ヴィセと言ったらコレ！

汚れの原因は、紫外線に

汚れが生じやすい原因の一つとして紫外線があります。紫外線は、太陽の光を起こします。日焼けをすると肌が黒くなるのは、紫外線による皮膚のメラニン色素が活性化しメラニン色素を過剰に作ってしまうことが原因となっています。メラニン色素が肌の奥に沈着してしまうことができるのが汚れています。
顔のいぼで悩んでいる人々は疣の除去手術をお勧めします。イボ除去手術は、レーザーできれいに疣を持ってうかがうことができるため、顔の目立つ部分に点のある人は、コンプレックスを持ってうかがうことができると考えています。イボの除去手術は短時間で終わることが多いので、手術のため入院することはできません。
「Process Monitor」はコンピューター上で発生している処理（アクティビティ）をリアルタイムに記録・表示するツールだ。現在、実行中のソフトウェアやサービスにより、どのようなアクティビティが発生しているかを確認することで、その動作の仕組みを理解でき、さらにはトラブルの診断/解決に役立てることができるようになる。今回は、Process Monitorの活用方法を紹介しよう。

【詳細画像を含む記事】

［使い倒しテク その1］

特定のポート番号を使用するサービスはどのように確認できるのでしょうか？

Process Explorerを利用して各サービスが利用するポート番号を確認することができます

　最初にお断りしておくが、この質問の回答を得るために「Process Monitor」は使用しない。しかし、この質問の回答はProcess Monitorを効果的に利用するうえで重要なことなので、ウォーミングアップと思って読んでほしい。

　本連載第1回目（Process Explorerを使い倒せ！ 〜Windowsのプロセスを把握する〜）で、特定のポート番号を使用するアプリケーションを確認する方法と、「Process Explorer」からPID（プロセスID）をもとにプロセス名を突き止める方法を解説した。

　例えば、実行しているプロセスの名前が「iexplore.exe」であれば、それが「Internet Explorer」のプロセスであることは簡単に理解できる。Internet Explorerを含め、多くのアプリケーションでは、アプリケーション名がそのまま「プロセス名」（実行プログラムの名前）になるので、Process Explorerでプロセス名を見ればすぐに識別できるだろう。

　しかし、プロセスがサービスとして実行されている場合は、プロセス名だけを見ても、そこからサービス名を突き止めることは難しい。なぜなら、多くのサービスが「svchost.exe」というプロセス名で実行されるからだ。まずは、この問題を、Process Explorerを使って解決してみよう。

　前回と同じように、コマンドプロンプトで「netstat -ano」コマンドを実行し、現在開いているポート番号とともにPIDの一覧を確認する。一覧の中から、ここではポート番号「49157」を利用しているプロセスを確認するとしよう（画面1）。

　ポート番号「49157」を利用しているプロセスのPIDは「2396」なので、前回と同じようにProcess Explorerを使って該当するプロセスの名前を調べる。すると「svchost.exe」という名前であることが確認できる（画面2）。

　Windows標準の「タスクマネージャー」では、これ以上の調査は不可能だ。しかし、Process Explorerでは「svchost.exe」のプロパティを開くことで、「svchost.exe」として実行されているサービスが「IPSec Policy Agent」であることまで確認することができる（画面3）。

　このように、Process Explorerでは特定のプロセスを選んでプロパティを開けば、どのようなサービスを実行されるプロセスであるか確認できる。

　ただし、「svchost.exe」プロセスで実行されるサービスでは、1つのプロセスで複数のサービスが実行されていることもある。

　その場合は、該当するサービスを1つずつ停止しながら「netstat -ano」コマンドの結果に変化がないか見てみると、特定のポート番号を使用するサービスを見つけることができる。

［使い倒しテク その2］

Windows Intuneではどのような通信を行うかを調べる方法はありますか？

Process ExplorerとProcess Monitorで調査することができます

　「Windows Intune」は、マイクロソフトが提供するクラウド型の運用管理サービスだ。Windows Intuneで管理されるクライアントは定期的にクラウド上のサーバと通信する。IT管理者としてはWindows Intuneを利用することによって、どのような通信が行われるのか事前に知っておきたいところだ（勝手にインターネットに接続して通信を行うのだから、せめてどのような通信が行われるのか調べておきたいだろう）。

