Microsoft-Windows-Kernel-IoTrace/Diagnostic のイベントログが開けない事象

Last Update:
Failover ClusteringConfiguration and Management
feedback 共有

こんにちは。Windows Commercial Storage & High Availability チーム です。
今回は Windows Server Failover Cluster (WSFC) 構成において Microsoft-Windows-Kernel-IoTrace/Diagnostic のイベントログが開けない事象についてご紹介します。

事象

Windows Server 2022 の WSFC 環境において、インストール後に 以下のイベントログに下図のようなエラーが記録されます。
[アプリケーションとサービス ログ] > [Microsoft] > [Windows] > [Kernel-IoTrace] > [Diagnostic]

図. エラー内容

イベント ビューアーで、イベント ログまたはカスタム ビューを開けません。
イベント ログ サービスが実行されていることを確認してください。
また、クエリが長すぎることが原因の可能性もあります。
引き渡されたインスタンス名は WMI データ プロバイダーで有効なものとして認識されませんでした(4201)

イベントログが参照できないことで、結果的に、サーバーマネージャーのダッシュボードにて以下のような警告が表示される場合がございます。

構成の更新メッセージ: 十分なアクセス権がない、ファイルが破損している、
などの理由により、システムが 1 つ以上のイベント ログ にアクセスできません。
詳細については、ターゲット サーバーの ServerManager-ManagementProvider
エラー ログの Operational チャネルを参照してください。

原因

本イベントは Kernel-IoTrace/Diagnostic の Event が開けないことで発生しています。
システムに影響を与えるようなエラーではございませんので、無視していただいても問題ないものと判断しております。

対処策

2024 年 3 月の更新プログラムを適用することで、今回の事象の発生原因となった Kernel-IoTrace のポリシーを無効化されます。
これにより、WSFC 環境を新規で作成しても今後当該イベントは出力されません。

なお、既に WSFC を構成している環境においては、クラスター作成時に Kernel-IoTrace のレジストリを有効化されている関係で、
上記の更新プログラムを適用してもレジストリは上書きされません。クラスター作成済の環境でイベントを抑止する場合は、後述する回避策の利用をご検討くださいますようお願いいたします。

回避策

イベントが記録されないようにしたい場合は、当イベントを回避するため、以下の 1. および、2. を実施ください。

1.CLUSREG_DUMP_POLICY を設定します。
2.Microsoft-Windows-Kernel-IoTrace/Diagnostic ※のログを無効化します。
※ 通常利用しないイベントログのため、無効化していただいても影響はございません。

以下に詳細の手順を記載いたします。

■ 1.CLUSREG_DUMP_POLICY 設定手順

// 対象
WSFC を構成する任意の 1 ノードで実行ください。

// 手順

  1. 管理者権限を持つユーザーにて、対象の端末へログオンします。

  2. 管理者権限で、Windows PowerShell を起動します。

  3. 下記コマンドを実行し、現在の値を確認します。
    コマンド :
    (Get-Cluster).DumpPolicy

    実行例)
    PS > (Get-Cluster).DumpPolicy
    1376850201

  4. 上記 10 進数の値を 2 進数に変換します。

※以下は、弊社検証環境での値となりますため、実際の値をご利用ください。
10 進数 : 1376850201
2 進数 : 01010010000100010001000100011001

  1. 上記 2 進数の、右から 21 番目の値を 0 に変更します。

※以下は、弊社検証環境での値となりますため、実際の値をご利用ください。
現在値 : 01010010000100010001000100011001
変更後 : 01010010000000010001000100011001

  1. 上記 2 進数の値を 10 進数に戻します。

※以下は、弊社検証環境での値となりますため、実際の値をご利用ください。
変更後の 2 進数 : 01010010000000010001000100011001
変更後の 10 進数 : 1375801625

  1. 管理者権限で起動した Windows PowerShell にて、以下のコマンドを実行します。
    コマンド :
    (Get-Cluster).DumpPolicy=<手順 6 の 10 進数の値>

    実行例:
    PS C:\Users\Administrator> (get-cluster).DumpPolicy=1375801625
    (正常に実行された場合は何も表示されません。)

  2. 再度、下記コマンドを実行いただくことで、変更後の値が出力されることを確認します。
    コマンド :
    (Get-Cluster).DumpPolicy

実行例:
PS C:\Users\Administrator> (Get-Cluster).DumpPolicy
1375801625

■ 2.Microsoft-Windows-Kernel-IoTrace/Diagnostic ログ無効化手順
// 対象
WSFC を構成する全ノードで実行します。

// 手順

  1. レジストリ エディターにて、下記レジストリのデータを 0 (無効) へ変更します。

キー : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels\Microsoft-Windows-Kernel-IoTrace/Diagnostic
名前 : Enabled
種類 : REG_DWORD
データ : 0

  1. OS を再起動し、イベント ログ Microsoft-Windows-Kernel-IoTrace/Diagnostic が無効(非表示) となること確認ください。

今回は、Microsoft-Windows-Kernel-IoTrace/Diagnostic が開けない事象についてご紹介いたしました。
本投稿が少しでも皆様のお役に立てば幸いです。
※ 本情報の内容 (リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。

変更履歴

2024/04/05 更新プログラムについて追記