Windows の隠されたアクティビティ ログを発見 – 安全にアクセスする方法を学びましょう

2026 年 4 月 16 日、午後 1 時 EDT に公開

Afam のテクノロジー出版における経験は、Make Tech Easier で働いていた 2018 年に遡ります。長年にわたり、Windows、Linux、オープン ソース ツールをカバーする高品質のガイド、レビュー、ヒント、説明記事の出版で評判を築いてきました。彼の作品は、Technical Ustad、Windows Report、Guiding Tech、Alphr、Next of Windows などのトップ Web サイトで紹介されています。

彼はコンピュータ サイエンスの第一学位を取得しており、データのプライバシーとセキュリティの強力な提唱者であり、Fuzo Tech YouTube チャンネルでこのテーマに関するいくつかのヒント、ビデオ、チュートリアルを公開しています。

仕事以外の時間は、家族と過ごしたり、サイクリングをしたり、庭の手入れをしたりするのが大好きです。 

コンピューターを使用しているときに、突然ファンの音が少し大きくなったり、新しいタスクを開始していないのに CPU 使用率が突然上昇したりする場合があります。携帯電話では、何がいつ起動されたのかを簡単に確認できますが、Windows ではクリーンなアクティビティ履歴が得られません。

ただし、これは、実行内容に関するデータがコンピューター上にないという意味ではありません。 Windows は実際に、デバイスのさまざまな部分にわたる実行可能アクティビティを記録して保存します。どこを調べればよいか分かっていれば、このデータをつなぎ合わせることができ、その情報はコンピュータの管理やトラブルシューティングに非常に役立ちます。

Windows はすでに実行内容の記録を保持しています

データは存在します - システム全体に分散しているだけです

アプリケーションのアクティビティは、パフォーマンスの最適化、セキュリティ ログ、および互換性の追跡に関連付けられています。 Windows がそれを記録するのはそのためです。

ただし、OS に関する限り、この情報の主な情報源は 3 つだけです。 1 つ目は、将来の起動を高速化することを目的として実行をログに記録するプリフェッチです。次はイベント ビューアです。これは、クラッシュを引き起こす可能性のあるプロセスを確認するのに役立ちますが、さらに重要なのは、監査が有効になっている限り、プロセス作成イベントのログが記録されることです。最後に、AmCache があります。これは、実行済みまたは存在するアプリケーションのメタデータのリポジトリとして機能します。

これら 3 つのサービスは、コンピューター上のアプリのアクティビティのセグメントを個別にキャプチャします。したがって、個別に、完全なタイムラインが常に得られるわけではありません。ただし、読み取りを待機しているデータにアクセスするために追加の構成を必要としないため、プリフェッチは最もアクセスしやすい開始点です。

プリフェッチはアプリのアクティビティ履歴に最も近いものです

高速化の副作用として何が実行されたかを記録します

アプリの起動時に、オペレーティング システムは使用するファイルを追跡し、次回の起動時にそれらのファイルをプリロードできるようにします。これは速度を最適化する賢い方法です。ただし、すべての実行を記録するという副作用もあります。

すべての実行レコードはパス C:\Windows\Prefetch に保存されます。 。アプリケーションを実行すると、Windows によって .pf ファイルが作成されます。このファイルは実行可能ファイルにちなんで名前が付けられ、アプリが起動された場所から生成されたハッシュが含まれています。つまり、1 つのプログラムが異なる場所から実行される場合、複数の .pf ファイルが存在する可能性があります。

ただし、これらのファイルには多くの興味深い詳細が含まれています。まず、実行可能ファイル名、フルパス、実行回数、最終起動時刻、および (新しい Windows では) 最大 8 個の最近のタイムスタンプがあります。

最新のシステムではこのログの価値がさらに高まるのは、上書きされる前に約 1,024 個のプリフェッチ エントリが保持されるためです。これは、ほとんどのユースケースにとって適切なアクティビティ範囲です。さらに良いことに、アプリをアンインストールした後でも、これらのエントリは単に自動的に削除されるわけではありません。これらは過去の活動からの確かな足跡として残っています。

SSD で実行されている最新のシステムでは、パフォーマンスに大きな利点が得られないため、プリフェッチ機能が無効になっている場合があります。したがって、フォルダーが空の場合は、プリフェッチが無効になっているか、使用されていないことを意味します。幸いなことに、他の選択肢もあります。

関連

この Windows コマンドは、PC がクラッシュした原因を正確に教えてくれました。

BSOD の原因を推測するのはやめてください。この方法により、真の原因がすぐに明らかになります。

WinPrefetchView により、生のシステム データを簡単に解釈できるようになります

プリフェッチ ファイルはバイナリであり、人間が判読できるものではありません (テキスト エディタで開くことはできません)。ここで、NirSoft の WinPrefetchView のようなシンプルなツールが役に立ちます。このツールは Windows XP から Windows 10 までを正式にサポートしていますが、Windows 11 でも動作します。このツールが行うことは静的なシステム データを読み取ることだけです。

ダウンロードして解凍すると、コンピュータが自動的にスキャンされ、インターフェイスに .pf ファイルが追加されます。実行可能ファイルの名前、実行回数、実行時間、最初に記録された日時が表示されます。また、ディスク上のプログラムの場所も表示されます。

私は、タイムラインを構築してデータをより理解するために、最近のアクティビティごとに並べ替えるのが好きです。また、[オプション] タブで、[Windows フォルダの下のプログラムを隠す] オプションを使用して、ビューからシステム レベルのプロセスを削除することもできます。

<先頭> <番目>

列

<番目>

それがあなたに伝えること

<番目>

何を探すべきか

カウンターを実行

アプリが実行された頻度

見慣れないアプリの数が多い

最終実行時間

最新の実行

奇数時間のアクティビティ

作成時間

最初に記録された実行

最近導入したアプリ

ファイルパス

アプリが置かれている場所

一時フォルダまたは異常なディレクトリ

データを精査する際には、データを理解するために次の重要なポイントが重要です。

• 不明な実行可能ファイル名は、詳しく調べる価値があります。
• 実行数が多い場合は、バックグラウンド アクティビティを示している可能性があります。
• 一時フォルダーを指すファイル パスには注意が必要です。
• タイムスタンプが使用パターンと一致しない場合、自動化が明らかになる可能性があります。

データを解釈するときは、実行された内容のみが表示され、必ずしも実行された内容が表示されるわけではないことに注意してください。したがって、目に見えるものを過度に解釈しないようにしてください。

WinPrefetchView

WinPrefetchView は、Windows プリフェッチ ファイル (.pf) の内容を読み取って表示する、小型でポータブルな NirSoft ユーティリティです。

プリフェッチで何も表示されない場合

コンピュータのプリフェッチにデータが保存されていない場合は、他のオプションがあります。 1 つ目は AmCache で、パス C:\Windows\AppCompat\Programs\Amcache.hve にあります。 。このファイルでは、パスや識別子など、実行されるアプリのメタデータを確認できます。ある意味ではプリフェッチよりも詳細である可能性がありますが、常に確実に実行を確認できるわけではありません。

イベント ビューアでは、イベント ID 4688 に関連付けられたプロセスに、何がいつ実行されたかに関する詳細が表示されることがよくあります。ただし、これは Windows のデフォルトではログに記録されないため、最初にプロセス監査を手動で有効にする必要があります。これは、上級ユーザーにより適したオプションになります。

プリフェッチにデータが含まれている場合、これが最も簡単です。 AmCache は、プリフェッチが空の場合にギャップを埋めることができます。