<p><!--META { "title": "PowerShellスクリプトブロックログ活用術：高度な監視と運用の自動化", "primary_category": "PowerShell", "secondary_categories": ["セキュリティ", "DevOps"], "tags": ["PowerShell", "スクリプトブロックログ", "イベントログ", "WMI", "ForEach-Object -Parallel", "SecretManagement", "JEA"], "summary": "PowerShellスクリプトブロックログの有効化から、並列処理、エラーハンドリング、運用戦略、安全対策までを解説。監視と運用の自動化に役立つ実践的な活用術を紹介。", "mermaid": true, "verify_level": "L0", "tweet_hint": {"text":"PowerShellのスクリプトブロックログを徹底活用！並列処理、エラーハンドリング、セキュリティ対策を網羅し、高度な監視と自動化を実現するためのガイド。運用の現場で役立つ実践テクニック満載です。 #PowerShell #DevOps","hashtags":["#PowerShell","#DevOps"]}, "link_hints": [ "https://learn.microsoft.com/en-us/powershell/module/microsoft.powershell.core/about/about_logging?view=powershell-7.4", "https://learn.microsoft.com/en-us/powershell/module/microsoft.powershell.utility/foreach-object?view=powershell-7.4", "https://learn.microsoft.com/en-us/powershell/scripting/learn/jea/overview?view=powershell-7.4", "https://github.com/PowerShell/SecretManagement/releases" ] } --> 本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">PowerShellスクリプトブロックログ活用術：高度な監視と運用の自動化</h1> <h2 class="wp-block-heading">導入</h2> <p>PowerShellは、Windows環境における管理と自動化の中心的なツールです。しかし、その強力さゆえに、悪意のある攻撃者にも利用されやすい側面を持っています。このような背景から、PowerShellスクリプトの実行状況を詳細に記録する「スクリプトブロックログ」の活用は、セキュリティ監視、フォレンジック調査、そしてトラブルシューティングにおいて不可欠な要素となっています。 、PowerShellスクリプトブロックログの基本的な有効化から始め、複数のホストを対象とした並列処理でのロギング、堅牢なエラーハンドリング、性能計測、そして運用上の考慮事項までを網羅的に解説します。最終的には、運用の現場でPowerShellをより安全に、より効率的に活用するための実践的な手法を学ぶことを目的とします。</p> <h2 class="wp-block-heading">1. 目的と前提 / 設計方針（同期/非同期、可観測性）</h2> <h3 class="wp-block-heading">1.1. スクリプトブロックログの重要性と基本</h3> <p>PowerShellスクリプトブロックログは、PowerShellエンジンが実行するスクリプトブロック（コマンド、関数、スクリプト全体など）の内容をイベントログに記録する機能です。これにより、難読化されたスクリプトやメモリ内実行されるスクリプトであっても、実行されたコードの具体的な内容を追跡することが可能になります。</p> <ul class="wp-block-list"> <li><p><strong>イベントID</strong>: 4104</p></li> <li><p><strong>イベントログパス</strong>: <code>Microsoft-Windows-PowerShell/Operational</code></p></li> <li><p><strong>記録内容</strong>: スクリプトブロックのテキスト、セッション情報、実行ユーザーなど。</p></li> </ul> <p>このログは、セキュリティ侵害の検知、攻撃者の手口分析、およびシステム管理者がスクリプトの誤動作を調査する上で極めて重要な情報源となります。</p> <h3 class="wp-block-heading">1.2. 有効化と設定</h3> <p>スクリプトブロックログは、グループポリシー（GPO）またはレジストリによって有効化できます。</p> <p><strong>グループポリシーによる有効化（推奨）</strong> <code>コンピューターの構成</code> > <code>管理用テンプレート</code> > <code>Windows コンポーネント</code> > <code>Windows PowerShell</code> > <code>スクリプトブロックのログ記録を有効にする</code> を <code>有効</code> に設定します。</p> <p><strong>レジストリによる有効化（PowerShell）</strong> 管理者として実行したPowerShellで以下のコマンドを実行します。