本記事はマイクロソフト社員によって公開されております。
こんにちは、Windows サポート チームの岩永です。
本記事では、イベントログ ファイルの最大サイズを増強した際のパフォーマンスへの影響と、推奨される対処策についてご案内いたします。
イベントログ ファイルの最大サイズとパフォーマンスの関係
Windows のイベントログはより多くのイベントを記録するために最大サイズを拡張できますが、サイズを大きくするほどパフォーマンスが指数的に劣化する場合があります。
その理由は、以下のイベントログの仕組みにあります。
- イベントログ ファイルはバイナリ形式で保存されている
- イベント ビューアーは、表示時にバイナリを XML 形式へ変換している
- ファイル サイズが大きいほど、この変換処理や表示に消費する (CPU 使用率が上がり、メモリの使用量が増大する)
適切な最大サイズの目安
最適なサイズは環境によって異なりますが、目安となるサイズを求める計算方法の一例を以下のブログの “Maximum log size (KB)” の項目で説明しています。
Understanding the Windows Server Event Log | Microsoft Community Hub
この計算式の概要は以下のとおりです。
1 | 最大サイズ (バイト) = 平均イベント サイズ (バイト) × 1 日のイベント数 × 保持日数 |
例として、Security ログで 1 日あたり 5,000 件のイベントが記録され、28 日間分のデータを保持する場合は 70 MB (≈ 500 バイト × 5,000 件 × 28 日) が最大サイズの目安となります。
実際のイベント数は、環境やログの種類によって異なります。算出した値は概算として扱い、実際の環境で十分な件数が保持されているか確認してください。
イベントログの最大ファイルサイズとしては、2TB まで指定することができますが、前述のブログでは、大きくても 4 GB を推奨しています。しかしながら、4 GB に設定しても期待するパフォーマンスが得られないケースも報告されています。
理由としては、イベントログ ファイルの最大サイズをどれだけ調整してもファイルが 1 つであることには変わりはなく、処理を分散しづらく、特定の CPU やコアに負荷が集中しやすくなってしまうためです。
推奨策: イベントログのアーカイブ
イベントログの保持量を確保しつつパフォーマンスを維持するには、最大サイズの拡張は行わず、アーカイブ機能を活用したほうが効果的です。
イベントログのアーカイブを有効にすると、ログが最大サイズに達した際に自動的に別ファイルへ退避されます。
アーカイブ ファイルは Archive-<Log Name>-YYYYMMDDHHMMSSmmm.evtx の形式で保存されるため、ファイル名だけで処理対象の時間を絞り込むことができます。
また、複数ファイルを並行してチェックする場合は CPU・コアへの負荷が分散され、パフォーマンスの劣化も抑制できる傾向にあります。
アーカイブの設定手順
イベントログのアーカイブを有効化するには、いくつか方法がございますが、ここではグループポリシーによる設定方法を説明します。
グループ ポリシー エディターを開く
以下のパスに移動する
コンピューターの構成 > 管理用テンプレート > Windows コンポーネント > イベントログ サービス > [対象ログ]「ログがいっぱいになったときに自動的にバックアップする」 を 有効 に設定する
アーカイブ ファイルは、元のログ ファイルと同じフォルダー (既定:
%WinDir%\System32\Winevt\Logs) に保存されます。ディスク容量にご注意ください。
修正履歴
- 2026.04.02 本ブログを公開
※ 本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。