意図しないシャットダウン・再起動が発生したら

Last Update:
PerformanceHang-up/BSoD
feedback 共有

本記事はマイクロソフト社員によって公開されております。

こんにちは、Windows サポートチームの栗木です。
本記事では、意図しないシャットダウン・再起動が発生した際に、状況を把握するために確認すべきシステムのイベントログをご紹介いたします。イベントログは、OS にデフォルトでインストールされているイベント ビューアーから確認ができます。

適用対象の OS

  • すべての Windows OS

概要

意図しないシャットダウン・再起動には、ユーザーが意図していない OS の正常シャットダウン・再起動とブルースクリーン (BSoD) やリセットまたは電源断などによるシャットダウン・再起動が考えられます。以下のフロー チャートより、どの Case に該当しているか確認し、それぞれの対処策から対応方針などをご検討いただければと存じます。

※イベント ログが正常に記録されず、いずれの Case にも当てはまらない場合もございます。

Case 1. 正常シャットダウン・再起動

システムのイベントログにレベル:情報、ソース:User32、イベントID:1074 でイベントが記録されており、イベント メッセージを確認することにより、シャットダウン・再起動を始めたプロセスが確認できます。以下にイベント メッセージの例をご紹介いたします。

Message 1. スタート メニューから再起動を実行

次の理由で、プロセス C:\Windows\System32\RuntimeBroker.exe (DESKTOP-TEST) は、ユーザー DESKTOP-TEST\testuser の代わりに、コンピューター DESKTOP-TEST の 再起動 を始めました: その他 (計画外)
理由コード: 0x0
シャットダウンの種類: 再起動
コメント:

参考URL:Runtimebroker.exe による Shutdown イベント (ID 1074) について

Message 2. shutdown コマンドから再起動を実行 (shoudown.exe /r /t 0 /f)

次の理由で、プロセス C:\Windows\system32\shutdown.exe (DESKTOP-TEST) は、ユーザー DESKTOP-TEST\testuser の代わりに、コンピューター DESKTOP-TEST の 再起動 を始めました: この理由のタイトルが見つかりません
理由コード: 0x800000ff
シャットダウンの種類: 再起動
コメント:

Message 3. InitiateSystemShutdownExA 関数を使い再起動を実行

次の理由で、プロセス C:\Users\testuser\Desktop\SampleShutdownApp.exe (DESKTOP-TEST) は、ユーザー DESKTOP-TEST\testuser の代わりに、コンピューター DESKTOP-TEST の 再起動 を始めました: その他 (計画済)
理由コード: 0x80000000
シャットダウンの種類: 再起動
コメント: TEST Reboot

引数:InitiateSystemShutdownExA(NULL, “TEST Reboot”, 0, true, true, SHTDN_REASON_FLAG_PLANNED)

Message 4. Windows Update による再起動

次の理由で、プロセス C:\windows\system32\svchost.exe (DESKTOP-TEST) は、ユーザー NT AUTHORITY\SYSTEM の代わりに、コンピューター DESKTOP-TEST の 再起動 を始めました: オペレーティング システム: Service pack (計画済)
理由コード: 0x80020010
シャットダウンの種類: 再起動
コメント:

Message 5. Azure Portal から Azure VM をシャットダウン (英語版OS)

The process C:\Windows\system32\svchost.exe (TestVM) has initiated the shutdown of computer TestVM on behalf of user NT AUTHORITY\SYSTEM for the following reason: Other (Planned)
Reason Code: 0x80000000
Shutdown Type: shutdown
Comment: Calling CleanShutdown by wvchelper
Reason for shutdown: Stop call

Message 6. lsass.exe の異常終了によるシャットダウン

次の理由で、プロセス wininit.exe は、ユーザー の代わりに、コンピューター DESKTOP-TEST の 再起動 を始めました: この理由のタイトルが見つかりません
理由コード: 0x50006
シャットダウンの種類: 再起動
コメント: システム プロセス ‘C:\WINDOWS\system32\lsass.exe’ は、状態コード -1073741818 で突然終了しました。システムをシャットダウンし、再起動します。

lsass.exe の異常終了を検知し、OS が復旧のため、正常再起動をしています。lsass.exe のエラーが、アプリケーションのイベントログに、レベル:エラー、ソース:Application Error、イベントID:1000 で記録されています。原因調査は、まず lasass.exe がクラッシュした際にプロセス ダンプを出力させる設定をし、次回発生時にプロセス ダンプを解析することにより行います。

参考URL:プロセス ダンプの出力設定(クラッシュ)

Case 2. BSoD が発生し、ダンプが出力

システムのイベントログにレベル:エラー、ソース:BugCheck、イベントID:1001 でイベントが記録され、イベント メッセージを確認することにより、Bug Check Code やダンプの保存先が確認できます。BSoD の原因調査は、出力された MEMORY.DMP を WinDbg ツールで解析することにより実施します。

(例) Bug Check 0xD1: DRIVER_IRQL_NOT_LESS_OR_EQUAL

このコンピューターはバグチェック後、再起動されました。バグチェック: 0x000000d1 (0xffffe580a3522010, 0x0000000000000002, 0x0000000000000000, 0xfffff806404d1981)。ダンプの保存先: C:\Windows\MEMORY.DMP。レポート ID: b251fff0-14aa-473e-a159-e2bb30350558。

Case 3. リセットまたは電源断が発生

物理環境であれば、ハードウェアによるリセットまたは電源断が考えられ、仮想環境であれば、ホスト マシンからリセットがされた可能がございます。また、ブルースクリーンが発生したが、ダンプファイルを出力できなかった場合も、この Case に該当します。

Case 3. に該当する場合は、事象が発生した端末に調査に有効な情報は、出力されていないため、端末から原因調査ができません。物理環境であれば、ハードウェア観点、仮想環境であれば、仮想基盤やホスト マシン側からの調査が必要になります。

稀に、Case 2. でご紹介した ID 1001 のイベントが出力されていないが、ダンプが出力されている場合もございますので、ダンプの出力先 (デフォルト設定:%SystemRoot%\MEMORY.DMP) を念のため確認してください。出力されていれば、Case 2. と同じように WinDbg ツールで原因調査が可能です。

参考 URL

変更履歴

  • 2022/09/05 : 本 Blog の公開