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># レジストリキーが存在しない場合は作成 $regPath = 'HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging' If (-not (Test-Path $regPath)) { New-Item -Path $regPath -Force | Out-Null } Set-ItemProperty -Path $regPath -Name 'EnableScriptBlockLogging' -Value 1 -Force </pre> </div> <p>この設定は、システム全体に適用され、PowerShell 5.1およびPowerShell 7.xの両方に影響を与えます。</p> <h3 class="wp-block-heading">1.3. 設計方針：可観測性と堅牢性</h3> <p>大規模な運用環境では、単にログを記録するだけでなく、そのログをいかに効率的に収集、分析し、システムの可観測性を高めるかが重要です。</p> <ul class="wp-block-list"> <li><p><strong>可観測性（Observability）</strong>: ログはシステムの「健康状態」を診断するためのデータです。イベントID 4104のログだけでなく、スクリプトが生成するカスタムログやエラーログも合わせて、一元的に分析できる仕組みを設計します。</p></li> <li><p><strong>堅牢性（Robustness）</strong>: スクリプトはネットワーク障害、リソース枯渇、予期せぬエラーなど、様々な問題に直面します。再試行メカニズム、タイムアウト処理、詳細なエラーハンドリングを組み込むことで、スクリプトの信頼性を高めます。</p></li> <li><p><strong>非同期/並列処理</strong>: 多数のホストを対象とする場合、同期的な処理では時間がかかりすぎます。<code>ForEach-Object -Parallel</code>やRunspaceプールを活用し、効率的な並列処理を設計します。各並列スレッドで実行されるスクリプトブロックも適切にログされることを確認します。</p></li> </ul> <h2 class="wp-block-heading">2. コア実装（並列/キューイング/キャンセル）</h2> <h3 class="wp-block-heading">2.1. 並列処理でのスクリプトブロックログの活用</h3> <p>PowerShell 7.0以降で導入された<code>ForEach-Object -Parallel</code>は、複数のオブジェクトに対してスクリプトブロックを並列実行するための強力な機能です。各並列処理は独立したRunspaceで実行され、それぞれのRunspace内で実行されたスクリプトブロックもイベントID 4104としてログに記録されます。これにより、大規模なホスト群に対する操作であっても、個々の操作内容を詳細に追跡できます。</p> <h3 class="wp-block-heading">2.2. 大規模ホストからの情報収集とロギング</h3> <p>以下のコード例は、複数のリモートWindowsホストからWMI（またはCIM）を使用してイベントログの構成情報を並列で収集し、その処理状況や結果を標準出力、そしてPowerShellのログ機能を通じて記録するものです。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># コード例1: リモートホストからのWMI情報収集とログ記録 # 実行前提: # - PowerShell 7.0以降がインストールされていること。 # - リモートホストへの管理者権限が必要。 # - リモートホストのファイアウォールでWinRM（ポート5985/5986）が許可されていること。 # - スクリプトブロックロギングが有効になっていること。 param( [string[]]$ComputerNames = 'localhost', # 収集対象のコンピューター名リスト [int]$ThrottleLimit = 5, # ForEach-Object -Parallel の同時実行数 [int]$TimeoutSeconds = 60 # リモートコマンドのタイムアウト時間 ) # エラー発生時にスクリプトを即座に終了させる $ErrorActionPreference = 'Stop' $ScriptStartTime = Get-Date -Format 'yyyy-MM-dd HH:mm:ss JST' Write-Host "--- PowerShellログ活用術: 並列WMI情報収集スクリプト ---" -ForegroundColor Cyan Write-Host "開始時刻: $ScriptStartTime" -ForegroundColor Cyan Write-Host "対象ホスト数: $($ComputerNames.Count)" -ForegroundColor Cyan Write-Host "同時実行制限: $ThrottleLimit" -ForegroundColor Cyan $results = @() try { $ComputerNames | ForEach-Object -Parallel { param($ComputerName) # 各Runspaceで実行されるスクリプトブロックもイベントID 4104に記録されます Write-Host "[$ComputerName] 処理開始..." -ForegroundColor Yellow $logConfig = $null try { # CIM (Common Information Model) を使用してリモートからイベントログ設定を取得 # WMIのラッパーであり、WS-Managementプロトコルを使用 $logConfig = Get-CimInstance -ClassName Win32_NTEventlogFile ` -ComputerName $ComputerName ` -Namespace 'root\cimv2' ` -CommandTimeout $using:TimeoutSeconds ` -ErrorAction Stop Write-Host "[$ComputerName] イベントログ構成情報を取得しました。" -ForegroundColor Green $logConfig | ForEach-Object { [PSCustomObject]@{ ComputerName = $ComputerName LogName = $_.LogfileName MaxSizeMB = $_.MaxFileSize / 1MB Retention = $_.RetentionDays OverwritePolicy = switch ($_.OverWriteOutput) { 0 { '上書き不可' } 1 { '古いイベントから上書き' } 2 { '手動でアーカイブ' } default { '不明' } } } } } catch { $errorMessage = $_.Exception.Message Write-Error "[$ComputerName] エラー発生: $errorMessage" -ErrorAction SilentlyContinue # エラー情報をパイプラインに出力し、メインプロセスで収集 [PSCustomObject]@{ ComputerName = $ComputerName Status = 'Failed' ErrorMessage = $errorMessage } } } -ThrottleLimit $ThrottleLimit -AsJob | ForEach-Object { # 並列処理のジョブ結果を収集 $job = $_ $job | Wait-Job | Receive-Job } | ForEach-Object { $results += $_ } } catch { $errorMessage = $_.Exception.Message Write-Error "スクリプト全体で予期せぬエラーが発生しました: $errorMessage" } Write-Host "--- 処理結果 ---" -ForegroundColor Cyan $results | Format-Table -AutoSize $ScriptEndTime = Get-Date -Format 'yyyy-MM-dd HH:mm:ss JST' Write-Host "終了時刻: $ScriptEndTime" -ForegroundColor Cyan Write-Host "------------------------------------------------" -ForegroundColor Cyan # スクリプトブロックロギングが有効な場合、このスクリプト全体と # ForEach-Object -Parallel 内のスクリプトブロックがログに記録されます。 # ログはイベントビューア（Microsoft-Windows-PowerShell/Operational, ID 4104）で確認できます。 </pre> </div> <h3 class="wp-block-heading">2.3. 処理フローの可視化</h3> <p>上記コード例1の並列処理のフローをMermaid flowchartで示します。これにより、各ステップとログ記録のタイミングが視覚的に理解できます。</p> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> flowchart TD A["スクリプト実行開始"] --> |対象ホストリスト取得| B{"ホストリストは空か？"}; B -- いいえ --> C["ForEach-Object -Parallelで並列処理を開始"]; C --> |Runspace作成| D("Runspace A"); C --> |Runspace作成| E("Runspace B"); C --> |Runspace作成| F("Runspace N"); D --> |ホストAへ接続| G["ホストAからWMI/CIM情報取得"]; E --> |ホストBへ接続| H["ホストBからWMI/CIM情報取得"]; F --> |ホストNへ接続| I["ホストNからWMI/CIM情報取得"]; G --> |処理結果を標準出力/ログに記録| J["メインプロセスへ結果送信"]; H --> |処理結果を標準出力/ログに記録| J; I --> |処理結果を標準出力/ログに記録| J; J --> |全ホスト処理完了を待機| K["メインプロセスで結果集計"]; K --> |集計結果を最終出力| L["スクリプト実行終了"]; B -- はい --> L; </pre></div> <h2 class="wp-block-heading">3. 検証（性能・正しさ）と計測スクリプト</h2> <h3 class="wp-block-heading">3.1. スループット計測と性能評価</h3> <p>大規模な処理では、スクリプトの実行時間がボトルネックとなることがあります。<code>Measure-Command</code>コマンドレットを使用することで、スクリプトブロックの実行にかかる時間を正確に計測し、性能改善の指標とすることができます。また、ログ記録がパフォーマンスに与える影響も考慮に入れる必要があります。</p> <h3 class="wp-block-heading">3.2. 