Microsoft-Windows-Kernel-IoTrace/Diagnostic のイベントログが開けない事象

Last Update:
Failover ClusteringConfiguration and Management
feedback 共有

こんにちは。Windows Commercial Storage & High Availability チーム です。
今回は Windows Server Failover Cluster (WSFC) 構成において Microsoft-Windows-Kernel-IoTrace/Diagnostic のイベントログが開けない事象についてご紹介します。

事象

Windows Server 2022 の WSFC 環境において、インストール後に 以下のイベントログに下図のようなエラーが記録されます。
[アプリケーションとサービス ログ] > [Microsoft] > [Windows] > [Kernel-IoTrace] > [Diagnostic]

図. エラー内容

イベント ビューアーで、イベント ログまたはカスタム ビューを開けません。
イベント ログ サービスが実行されていることを確認してください。
また、クエリが長すぎることが原因の可能性もあります。
引き渡されたインスタンス名は WMI データ プロバイダーで有効なものとして認識されませんでした(4201)

イベントログが参照できないことで、結果的に、サーバーマネージャーのダッシュボードにて以下のような警告が表示される場合がございます。

構成の更新メッセージ: 十分なアクセス権がない、ファイルが破損している、
などの理由により、システムが 1 つ以上のイベント ログ にアクセスできません。
詳細については、ターゲット サーバーの ServerManager-ManagementProvider
エラー ログの Operational チャネルを参照してください。

原因

弊社開発部門で調査中の状況です。調査進捗がありましたら、こちらの公開情報を更新いたします。
なお、本イベントは Eventlog が開けないことで発生しており、システムに影響を与えるようなエラーではございませんので、無視していただいても問題ないものと判断しております。

回避策

もしイベントが記録されないようにしたい場合は、当イベントを回避するため、以下の 1. および、2. を実施ください。

1.CLUSREG_DUMP_POLICY を設定します。
2.Microsoft-Windows-Kernel-IoTrace/Diagnostic ※のログを無効化します。
※ 通常利用しないイベントログのため、無効化していただいても影響はございません。

以下に詳細の手順を記載いたします。

■ 1.CLUSREG_DUMP_POLICY 設定手順

// 対象
WSFC を構成する任意の 1 ノードで実行ください。

// 手順

  1. 管理者権限を持つユーザーにて、対象の端末へログオンします。

  2. 管理者権限で、Windows PowerShell を起動します。

  3. 下記コマンドを実行し、現在の値を確認します。
    コマンド :
    (Get-Cluster).DumpPolicy

    実行例)
    PS > (Get-Cluster).DumpPolicy
    1376850201

  4. 上記 10 進数の値を 2 進数に変換します。

※以下は、弊社検証環境での値となりますため、実際の値をご利用ください。
10 進数 : 1376850201
2 進数 : 01010010000100010001000100011001

  1. 上記 2 進数の、右から 21 番目の値を 0 に変更します。

※以下は、弊社検証環境での値となりますため、実際の値をご利用ください。
現在値 : 01010010000100010001000100011001
変更後 : 01010010000000010001000100011001

  1. 上記 2 進数の値を 10 進数に戻します。

※以下は、弊社検証環境での値となりますため、実際の値をご利用ください。
変更後の 2 進数 : 01010010000000010001000100011001
変更後の 10 進数 : 1375801625

  1. 管理者権限で起動した Windows PowerShell にて、以下のコマンドを実行します。
    コマンド :
    (Get-Cluster).DumpPolicy=<手順 6 の 10 進数の値>

    実行例:
    PS C:\Users\Administrator> (get-cluster).DumpPolicy=1375801625
    (正常に実行された場合は何も表示されません。)

  2. 再度、下記コマンドを実行いただくことで、変更後の値が出力されることを確認します。
    コマンド :
    (Get-Cluster).DumpPolicy

実行例:
PS C:\Users\Administrator> (Get-Cluster).DumpPolicy
1375801625

■ 2.Microsoft-Windows-Kernel-IoTrace/Diagnostic ログ無効化手順
// 対象
WSFC を構成する全ノードで実行します。

// 手順

  1. レジストリ エディターにて、下記レジストリのデータを 0 (無効) へ変更します。

キー : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels\Microsoft-Windows-Kernel-IoTrace/Diagnostic
名前 : Enabled
種類 : REG_DWORD
データ : 0

  1. OS を再起動し、イベント ログ Microsoft-Windows-Kernel-IoTrace/Diagnostic が無効(非表示) となること確認ください。

今回は、Microsoft-Windows-Kernel-IoTrace/Diagnostic が開けない事象についてご紹介いたしました。
本投稿が少しでも皆様のお役に立てば幸いです。
※ 本情報の内容 (リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。