2025年6月02日·2 分
Mark Russinovich と Windows Internals:可観測性と信頼性
Mark Russinovich の Windows Internals 的な考え方が Sysinternals、WinDbg ワークフロー、実用的な可観測性にどう影響し、Windows のデバッグと信頼性を改善するかを学びます。
Mark Russinovich の Windows Internals 的な考え方が Sysinternals、WinDbg ワークフロー、実用的な可観測性にどう影響し、Windows のデバッグと信頼性を改善するかを学びます。
もしあなたが本番で Windows を運用しているなら(ノート PC、サーバ、VDI、クラウド VM など)、Mark Russinovich の仕事は日々の運用に現れ続けています。これは個性や郷愁の話ではなく、彼が「証拠優先」のトラブルシューティング手法を普及させたからです:OS が“実際に何をしているか”を見て、症状を証拠で説明する。
可観測性(Observability) は、「今何が起きているか」をシステムが出す信号(イベント、トレース、カウンタ)から答えられることを意味します。サービスが遅くなる、ログオンがハングする――そのとき可観測性があれば推測ではなく確証に辿り着けます。
デバッグ は「フリーズした」という曖昧な問題を「このスレッドが I/O で待っている」「このプロセスがページファイルを過度に使用している」「この DLL 注入が振る舞いを変えた」といった具体的なメカニズムに変えることです。
信頼性 は、負荷下でも予測可能に動き続け、速やかに回復できる能力――インシデントが減り、復旧が早くなり、変更が安全になることを意味します。
多くの“謎の障害”は実は謎ではなく、まだ地図化していない Windows の振る舞いです:ハンドルリーク、暴走する子プロセス、ハングしたドライバ、DNS タイムアウト、壊れた自動起動、あるいはオーバーヘッドを生むセキュリティツール。プロセス/スレッド/ハンドル/サービス/メモリ/I/O といった Windows 内部の基本を理解すると、パターンを素早く認識し、問題が消える前に正しい証拠を集められます。
実運用で使える現実的なワークフローに焦点を当てます:
目的はあなたをカーネルエンジニアにすることではありません。Windows のインシデントを短く、冷静に、説明しやすくして、修正をより安全で再現可能にすることです。
Windows の“内部”とは、スレッドのスケジューリング、メモリ管理、サービスの起動、ドライバの読み込み、ファイル/レジストリの操作、セキュリティ境界の強制など、OS が実際に仕事をするためのメカニズムの集合です。実務的な約束事は単純です:OS が何をしているかを理解すれば、推測をやめて説明を始められます。
多くの運用上の症状は間接的です。「マシンが遅い」は CPU 競合、単一のホットスレッド、ドライバ割り込みの嵐、ページング圧、あるいはアンチウイルスのフィルタが I/O をブロックしていることが原因かもしれません。「ハング」はデッドロック、ハングしたネットワーク呼び出し、ストレージのタイムアウト、依存関係待ちかもしれません。起動問題は破損した autorun エントリ、失敗するドライバの読み込み、完了しないポリシースクリプトなどが原因です。内部の知識があれば曖昧な苦情を検証可能な仮説に変えられます。
大まかに言うと、ユーザーモードはアプリやサービスが走る領域で、ここで落ちても通常はそのプロセスだけに影響します。カーネルモードは Windows 本体とドライバが走る領域で、ここに問題があるとシステム全体が固まったり、バグチェック(ブルースクリーン)を引き起こしたり、静かに信頼性を下げたりします。
深い理論は不要です。この区別があれば証拠収集の方針が決まります。アプリが CPU を食っているのはユーザーモードであることが多く、繰り返すストレージリセットやネットワークドライバの問題はカーネル側を疑います。
Russinovich の考え方(Sysinternals や Windows Internals に表れている)は「まず証拠」です。設定を変えたり、手当たり次第再起動したり、再インストールする前に、システムが何をしているかを記録します:どのプロセス、どのスレッド、どのハンドル、どのレジストリキー、どのネットワーク接続、どのドライバ、どのイベントか。
「今 Windows が何をしているか、そしてなぜか」に答えられれば、修正は小さく、安全で、正当化しやすくなり、信頼性作業が後手の消火活動でなくなります。