再試行とタイムアウトの実装</h3> <p>ネットワークの不安定さやリモートホストの一時的な負荷上昇により、操作が失敗することがあります。このような場合、即座にエラーとするのではなく、一定時間待機後に再試行するロジックを実装することで、スクリプトの堅牢性を高めます。タイムアウトを設定することで、無期限の待機を回避できます。</p> <h3 class="wp-block-heading">3.3. 検証スクリプト</h3> <p>以下のコード例は、擬似的なAPI呼び出し（<code>Invoke-RestMethod</code>のシミュレーション）を行い、エラーハンドリング、再試行、そして実行時間の計測を組み合わせたものです。また、<code>Start-Transcript</code>と<code>Stop-Transcript</code>を用いて、スクリプトの実行ログをファイルに出力する例も示します。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># コード例2: 大規模データ処理シミュレーション、性能計測、再試行、トランスクリプトログ # 実行前提: # - 特にサードパーティモジュールは不要。 # - トランスクリプトログの出力先ディレクトリへの書き込み権限が必要。 # - スクリプトブロックロギングが有効になっていること。 param( [int]$NumberOfItems = 100, # 処理対象の項目数 [int]$MaxRetries = 3, # 最大再試行回数 [int]$RetryDelaySeconds = 2, # 再試行間の待機時間 (秒) [string]$LogDirectory = "$PSScriptRoot\Logs" # トランスクリプトログ出力先 ) # --- 環境設定 --- # エラー発生時にスクリプトを中断せず、エラーオブジェクトを生成する ($Error配列に追加される) $ErrorActionPreference = 'Continue' # トランスクリプトログの出力先を準備 if (-not (Test-Path $LogDirectory)) { New-Item -Path $LogDirectory -ItemType Directory -Force | Out-Null } $TranscriptFilePath = Join-Path -Path $LogDirectory -ChildPath "ProcessingLog_$(Get-Date -Format 'yyyyMMdd_HHmmss').log" # --- トランスクリプトログ開始 --- Write-Host "トランスクリプトログを開始します: $TranscriptFilePath" -ForegroundColor Yellow Start-Transcript -Path $TranscriptFilePath -Append -Force Write-Information "--- 大規模データ処理シミュレーションスクリプト ---" -InformationAction Continue Write-Information "開始時刻: $(Get-Date -Format 'yyyy-MM-dd HH:mm:ss JST')" -InformationAction Continue $successCount = 0 $failCount = 0 # --- 性能計測 --- $TotalElapsedTime = Measure-Command { 1..$NumberOfItems | ForEach-Object { $item = $_ $retries = 0 $succeeded = $false do { Write-Information "項目 $item を処理中 (再試行 $retries/$MaxRetries)..." -InformationAction Continue try { # 擬似的なAPI呼び出し (失敗する可能性をシミュレート) # 30%の確率で失敗するとしてシミュレーション if ((Get-Random -Maximum 100) -lt 30 -and $retries -lt $MaxRetries) { throw "擬似的なネットワークエラーまたはサービス障害が発生しました。" } Start-Sleep -Milliseconds (Get-Random -Minimum 50 -Maximum 200) # 処理の遅延をシミュレート Write-Information "項目 $item 処理成功。" -InformationAction Continue $successCount++ $succeeded = $true } catch { $errorMessage = $_.Exception.Message Write-Warning "項目 $item 処理失敗 (再試行 $retries): $errorMessage" $retries++ if ($retries -lt $MaxRetries) { Write-Information "項目 $item 再試行します。