操作履歴は，操作の対象によってソフトウェアの操作履歴とファイルの操作履歴の2種類に分けられます。どちらの操作履歴を取得するかは，監視対象のイベントによって異なります。

ソフトウェアの操作履歴を取得するイベント

• プロセスの起動
• プロセスの停止
• キャプションの変更
• アクティブウィンドウの変更
• マシンの起動/停止
• ログオン/ログオフ

ファイルの操作履歴を取得するイベント

• ファイル操作

ソフトウェアの操作履歴とファイルの操作履歴では，［ソフトウェア稼働情報］ウィンドウに操作履歴として表示される項目が異なります。

ソフトウェアの操作履歴とファイルの操作履歴で表示される項目を，次の表に示します。各項目は「,」（コンマ）で区切られて表示されます。値がない項目には何も表示されません。

表6-3　操作履歴として表示される項目

項目	ソフトウェアの操作履歴	ファイルの操作履歴
日時	操作履歴として取得するイベントが発生した時刻。 YYYY/MM/DD hh:mm:ssの形式。	操作履歴として取得するイベントが発生した時刻。 YYYY/MM/DD hh:mm:ssの形式。
種別	発生したイベントの種別。	発生した操作の種別。
ログオンユーザ	イベントが発生したコンピュータのログオンユーザ名。※	イベントが発生したコンピュータのログオンユーザ名。
ドライブ種別	−	操作元のドライブ種別。次のどれかが表示される。 Local disk（ローカルHDD，USB-HDDなど） Network drive（UNCパス，ネットワークドライブなど） Removable（FD，USBメモリなど） CDROM RAMDISK その他（ドライブ情報の取得失敗など）
ファイル名	−	操作前のファイルまたはフォルダのフルパス。
変更後ドライブ種別	−	操作先のドライブ種別。 Local disk（ローカルHDD，USB-HDDなど） Network drive（UNCパス，ネットワークドライブなど） Removable（FD，USBメモリなど） CDROM RAMDISK その他（ドライブ情報の取得失敗など）
変更後ファイル名	−	操作後のファイルまたはフォルダのフルパス。
ウィンドウタイトル	イベントが発生したときのウィンドウのキャプション。	−
プログラム名	イベントが発生したプログラムのファイル名または正式ファイル名のフルパス。	操作を実行したプロセス名。 Windowsのコモンダイアログでの操作の場合はExplorer.exeとなる。また，OSがWindows 8，Windows Server 2012，Windows 7，Windows Server 2008またはWindows Vistaの場合に，アプリケーションまたはコマンドプロンプトによってファイルが操作されたときも，Explorer.exeとなる。
ファイルバージョン	イベントが発生したプログラムのファイルバージョン。	−
アカウント	イベントが発生したプログラムの実行アカウント。	イベントが発生したプログラムの実行アカウント。

（凡例）−：表示されない項目

注※

仮想化環境の場合，次に示すイベントでは，表示内容が異なります。

• プロセスの起動および停止
  ソフトウェアの起動方法やOSによって，表示内容が異なります。
  
  • ユーザがプロセスを直接起動した場合
    ソフトウェアを起動したユーザのユーザ名。
    
  • サービスからソフトウェアが起動された場合
    OSがWindows Server 2003で，かつローカルコンソールでログオンしているユーザが存在する場合，ローカルコンソールでログオンしているユーザ名。
    そのほかの場合は，「［Service］」。
    
• キャプションの変更，アクティブウィンドウの変更，ログオン/ログオフ，およびファイル操作
  イベントが発生したセッションのログオンユーザ名。
  
• マシンの起動/停止
  ログオンユーザは表示されない。
  

操作履歴の表示形式を次の図に示します。

図6-32　操作履歴の表示形式