Sysinternals は Windows の“可視化ツールキット”として理解すると分かりやすい:小さくポータブルなユーティリティ群が、プロセス毎、ハンドル毎、レジストリキー毎にシステムが実際に何をしているかを明らかにします。Windows をブラックボックスとして扱うのではなく、Sysinternals によって「アプリが遅い」「CPU が高い」「サーバが接続を落とす」の背後にある振る舞いを観察できます。
多くの運用上の痛みは筋の通った推測から生じます:DNS に違いない、恐らくアンチウイルスだ、また Windows Update が詰まった――。Sysinternals の心構えは単純です:直感は仮説のために使い、その仮説を証拠で検証する。
どのプロセスが CPU を消費しているか、どのスレッドが待っているか、どのファイルパスが叩かれているか、どのレジストリ値が書き換えられているかが見えると、意見の応酬は減り原因を絞れます。この変化こそ、内部知識を実務的にする要因です。
これらのツールは「燃えている現場」用に設計されています:
長いセットアップや重いエージェント導入、データ収集のための再起動ができない場面でこれが重要になります。
Sysinternals は強力です。だからこそガードレールが必要です:
こうした運用をすれば、Sysinternals は「見えないものを観察し、真実を測り、根拠ある変更を行う」ための規律ある方法になります。
管理ツールとして二つだけ残すなら、Process Explorer と Process Monitor を推奨します。これらを組み合わせれば、エージェントや再起動なしで「Windows は今何をしている?」という問いの多くに答えられます。
Process Explorer は拡張されたタスクマネージャです。マシンが遅い、あるいは不安定なとき、どのプロセスが責任を負っているか、そしてそれが何に結びついているかを特定するのに役立ちます。
特に有用なのは:
この最後の点は信頼性における強力な武器です:「なぜこのファイルを削除できないのか?」は往々にして「このサービスがそのファイルへのオープンハンドルを持っている」になります。
Process Monitor(Procmon)はファイルシステム、レジストリ、プロセス/スレッドの詳細イベントをキャプチャします。次のような問いに答えるツールです:「アプリがハングしたときに何が変わったか?」「10分ごとにディスクを叩いているのは何か?」
キャプチャ前に問いを明確にしてください:
Procmon はフィルタを厳格にしないと圧倒されます。最初は:
よくある実用的な成果例:欠けているレジストリキーを繰り返し参照している問題の特定、何千ものファイルを触っているリアルタイムスキャンの発見、あるいはあるマシンでのみ起動しない原因となる「NAME NOT FOUND(名前が見つからない)」の発見などです。
マシンの挙動が「おかしい」と感じたとき、フルスタックの監視がなくても迅速に手をつけられる場合が多いです。小さな Sysinternals のセットで次の三つに答えられます:何が自動起動しているか?誰がネットワークで喋っているか?メモリはどこに行ったか?
Autoruns はユーザが明示的に起動しなくても動く全ての項目(サービス、スケジュールタスク、シェル拡張、ドライバ等)を最速で理解できます。
信頼性に関する理由:起動項目が遅いブート、断続的なハング、ログオン後の CPU スパイクの頻出原因です。1つの不安定なアップデータやレガシードライバ、壊れたシェル拡張がシステム全体を劣化させることがあります。
実践的なヒント:署名無し、最近追加、読み込み失敗 のエントリに注目し、無効化して安定化するか試してください。
TCPView はプロセス名と PID に紐づいたアクティブな接続およびリスナの即時マップを提供します。簡単な健全性確認に最適です:
非セキュリティ調査でも、暴走するエージェント、誤設定されたプロキシ、あるいはアプリが遅いと見えるが根本はネットワークのリトライ嵐というケースが明らかになります。
RAMMap はメモリが実際にどこに割り当てられているかを示します。基礎的な区別は役立ちます:
Task Manager が混乱して見えるときでも、RAMMap はプロセス成長なのかファイルキャッシュなのか、あるいはノンページプールを消費するドライバなのかを確認できます。
アプリが数日で遅くなる場合、Handle はハンドル数が増加していないかを明らかにします(クラシックなリークパターン)。VMMap はメモリ使用が奇妙な場合(断片化、大きな予約領域、単純な "private bytes" に現れない割当て)に有用です。