■Windows Intune［URL］http://www.microsoft.com/windows/windowsintune/pc-management.aspx

　それでは、Process ExplorerとProcess Monitorを使って、Windows Intuneがどのような通信を行うのか確認してみよう。

　まずは、Windows Intuneのクライアントソフトウェアをインストールしているコンピューターとインストールしていないコンピューターで、それぞれ「netstat」コマンドを実行する。そして、その結果を比較することで、Windows Intuneで使われているポート番号が確認できる。

　ポート番号が確認できたら、前回と同じ要領で、そのポート番号を利用するプロセスのPIDを調べ、Process Explorerを使ってPIDからプロセス名を追跡する。

　このようにして調べていくと、Windows Intuneのプロセスは「svchost.exe」となっており、Process Explorerから「svchost.exe」のプロパティを開くと「System Center Management」というサービス名で実装されていることがわかる。

　それでは「System Center Management」サービスが、いつ、どのような通信を行うのか知りたい場合はどうしたらよいだろうか。ここからProcess Monitorの出番となる。

　Process Explorerは「現在のプロセスの状態」を調べるのに対し、Process Monitorは「どのような処理（アクティビティ）があったか」をリアルタイムで調べるツールになる。

　Process Monitorで記録されるアクティビティには「ファイルアクセス」「レジストリアクセス」「ネットワークアクセス」の3種類があり、既定ではすべてのアクティビティが記録される。また、既定では、すべてのプロセスのアクティビティが記録される。そのため、既定の状態でProcess Monitorを実行すると、大量のアクティビティが記録・表示されてしまうので、条件を絞り込んで利用するようにしよう。

　では、今回のケースに合わせて、Process Monitorの使い方とともに見ていこう。まずは、Windows Intuneによって行われるアクティビティだけが表示されるように設定する。

　「Filter」→「Filter」メニューから「Process Monitor Filter」ダイアログボックスを開き、「System Center Management」のPID（今回のケースでは「952」）だけが表示されるように条件を設定する（画面4）。

　さらに、「System Center Management」サービスを利用することによって行われる通信を確認したいので、ネットワークのアクティビティだけが記録されるように「Show Network Activity」だけが有効になるように設定する。すると、「System Center Management」サービスが行った通信のアクティビティが表示される（画面5）。

　画面を見ると、「System Center Management」サービスは「download.windowsupdate.com」や「www.update.microsoft.com」へのHTTPアクセスが行われていることがわかる。さらに、Process Monitorは時系列にアクティビティを表示できるので、間接的にSystem Center Managementサービスがどのような順序で、どのような処理をしているかについても確認できる。

　ここまで、Windows Intuneによって行われる通信の様子をProcess Monitorを使って見てきたが、これだけがWindows Intuneによって行われる通信のすべてではない。

　興味があれば、クライアント側のWindows Intune管理ツールである「Windows Intune Center」を使って、更新プログラム（Windows Intune更新プログラム）を適用するときにはどのような通信が発生するのか、リモートアシスタンス（Microsoft Easy Assist）の機能を使うときにはどのような通信が発生するのかなど、Process Monitorをバックグラウンドで実行しながら操作してみるとよいだろう。

　Windows Intuneにかぎらず、Process Monitorを利用して通信の様子を調べることにより、ソフトウェアやサービスによる通信の仕組みについて理解できるようになる。

　そして、ソフトウェアやサービスの仕組みを理解できるようになれば、ソフトウェアやサービスを利用するときに組織内で採用するにふさわしいか判断するときの材料（ファイアウォールで特別なポート番号を開けなければならない、プロキシサーバーを経由して利用できない、などの制約事項がないか）になったり、トラブルシューティングを行うときの材料として活用したりすることができるようになるのだ。

(国井傑


株式会社ソフィアネットワーク、Microsoft MVP
)


【関連記事】
【Windowsお悩み相談室】第1回 Hyper-Vの管理で困った!!　リモートデスクトップ接続で困った!!
【解説】カスタマイズも自由自在 〜 パフォーマンスモニタの正しい使い方
【解説】システム管理 完全自動化プロジェクト
【解説】Windows PE 完全活用ガイド―PEを使いこなすための基礎知識
【解説】Windows Server 2008 R2 シナリオ別活用法