Windowsイベントビューア

Windowsにはイベントビューアという機能がある。
MacOSにも似たような機能があるが、いずれもコンピュータのさまざまな動作ログを確認できる。
いつシャットダウンやスリープしたか、いつログインしたか、システムエラーが起こっているかなどを見ることができるもので、普通のユーザはあまり見ることがない。

上の画像だと、2月22日22時53分30秒に電源供給が途絶えたことが分かる。(中段上の青い反転行)
そして、2月23日9時57分27秒に動作開始したことが分かる。(青い反転行の一つ上の行)
つまり、昨晩23時前にパソコンをサスペンドし、今朝10時前にパソコンを起動したということで、少なくとも23時まで起きていたこと、10時より早い時間に起きていたはずであることが見て取れる。(厳密にはリモート操作とかアプリによるサスペンドなども可能なので付帯情報も見る必要があるが)
このイベントビューアの機能を活用して、ログに残るようなイベントに応じてメールで知らせる仕組みも作れるため、子供が勝手にパソコンを立ち上げたりとか、長期休暇の職場のパソコンが不法侵入で電源投入されたりとか、リアルタイムに分かるようなことも簡単に構築できるわけだ。
なかなか便利な機能。
もちろん、コンピュータウィルスのようなものがこういうログを改ざんしたりすることもあるし、管理者権限を持ってログインすると、消すこともできるので、完全ではないのだけれど。

少し話がそれるが、自分の地元にいる友人が、東証一部上場企業に勤めている。実情は違法な強制残業の嵐のブラック企業。労働基準監督所の調査が入り、上層部は否定したらしいが、こういうログなどの記録を見て、すぐに実情がばれたらしい。上層部はIT系の知識が乏しかったのだろう。
それ以降、指導の入った部署のパソコンは使わず、時間制約のない部署のパソコンを使っているらしいので、指導の意味はなかった模様だが。間抜けな上層部だが泥臭い対応力はあるらしい。