Windows の運用はまず Event Viewer と Task Manager のスクリーンショットから始まることが多いです。それは手掛かりにはなりますが、信頼できるインシデント対応には三種類の信号が補完的に必要です:ログ(何が起きたか)、メトリクス(どれほど悪いか)、トレース(何をしていたかの逐次)。
Windows イベントログは認証、サービスのライフサイクル、ポリシー変更、アプリレベルのエラーに優れています。ただし豊富にログを出すコンポーネントもあれば貧弱なコンポーネントもあり、メッセージは曖昧なことがあります(「アプリケーションが応答を停止しました」)。タイムラインのアンカーとして扱い、全てとみなさないでください。
よく役立つ項目:
パフォーマンスカウンタ等は「マシンは健全か?」に答えます。障害時にまず見るべきは:
メトリクスはなぜ発生したかを教えてくれませんが、いつ始まったかと改善しているかは示します。
ETW は Windows のビルトイン・フライトレコーダです。アドホックなテキストメッセージの代わりに、カーネル、ドライバ、サービスから構造化イベントが高頻度で出力されます——プロセス/スレッド活動、ファイル I/O、レジストリアクセス、TCP/IP、スケジューリングなど。多くの「謎の停滞」がここで説明可能になります。
実用的ルール:
「常時すべてを有効にする」は避けてください。小さな常時監視(主要ログ+コアメトリクス)を保ち、インシデント時に短くターゲット化した ETW を使うのが実用的です。
ユーザ報告(「10:42 に固まった」)、メトリクスの変動(CPU/ディスクのスパイク)、ログ/ETW イベントを同じタイムスタンプで揃えることで、診断は爆速になります。データの時間基準を揃えれば、推測ではなく検証できる物語が作れます。
Windows のデフォルトイベントログは有用ですが、何が「いま」変わったのかを知るための詳細が欠けることが多いです。Sysmon(System Monitor)はプロセス起動、持続化、ドライバ動作の高精度な活動を記録し、そのギャップを埋めます。
Sysmon の強みはコンテキストです。「サービスが起動した」だけでなく、どのプロセスがそれを起動したか、コマンドライン、親プロセス、ハッシュ、ユーザアカウント、タイムスタンプといった情報が得られます。これにより相関が取りやすくなります。
信頼性面での価値は、小さな変更が大きなインシデントにつながることが多い点にあります:新しいスケジュールタスク、サイレントなアップデータ、迷い込んだスクリプト、問題を引き起こすドライバなど。
「全部ログに取る」構成は最初の一手としては良くないことが多いです。最小で信頼性に有用なセットから始め、明確な疑問があるときだけ拡張してください。
早期に有効な候補:
重要なアプリやサーバ、管理アカウントのみを対象にする Include ルールや、騒音源(頻繁に更新するアップデータや信頼済み管理エージェント)を除外する Exclude ルールで信号を読みやすく保ちます。
Sysmon は次のような「謎の変更」シナリオを確認または除外するのに役立ちます:
代表的なマシンで影響をテストしてください。Sysmon はディスク I/O とイベント量を増やし、中央収集はすぐコスト高になります。また、コマンドラインやユーザ名、パスといったフィールドは機微情報と見なしてください。アクセス制御、保持期間、フィルタリングを行ってから展開してください。
Sysmon は高価値の手掛かりとして使います。深い性能問題は ETW と、トレンド検出はメトリクスと組み合わせ、インシデントノートを disciplined に残して「何が変わったか」と「何が壊れたか」を結び付けてください。
何かが「ただクラッシュする」場合、最も価値あるアーティファクトはダンプファイルであることが多いです:メモリのスナップショットと実行状態が残り、どのとき何が行われていたかを再構成できます。ログのように事前に正しいメッセージを予測する必要がない点が強みです。
ダンプは特定のモジュール、呼び出し経路、失敗タイプ(アクセス違反、ヒープ破損、デッドロック、ドライバ不具合)を示すことができ、症状だけから推測するのは困難な情報を提供します。
WinDbg はダンプを物語に変えます。基本は次の通りです:
典型的なワークフローは:ダンプを開く→シンボルを読み込む→自動解析を走らせる→上位のスタックと関与モジュールを確認する、です。
「固まった」は症状であり診断ではありません。ハングでは応答しない間にダンプを取り、以下を確認します:
明確な症状(特定のモジュールで繰り返すクラッシュ、明白なデッドロック、特定 DLL/ドライバとの強い相関)は自力で診断できることが多いです。ダンプ解析でサードパーティドライバやカーネルコンポーネントが示唆される場合、ベンダーや Microsoft へのエスカレーションが必要になることがあります。
多くの「謎の Windows 問題」は同じパターンを繰り返します。推測と修正の差は OS が何をしているかを理解するか否かにあります。Internals/Sysinternals の考え方はそれを見える化します。
「アプリがメモリをリークしている」と言う場合、多くは二つの意味のどちらかです。
ワーキングセット はプロセスが現在実際に使っている物理 RAM です。圧力があれば Windows はこれをトリムします。
コミット はシステムが RAM もしくはページファイルでバックアップすることを約束した仮想メモリ量です。コミットが増え続けるなら本当の意味でのリークリスクがあり、最終的にコミット上限に達して割当てが失敗するかホストが不安定になります。
よくある症状:Task Manager に空き RAM が表示されているのにマシンが遅い――これは制約がフリー RAM ではなくコミットであることが原因の場合があります。
ハンドル は OS オブジェクトへの参照(ファイル、レジストリキー、イベント、セクションなど)です。サービスがハンドルをリークすると、数時間〜数日正常に動いた後に奇妙なエラー(ファイルを開けない、スレッド作成できない、接続受け付けられない)が出始めます。Process Explorer でハンドル数の傾きを監視してください。漸増する傾きはサービスが何かを閉じ忘れている強い手掛かりです。
ストレージの問題は常に高スループットとして現れるわけではなく、高レイテンシやリトライとして現れます。Process Monitor で見るべきは:
またフィルタドライバ(AV、バックアップ、DLP)はファイル I/O パスに介入し、アプリ側に何も変化がないように見せながら遅延や失敗を生むことがあります。
単一のホットプロセスは分かりやすいです:実行ファイルが CPU を燃やしている。
システム全体の競合はより難しい:多くのスレッドが runnable になりロックやディスク、メモリを巡って争っている場合です。内部構造の思考は「CPU は有益な仕事をしているのか、それともどこかでブロックされてスピンしているのか?」という問いを促します。
タイムアウトが発生する場合、TCPView や Process Explorer でプロセス→接続をマッピングします。間違ったプロセスがソケットを持っていれば明確な犯人です。正しいプロセスが持っているならパターンを探します:SYN 再試行、長時間確立されたアイドル接続、あるいは短命なアウトバウンド試行の爆発(DNS/ファイアウォール/プロキシ問題の示唆)など。
信頼性作業は同じ道筋に従えば楽になります。目的はより多くのツールを走らせることではなく、一貫した証拠に基づいてより良い判断を下すことです。
「悪い状態」を一文で書きます:「大きなファイルを保存するとき 30–60 秒固まる」「10 分ごとに CPU が 100% になる」など。再現できるなら再現してください。できないならトリガー(時間ウィンドウ、負荷、ユーザ操作)を定義します。
重いデータを取る前に、症状と範囲を確認します:
ここで Quick Check(Task Manager、Process Explorer、基本カウンタ)が次に取るべきデータを決めます。
現場に居なかったチームメンバーに渡すつもりで証拠を集めます。良いケースファイルに含めるもの:
キャプチャは短くターゲット化すること。失敗ウィンドウをカバーする 60 秒のトレースは誰も開けない 6 時間より価値があります。
集めたものを平易なナラティブに翻訳します:
単純に説明できないなら、もっとクリアなキャプチャか狭い仮説が必要です。
最小かつ安全な修正を適用し、同じ再現ステップと「前後」キャプチャで確認します。
MTTR を下げるにはプレイブックを標準化し、面倒な部分を自動化します:
解決後に「何の信号があればもっと早く分かったか?」を自問し、次回に備えてその信号(Sysmon イベント、ETW プロバイダ、パフォーマンスカウンタ、軽量ヘルスチェック)を追加します。
内部構造に基づく作業の目的はデバッグで勝つことではなく、観察したことを再発を防ぐ変更に繋げることです。
Internals ツールは通常問題を限られたレバーに絞ります。翻訳を明確に保ってください:
「なぜ X を変更したか」を明記してください:「Procmon / ETW / ダンプで Y を観測したため X を変更した」。この一文が部内知識の風化を防ぎます。