$RetryDelaySeconds 秒待機中..." -InformationAction Continue Start-Sleep -Seconds $RetryDelaySeconds } else { Write-Error "項目 $item 処理が最大再試行回数 ($MaxRetries) に達したため失敗しました。" -ErrorAction SilentlyContinue $failCount++ } } } until ($succeeded -or $retries -ge $MaxRetries) } } Write-Information "--- 処理完了 ---" -InformationAction Continue Write-Information "終了時刻: $(Get-Date -Format 'yyyy-MM-dd HH:mm:ss JST')" -InformationAction Continue Write-Information "総実行時間: $($TotalElapsedTime.TotalSeconds) 秒" -InformationAction Continue Write-Information "成功数: $successCount" -InformationAction Continue Write-Information "失敗数: $failCount" -InformationAction Continue # --- トランスクリプトログ終了 --- Stop-Transcript Write-Host "トランスクリプトログを終了しました。詳細は $TranscriptFilePath を確認してください。" -ForegroundColor Yellow # スクリプトブロックロギングが有効な場合、このスクリプト全体と # ForEach-Object 内のスクリプトブロック、そして Write-Information や Write-Warning などの # 出力がイベントビューア（ID 4104）に記録されます。 </pre> </div> <h2 class="wp-block-heading">4. 運用：ログローテーション/失敗時再実行/権限</h2> <h3 class="wp-block-heading">4.1. イベントログの管理とロギング戦略</h3> <p>スクリプトブロックログは非常に詳細な情報を提供するため、大量のログが生成される可能性があります。適切なログ管理戦略が必要です。</p> <ul class="wp-block-list"> <li><p><strong>ログローテーション</strong>: イベントビューア（またはGPO）で、<code>Microsoft-Windows-PowerShell/Operational</code> ログの最大サイズと上書きポリシーを設定します。例えば、最大サイズを大きくし、「必要に応じてイベントを上書きする (最も古いイベントから)」を選択することで、ログが満杯になることによる重要な情報の欠落を防ぎます。</p></li> <li><p><strong>集中ログ管理</strong>: Windows Event Forwarding (WEF) を使用して、重要なログを中央のログコレクターに転送します。さらに、SplunkやELK Stack、Microsoft SentinelなどのSIEM（Security Information and Event Management）システムに転送することで、高度な分析とリアルタイムアラートが可能になります。</p></li> <li><p><strong>トランスクリプトログ</strong>: <code>Start-Transcript</code>/<code>Stop-Transcript</code> は、セッション全体の入力と出力をテキストファイルに記録します。これは監査証跡として非常に有効ですが、機密情報が含まれないよう注意が必要です。</p></li> <li><p><strong>構造化ログ</strong>: <code>Write-Information</code>, <code>Write-Warning</code>, <code>Write-Error</code> を適切に使い分け、必要に応じてカスタムオブジェクトをJSONなどの構造化データとしてログファイルに出力することで、後続の解析を容易にします。</p></li> </ul> <h3 class="wp-block-heading">4.2. 失敗時再実行と冪等性</h3> <p>自動化スクリプトが失敗した場合の対応は、運用の効率に直結します。</p> <ul class="wp-block-list"> <li><p><strong>失敗時再実行</strong>: コード例2で示したような再試行ロジックは、一時的な障害に対して有効です。より複雑なスクリプトでは、処理の「チェックポイント」を設け、失敗した場合はそのチェックポイントから再開できるように設計することで、大規模な処理の途中中断に対応できます。</p></li> <li><p><strong>冪等性（Idempotency）</strong>: 同じスクリプトを複数回実行しても、システムの状態が同じ結果になるように設計する原則です。例えば、ユーザーを作成するスクリプトは、既にユーザーが存在する場合はエラーとせず、既存のユーザーの設定が意図した状態になっているかを確認して終了するようにします。これにより、失敗時に安全に再実行できます。</p></li> </ul> <h3 class="wp-block-heading">4.3. 権限管理と安全対策</h3> <p>PowerShellスクリプトの実行権限を適切に管理することは、セキュリティ上極めて重要です。</p> <ul class="wp-block-list"> <li><p><strong>Just Enough Administration (JEA)</strong>: JEAは、特定のタスクのみを許可されたPowerShellエンドポイントを作成することで、最小権限の原則を実装します。例えば、特定のユーザーにはイベントログの確認のみを許可し、システム設定の変更は禁止するといった制御が可能です。JEA環境で実行されたスクリプトブロックもスクリプトブロックログに記録されるため、許可された操作の範囲を厳密に監視し、逸脱を検出できます。