エンドユーザーから報告があった。
Windows updateが夜中にインストールされ再起動がかかった。そのために使用していたコールセンターソフトから強制的にログインされたとのこと。
コールセンターソフトは再起動後に自動的に立ち上がる。しかしログインはしない。早朝ラップトップでメールを読んだときに、コールセンターソフトへログインされていないことに気づいた。再起動から再度ログインするまでの3時間程度は顧客からの電話連絡がとれなかった。
まず調査方法としては再起動が本当にかかったのかを調べる。再起動はeventviewerに出てくる。こちらのサイトによるとeventviewerで6005を探せば再起動がかかった時間がわかるということである。
6005は以下のようなeventである。”The Event log service was started.”。であるならば、event logサービスが立ちあがったときに発行される。event logサービスが起動しない仕組みになっているならば6005は発行されない。またevent logサービスを再起動したときには発行されることは留意する必要がある。
今回の場合6005は発行されていたので再起動は起きていたと考えられる。なぜなら、ユーザーがevent logサービスのみを個別で再起動した事実はないからである。
次に調べることは再起動が何により引き起こされたかである。これは以下のような手順で進めれば簡単にわかる
- プログラムの機能からwindows updateがインストールされているかを確認する
- 該当日付が確認できたらeventviewerでインストールされた時間を確認する。
1については下記のように9月13日にインストールされていることが分かった
2についてeventviewerから確認すると13:29にインストールされているのがわかる。
さて次にwindows updateと再起動の因果関係を見てみる。再起動が発生しているのは13日以降では14日の早朝である。これはインストールが完了してから14時間以上たってから再起動されていることになる。この場合、windows updateと再起動の間に因果関係があるとはいえない。
さてではこの再起動は何により引き起こされたのか。可能性は2つである。
- ユーザーが意図的に引き起こした
- システムにより引き起こされた
ここで別のevent (1074 ) を探してみる。これはシステムが計画的な再起動をしたか判断できる。ユーザーが意図的に再起動をした場合には1074は発行されない。今回の場合には1074が6005の直前に発行されている。よって再起動はシステムにより引き起こされたことがわかる。
さてここまでで、わかったことを整理すると再起動は発生している。それはシステムの何かによって引き起こされたということである。
ここまで来たら次には”システムの何か”を特定することである。いくつかオプションを考えてみる。
- windows update
- group policy update & reboot
- remote rebootコマンド
- その他
さてここからどうやって絞り込んでいくか、考えてみる
。。。。続く
