ダンプファイルには、イベントログに書き込まれる予定だったデータが残っています。
障害調査の際に、このデータを取りだし調査すると、問題を解決する糸口をつかむことができたりします。
取り出すためには、以下の2つのコマンドを使います。
・ !wmitrace.strdump
・ !wmitrace.logsave
!wmitrace.strdump コマンドで、ダンプファイル上に残っているWMIトレースのデータを確認します。
システムのイベントログは、Eventlog-System
アプリケーションのイベントログは、Eventlog-Application
です。ここでは ID を覚えておきます。
次に、!wmitrace.logsave コマンドで、そのIDと出力先ファイルを指定します。
下の例の場合、システムのイベントログの ID は 0x9 なので
(例) !wmitrace.logsave 0x9 d:\system_evt.evtx
という感じです。