</p></li> <li><p><strong>SecretManagementモジュール</strong>: PowerShellGetで入手可能な<code>SecretManagement</code>モジュールは、APIキーやパスワードなどの機密情報を安全に保存・取得するためのフレームワークを提供します。これにより、スクリプト内に平文の機密情報を記述するリスクを回避し、スクリプトブロックログに機密情報が記録されるのを防ぎます。</p> <ul> <li>GitHubリポジトリ: <a href="https://github.com/PowerShell/SecretManagement/releases">https://github.com/PowerShell/SecretManagement/releases</a> (最終更新日: 2024年3月1日 JST)</li> </ul></li> </ul> <h2 class="wp-block-heading">5. 落とし穴（例：PowerShell 5 vs 7の差、スレッド安全性、UTF-8問題）</h2> <h3 class="wp-block-heading">5.1. PowerShell 5.1 と 7.x の違い</h3> <ul class="wp-block-list"> <li><p><strong>機能差</strong>: <code>ForEach-Object -Parallel</code> はPowerShell 7.0以降でのみ利用可能です。PowerShell 5.1で並列処理を行う場合は、<code>Start-Job</code>やカスタムのRunspaceプールを実装する必要があります。</p></li> <li><p><strong>エンコーディング</strong>: PowerShell 5.1の既定のエンコーディングは通常CP932（Shift-JIS）ですが、PowerShell 7.xではUTF-8が既定となっています。これにより、特にスクリプトブロックログが記録する内容において、多言語文字（日本語など）の表示に互換性問題が発生する可能性があります。ログを解析するツールが適切なエンコーディングで読み込めるか確認が必要です。</p></li> </ul> <h3 class="wp-block-heading">5.2. 大量ログによるパフォーマンス影響</h3> <p>スクリプトブロックログは非常に詳細なため、大量のPowerShellスクリプトが実行される環境では、ディスクI/Oの増加、イベントログサービスの負荷上昇、およびSIEMへの転送負荷の増大を引き起こす可能性があります。</p> <ul class="wp-block-list"> <li><p><strong>対策</strong>:</p> <ul> <li><p>ログのフィルタリング: 必要に応じて、特定のスクリプトやユーザーのログのみを収集するなどのフィルタリングを検討します（ただし、セキュリティ上の見落としがないよう慎重に）。</p></li> <li><p>ログ保存期間の調整: イベントログのローテーション設定を適切に調整し、古すぎるログがディスクを圧迫しないようにします。</p></li> </ul></li> </ul> <h3 class="wp-block-heading">5.3. 機密情報の平文ロギング問題</h3> <p>最も危険な落とし穴の一つは、スクリプトブロックログにパスワードやAPIキーなどの機密情報が平文で記録されてしまうことです。例えば、<code>Connect-ExchangeOnline -Credential $cred</code> のように安全な方法を使っていても、内部的に認証情報の一部がログに記録される可能性があります。</p> <ul class="wp-block-list"> <li><p><strong>対策</strong>:</p> <ul> <li><p><code>SecretManagement</code>モジュールを積極的に活用し、機密情報をスクリプトコードから分離します。</p></li> <li><p><code>ConvertTo-SecureString</code>でセキュア文字列に変換された資格情報は、スクリプトブロックログには平文で記録されにくいですが、取得方法や表示方法によっては情報が漏洩するリスクがあるため、常に注意が必要です。</p></li> <li><p>スクリプト内で機密情報を扱う場合は、その前後でトランスクリプトログを一時停止する、または感度の高い部分を別プロセスで実行し、親プロセスからはログの内容を遮蔽するなどの工夫も考えられます。</p></li> </ul></li> </ul> <h2 class="wp-block-heading">まとめ</h2> <p>PowerShellスクリプトブロックログは、Windows環境における自動化とセキュリティ監視の根幹をなす強力な機能です。その有効化から、<code>ForEach-Object -Parallel</code>を用いた大規模環境での並列処理、<code>Measure-Command</code>による性能計測、堅牢なエラーハンドリング、そして<code>Start-Transcript</code>や<code>SecretManagement</code>モジュールを活用したロギング戦略と安全対策までを理解し、実践することで、PowerShell運用を次のレベルへと引き上げることが可能です。</p> <p>スクリプトの実行状況を可視化し、潜在的な脅威を早期に検知する能力は、現代のIT運用において不可欠です。本記事で紹介したテクニックを参考に、皆さんのPowerShellスクリプトをより安全に、より効率的に運用してください。常に最新のPowerShell機能とセキュリティ動向に注意を払い、継続的に改善を行うことが、安定したシステム運用の鍵となります。</p>

