イベント ログの消去の際、[保存と消去] を選択すると保存先パスが UNC パスになる事象について

Last Update:
User Interface and AppsServer Management
feedback 共有

※本記事はマイクロソフト社員によって公開されております。

皆さん、こんにちは。Windows サポート チームです。

今回は、イベント ビューアーの操作にてログを消去する際の保存時の動作についてご紹介します。

現象 - Symptom

イベント ビューアーでログの [保存と消去] のを行う場合、イベント ログの保存先をローカルのフォルダー (例 C:\TEMP\Application.evtx) に指定した、対象のフォルダーが共有フォルダーとして共有されている場合、保存先のパスが UNC パス (例 \<ホスト名>\TEMP\Application.evtx) に置き換えて保存される動作がございます。

上記動作の結果、Windows Event Log サービスが置き換わった UNC パスへのファイルの書き込みが行えない場合、ログの保存に失敗します。
(* UNC パスでファイルの書き込みが可能な場合はログの保存に成功するため、影響はございません。)

再現手順の例

本事象は、イベント ビューアーの画面上で、[保存と消去] を押下したときの [名前を付けて保存] ダイアログにて、共有フォルダーとして共有されているローカル パスを指定した際に発生します。

たとえばですが、以下のような手順で再現します。

  1. C:\TEMP フォルダーを作成し、TEMP として共有します。このとき、共有フォルダーは [読み取り専用] とします。

  2. イベントビューアを開き、[Windows ログ] を開きます。

  3. [Application] を右クリックし、[ログの消去] をクリックします。

  4. [このログの内容を消去する前に保存できます。] ダイアログが表示されますので、[保存と消去] をクリックします。

  5. [名前を付けて保存] 画面にて、C:\TEMP 配下のパスを指定して保存をクリックします。

  6. 書き込み可能なフォルダーであるにもかかわらず、エラーが発生します。

原因 - Cause

本問題は、イベント ビューアーの GUI から [保存と消去] を実行する際、対象のフォルダーが共有フォルダー配下である場合には、ローカル パスの代わりに共有フォルダーの UNC パスを指定してファイルを保存しようとするために発生します。

回避策 - Workaround

ログを消去する前に保存する必要がございます場合は、[すべてのイベントを名前を付けて保存(E)] 等の別メニューなどをご利用いただき、保存したうえで消去を実施いただけますと幸いです。

また、wevtutil コマンドを利用し、類似の操作を実施した場合には事象は発生いたしません。

下記は、Application ログのすべてのイベントを C:\TEMP\Application.evtx に保存した後、Application ログを消去するコマンドの例です。

1
wevtutil cl Application /bu:C:\TEMP\Application.evtx

※ wevtutil コマンドのヘルプはこちらにございます
https://docs.microsoft.com/ja-jp/windows-server/administration/windows-commands/wevtutil

1
2
オプションの説明
{cl | clear-log} <Logname> [/bu:<Backup>] 指定したイベント ログのイベントを消去します。 /bu オプションを使用すると、消去されたイベントをバックアップできます。

更新履歴 - Update History

  • 2022/03/01 : 本 Blog の公開