPCにマウントされている場合、
K:\Windows\System32\winevt\Logs
に移動 (K はあくまでも例です) して、そこに存在している (であろう)
- Application.evtx
- System.evtx
を指定して開くと・・
・・実に簡単にイベントログが開けるのでした。
イベントログ では原因の究明はできず
で、結局イベントログには何の問題もなく、前日のシャットダウンまでイベントログは、きれいな状態でした。
そのかわり、この HDD をマウントしている私のPCのイベントログは、次のように真っ赤っか。
Event ID 7, 55 の連続するイベントログ
しかもその後、件の HDD は元々Cドライブであった部分が認識できないようになってしまいました2。
まとめ
Windows のログシステムと、Linux (UNIX系) のログシステム、どちらが優れているのかは私にはわかりませんが、別途ツールを必要とせずログを開けるのは純粋なテキストファイルをログファイルとしてい使用している UNIX系 の OS であると個人的に感じます。
Windows のログはバイナリなので、開くには別途にツールは必要となり面倒くさく、Windows が起動できるのあれば問題ないのですが、起動しない Windows のログファイルを開くのは本当に面倒。
まあ、一応開けることがわかったので良しとしましょうか。・・いずれにしても、Windows のイベントログは、いつもほとんどそうですが、見にくくてわかりにくいなぁ。なんとかしてほしいわ。
で、件の HDD ですが、終業時にシャットダウンして、翌朝起動する時には壊れていたことになるんですが、HDD のメーカーは あの Seagate製、ST1000DM003 。
この型式は、よく壊れているなぁ・・