# レジストリキーが存在しない場合は作成

$regPath = 'HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging'
If (-not (Test-Path $regPath)) {
    New-Item -Path $regPath -Force | Out-Null
}
Set-ItemProperty -Path $regPath -Name 'EnableScriptBlockLogging' -Value 1 -Force

# コード例1: リモートホストからのWMI情報収集とログ記録


# 実行前提:


#   - PowerShell 7.0以降がインストールされていること。


#   - リモートホストへの管理者権限が必要。


#   - リモートホストのファイアウォールでWinRM（ポート5985/5986）が許可されていること。


#   - スクリプトブロックロギングが有効になっていること。

param(
    [string[]]$ComputerNames = 'localhost', # 収集対象のコンピューター名リスト
    [int]$ThrottleLimit = 5,                # ForEach-Object -Parallel の同時実行数
    [int]$TimeoutSeconds = 60               # リモートコマンドのタイムアウト時間
)

# エラー発生時にスクリプトを即座に終了させる

$ErrorActionPreference = 'Stop'
$ScriptStartTime = Get-Date -Format 'yyyy-MM-dd HH:mm:ss JST'

Write-Host "--- PowerShellログ活用術: 並列WMI情報収集スクリプト ---" -ForegroundColor Cyan
Write-Host "開始時刻: $ScriptStartTime" -ForegroundColor Cyan
Write-Host "対象ホスト数: $($ComputerNames.Count)" -ForegroundColor Cyan
Write-Host "同時実行制限: $ThrottleLimit" -ForegroundColor Cyan

$results = @()

try {
    $ComputerNames | ForEach-Object -Parallel {
        param($ComputerName)

        # 各Runspaceで実行されるスクリプトブロックもイベントID 4104に記録されます

        Write-Host "[$ComputerName] 処理開始..." -ForegroundColor Yellow
        $logConfig = $null

        try {

            # CIM (Common Information Model) を使用してリモートからイベントログ設定を取得


            # WMIのラッパーであり、WS-Managementプロトコルを使用

            $logConfig = Get-CimInstance -ClassName Win32_NTEventlogFile `
                -ComputerName $ComputerName `
                -Namespace 'root\cimv2' `
                -CommandTimeout $using:TimeoutSeconds `
                -ErrorAction Stop

            Write-Host "[$ComputerName] イベントログ構成情報を取得しました。" -ForegroundColor Green
            $logConfig | ForEach-Object {
                [PSCustomObject]@{
                    ComputerName = $ComputerName
                    LogName = $_.LogfileName
                    MaxSizeMB = $_.MaxFileSize / 1MB
                    Retention = $_.RetentionDays
                    OverwritePolicy = switch ($_.OverWriteOutput) {
                        0 { '上書き不可' }
                        1 { '古いイベントから上書き' }
                        2 { '手動でアーカイブ' }
                        default { '不明' }
                    }
                }
            }
        }
        catch {
            $errorMessage = $_.Exception.Message
            Write-Error "[$ComputerName] エラー発生: $errorMessage" -ErrorAction SilentlyContinue

            # エラー情報をパイプラインに出力し、メインプロセスで収集

            [PSCustomObject]@{
                ComputerName = $ComputerName
                Status = 'Failed'
                ErrorMessage = $errorMessage
            }
        }
    } -ThrottleLimit $ThrottleLimit -AsJob | ForEach-Object {

        # 並列処理のジョブ結果を収集

        $job = $_
        $job | Wait-Job | Receive-Job
    } | ForEach-Object {
        $results += $_
    }

}
catch {
    $errorMessage = $_.Exception.Message
    Write-Error "スクリプト全体で予期せぬエラーが発生しました: $errorMessage"
}

Write-Host "--- 処理結果 ---" -ForegroundColor Cyan
$results | Format-Table -AutoSize

$ScriptEndTime = Get-Date -Format 'yyyy-MM-dd HH:mm:ss JST'
Write-Host "終了時刻: $ScriptEndTime" -ForegroundColor Cyan
Write-Host "------------------------------------------------" -ForegroundColor Cyan

# スクリプトブロックロギングが有効な場合、このスクリプト全体と


# ForEach-Object -Parallel 内のスクリプトブロックがログに記録されます。


# ログはイベントビューア（Microsoft-Windows-PowerShell/Operational, ID 4104）で確認できます。

flowchart TD
    A["スクリプト実行開始"] --> |対象ホストリスト取得| B{"ホストリストは空か？"};
    B -- いいえ --> C["ForEach-Object -Parallelで並列処理を開始"];
    C --> |Runspace作成| D("Runspace A");
    C --> |Runspace作成| E("Runspace B");
    C --> |Runspace作成| F("Runspace N");
    D --> |ホストAへ接続| G["ホストAからWMI/CIM情報取得"];
    E --> |ホストBへ接続| H["ホストBからWMI/CIM情報取得"];
    F --> |ホストNへ接続| I["ホストNからWMI/CIM情報取得"];
    G --> |処理結果を標準出力/ログに記録| J["メインプロセスへ結果送信"];
    H --> |処理結果を標準出力/ログに記録| J;
    I --> |処理結果を標準出力/ログに記録| J;
    J --> |全ホスト処理完了を待機| K["メインプロセスで結果集計"];
    K --> |集計結果を最終出力| L["スクリプト実行終了"];
    B -- はい --> L;