変更の影響範囲に合わせたプロセスを設計します:
根本原因が固有でも、耐久性は再利用可能なパターンから生まれます:
必要なものだけを保持し、収集すべきでないものは保護します。Procmon のフィルタを疑わしいプロセスに限定し、共有時にパスやユーザ名をマスクし、ETW/Sysmon データの保持期間を設定し、不要なネットワークペイロードの収集は避けてください。
一度再現可能なワークフローができれば、それを他者が一貫して実行できる形にパッケージすることが次です。ここで Koder.ai のようなツールが役に立ちます:インシデントチェックリストを小さな内部 Web アプリ(React UI、Go バックエンド、PostgreSQL)に変え、レスポンダーを "observe → capture → explain" と導き、タイムスタンプやアーティファクトを保存してケースファイルを標準化できます。
Koder.ai はチャットを通じてエージェントベースでアプリを構築できるため、"ETW セッション開始" ボタン、Procmon フィルタテンプレート、変更のスナップショット/ロールバック、エクスポート可能なランブック生成などを迅速に追加できます。内部の信頼性手順を共有するなら、ソースコードのエクスポートや複数プラン(フリー〜エンタープライズ)をサポートするため、小さく始めてガバナンスを拡張できます。
毎週一つのツールを選び 15 分の練習を行ってください:Procmon で遅いアプリ起動をトレースする、Process Explorer でサービスツリーを確認する、Sysmon のイベント量をレビューする、あるいは一つのクラッシュダンプを取り上げて失敗モジュールを特定する。小さな反復が実戦での筋力を育て、実際のインシデントをより速く安全にします。
Mark Russinovich は、Windows トラブルシューティングにおける「エビデンス優先」のアプローチを普及させ、OS の動作を実際に可視化するツール群(およびワークフロー)に影響を与えました。
Windows Internals を読んでいなくても、今日の運用で使う多くのワークフロー(Sysinternals、ETW、ダンプ解析など)は彼の影響を受けており、これらはインシデントを短縮し、修正を再現可能にします。
可観測性とは「今何が起きているか」をシステムが出す信号から答えられる能力です。
Windows の文脈では通常、次を組み合わせます:
内部構造(internals)に関する知識は、曖昧な症状をテスト可能な仮説に変える手助けをします。
例:「サーバが遅い」→ CPU競合なのか、ページング圧力か、I/Oレイテンシか、ドライバ/フィルタのオーバーヘッドか。内部動作を知ることでトリアージが速くなり、問題が消える前に正しい証拠を収集できます。
Process Explorer は Task Manager を拡張したものです。誰が問題を起こしているのかを特定するために使います。
特に役立つ用途:
Process Monitor(Procmon)はファイル/レジストリ/プロセス/スレッドの活動履歴をキャプチャするツールです。
実務的な例:
ノイズを避け、必要なウィンドウだけをキャプチャする。良い始め方:
分析可能な小さなトレースは、開くことができない巨大なキャプチャより価値があります。
Autoruns は自動起動するもの(サービス、スケジュールタスク、シェル拡張、ドライバ等)を一覧化します。
信頼性の観点で特に有用:
まずは 署名されていない、最近追加された、読み込みに失敗している エントリに注目し、疑わしいものを一つずつ無効化して効果を確かめます。
ETW(Event Tracing for Windows)は高ボリュームかつ構造化されたトレースを提供する、Windows のビルトイン“フライトレコーダ”です。
ログやメトリクスで「何かがおかしい」ことは分かるが、なぜか分からないときに ETW を使います。例:I/O レイテンシ、スケジューリング遅延、ドライバ挙動、依存先のタイムアウトなど。
キャプチャは短くターゲットを絞り、発生時刻と整合するようにしてください。
Sysmon はプロセス起動や持続性、ドライバ動作まわりの高精度イベントを記録します。信頼性調査でも「何が変わったか」を答えるのに役立ちます。
実務上の利点:
初期は最小構成で始め、必要に応じて include/exclude を調整してイベント量を管理してください。
ダンプは失敗時の実行状態をスナップショットとして残すため、クラッシュやハングの解析で非常に有用です。
WinDbg はダンプを解析して失敗要因(モジュールや呼び出しパス)を示しますが、正しいシンボルの設定が必須です。