# コード例2: 大規模データ処理シミュレーション、性能計測、再試行、トランスクリプトログ


# 実行前提:


#   - 特にサードパーティモジュールは不要。


#   - トランスクリプトログの出力先ディレクトリへの書き込み権限が必要。


#   - スクリプトブロックロギングが有効になっていること。

param(
    [int]$NumberOfItems = 100,      # 処理対象の項目数
    [int]$MaxRetries = 3,           # 最大再試行回数
    [int]$RetryDelaySeconds = 2,    # 再試行間の待機時間 (秒)
    [string]$LogDirectory = "$PSScriptRoot\Logs" # トランスクリプトログ出力先
)

# --- 環境設定 ---


# エラー発生時にスクリプトを中断せず、エラーオブジェクトを生成する ($Error配列に追加される)

$ErrorActionPreference = 'Continue'

# トランスクリプトログの出力先を準備

if (-not (Test-Path $LogDirectory)) {
    New-Item -Path $LogDirectory -ItemType Directory -Force | Out-Null
}
$TranscriptFilePath = Join-Path -Path $LogDirectory -ChildPath "ProcessingLog_$(Get-Date -Format 'yyyyMMdd_HHmmss').log"

# --- トランスクリプトログ開始 ---

Write-Host "トランスクリプトログを開始します: $TranscriptFilePath" -ForegroundColor Yellow
Start-Transcript -Path $TranscriptFilePath -Append -Force

Write-Information "--- 大規模データ処理シミュレーションスクリプト ---" -InformationAction Continue
Write-Information "開始時刻: $(Get-Date -Format 'yyyy-MM-dd HH:mm:ss JST')" -InformationAction Continue

$successCount = 0
$failCount = 0

# --- 性能計測 ---

$TotalElapsedTime = Measure-Command {
    1..$NumberOfItems | ForEach-Object {
        $item = $_
        $retries = 0
        $succeeded = $false

        do {
            Write-Information "項目 $item を処理中 (再試行 $retries/$MaxRetries)..." -InformationAction Continue
            try {

                # 擬似的なAPI呼び出し (失敗する可能性をシミュレート)


                # 30%の確率で失敗するとしてシミュレーション

                if ((Get-Random -Maximum 100) -lt 30 -and $retries -lt $MaxRetries) {
                    throw "擬似的なネットワークエラーまたはサービス障害が発生しました。"
                }
                Start-Sleep -Milliseconds (Get-Random -Minimum 50 -Maximum 200) # 処理の遅延をシミュレート

                Write-Information "項目 $item 処理成功。" -InformationAction Continue
                $successCount++
                $succeeded = $true
            }
            catch {
                $errorMessage = $_.Exception.Message
                Write-Warning "項目 $item 処理失敗 (再試行 $retries): $errorMessage"
                $retries++
                if ($retries -lt $MaxRetries) {
                    Write-Information "項目 $item 再試行します。$RetryDelaySeconds 秒待機中..." -InformationAction Continue
                    Start-Sleep -Seconds $RetryDelaySeconds
                } else {
                    Write-Error "項目 $item 処理が最大再試行回数 ($MaxRetries) に達したため失敗しました。" -ErrorAction SilentlyContinue
                    $failCount++
                }
            }
        } until ($succeeded -or $retries -ge $MaxRetries)
    }
}

Write-Information "--- 処理完了 ---" -InformationAction Continue
Write-Information "終了時刻: $(Get-Date -Format 'yyyy-MM-dd HH:mm:ss JST')" -InformationAction Continue
Write-Information "総実行時間: $($TotalElapsedTime.TotalSeconds) 秒" -InformationAction Continue
Write-Information "成功数: $successCount" -InformationAction Continue
Write-Information "失敗数: $failCount" -InformationAction Continue

# --- トランスクリプトログ終了 ---

Stop-Transcript
Write-Host "トランスクリプトログを終了しました。詳細は $TranscriptFilePath を確認してください。" -ForegroundColor Yellow

# スクリプトブロックロギングが有効な場合、このスクリプト全体と


# ForEach-Object 内のスクリプトブロック、そして Write-Information や Write-Warning などの


# 出力がイベントビューア（ID 4104）に記録されます。