이벤트 뷰어
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.
1. 개요
이벤트 뷰어는 윈도우 운영 체제에서 시스템의 이벤트 로그를 확인하고 관리하기 위한 소프트웨어 도구이다. 윈도우 NT 4.0부터 제공되었으며, 애플리케이션 설치, 서비스 시작/중지, 오류 발생 등 시스템 내에서 발생하는 다양한 사건들을 기록하는 이벤트 로그를 열람하고 관리할 수 있다. 윈도우 비스타에서 새로운 이벤트 추적 및 로그 아키텍처를 도입하여 XML 형식을 기반으로 더욱 구조화된 로그를 제공하며, 원격 로그 관리, XPath 필터링, 작업 스케줄러 연동 등의 기능을 지원한다. 이벤트 뷰어는 시스템 관리 및 문제 해결에 중요한 역할을 한다.
더 읽어볼만한 페이지
- 윈도우 구성 요소 - 인터넷 익스플로러
마이크로소프트가 개발한 웹 브라우저인 인터넷 익스플로러는 윈도우 운영 체제와의 통합으로 높은 시장 점유율을 유지했으나, 웹 표준 문제와 보안 취약점으로 비판받으며 2015년 엣지에 자리를 내주고 2022년 지원이 종료되었지만, 엣지의 IE 모드로 레거시 호환성을 유지하고 있다. - 윈도우 구성 요소 - 원격 데스크톱 서비스
원격 데스크톱 서비스(RDS)는 네트워크를 통해 원격으로 컴퓨터의 데스크톱 환경에 접근할 수 있게 해주는 기술이며, 클라이언트 소프트웨어, 서버 구성 요소, 다양한 역할을 수행하는 구성 요소로 구성된다.
| 이벤트 뷰어 - [IT 관련 정보]에 관한 문서 | |
|---|---|
| 개요 | |
| 이름 | 이벤트 뷰어 로그 |
| 영어 이름 | Event Viewer Log |
| 개발사 | 마이크로소프트 |
| 서비스 이름 | Windows Event log (eventlog) |
| 운영 체제 | 마이크로소프트 윈도우 |
| 종류 | 유틸리티 소프트웨어 |
| 출시 정보 | |
| 최초 출시 | Windows NT 4.0 이후 |
2. 역사
이벤트 로그는 1993년 윈도우 NT와 함께 처음 도입된 기능으로, 응용 프로그램 및 운영 체제 구성 요소에서 발생하는 이벤트를 기록하고 보고하는 데 사용되었다.
윈도우 NT 4.0에서는 이벤트 소스(이벤트가 발생된 응용 프로그램) 정의 및 로그 백업 기능이 추가되었다. 윈도우 2000에서는 응용 프로그램이 자체 로그 소스를 생성할 수 있게 되었고, 마이크로소프트 관리 콘솔(MMC) 기반의 새로운 이벤트 뷰어가 도입되었다.
윈도우 서버 2003에서는 `AuthzInstallSecurityEventSource()` API 호출을 추가하여 응용 프로그램이 보안 이벤트 로그에 등록하고 보안 감사 항목을 기록할 수 있게 되었다.
2. 1. 윈도우 NT (1993)
1993년 윈도우 NT는 이벤트 로그 기능을 탑재했다. 응용 프로그램과 운영 체제 구성 요소는 이 기능을 통해 발생한 이벤트를 보고할 수 있었다. 예를 들어, 구성 요소 시작 실패나 동작 완료 등을 알 수 있다.이벤트 로그는 다음 3가지 유형으로 구성된다.
- '''시스템 로그''': 윈도우 운영 체제와 응용 프로그램에서 사용한다.
- '''응용 프로그램 로그''': 윈도우 운영 체제와 응용 프로그램에서 사용한다. (시스템 로그와 동일)
- '''보안 로그''': 로컬 보안 권한 서브시스템 서비스(lsass.exe)에서만 직접 기록할 수 있다.
2. 2. 윈도우 NT 4.0
윈도우 NT 4.0은 이벤트 소스(이벤트가 발생된 응용 프로그램) 정의와 로그 백업 기능을 지원하기 시작했다.[12]2. 3. 윈도우 2000
윈도우 2000에는 응용 프로그램이 자체 로그 소스를 생성할 수 있는 기능이 추가되었다.[12] 마이크로소프트 관리 콘솔(MMC) 기반의 새로운 이벤트 뷰어가 도입되었다.[12]대한민국에서는 김대중 정부 시절, IT 산업 육성 정책에 따라 윈도우 2000 기반 시스템이 확산되면서 이벤트 로그 활용이 증가했다.
2. 4. 윈도우 서버 2003
윈도우 서버 2003은 `AuthzInstallSecurityEventSource()` API 호출을 추가하여 응용 프로그램이 보안 이벤트 로그에 등록하고 보안 감사 항목을 기록할 수 있게 되었다.[12][3]2. 5. 윈도우 비스타 / 윈도우 서버 2008
윈도우 비스타와 윈도우 서버 2008에서는 이벤트 추적 및 로깅 아키텍처가 재설계되었다.[11] 이벤트 로그는 XML 형식으로 다시 작성되어, 응용 프로그램들이 이벤트를 더 정확하게 기록할 수 있게 되었다. 관리, 운영, 분석, 디버그 로그 등 다양한 유형의 이벤트 로그가 추가되었다.범위 창에서 응용 프로그램 로그 노드를 선택하면 진단 로그를 비롯한 수많은 새로운 하위 분류 이벤트 로그가 나타난다. 윈도우 비스타 또는 윈도우 서버 2008을 실행하는 다른 시스템으로 이벤트 로그를 자동 이동하도록 설정할 수 있다. 또한, 원격으로 다른 컴퓨터에서 이벤트 로그를 감시하거나, 여러 이벤트 로그를 중앙 집중식으로 관리할 수도 있다.
이벤트 로그는 하나 이상의 기준이나 XPath 양식에 따라 보고자 하는 부분만 표시되도록 분류할 수 있으며, 사용자 정의 보기를 만들어 사용할 수도 있다. 이러한 고급 필터링 기능을 통해 특정 하부 시스템이나 구성 요소의 문제, 기술 지원 추적과 관련된 로그를 쉽게 확인할 수 있다.
이벤트는 재설계된 작업 스케줄러에서 실행되는 작업과 직접 연동할 수 있다. 이벤트 속성은 더욱 자세히 표시되며, 이벤트 ID, 단계, 작업, 연산 부호, 키워드 속성을 보여준다.[1]
2. 6. 윈도우 XP
윈도우 XP는 작업 자동화를 위한 세 가지 명령 줄 도구를 도입했다.- `eventquery.vbs` – 이벤트 로그를 기반으로 결과를 쿼리, 필터링 및 출력하는 공식 스크립트이다.[4] 윈도우 XP 이후 단종되었다.
- `eventcreate` – 로그에 사용자 지정 이벤트를 넣는 명령이다. (윈도우 비스타 및 윈도우 7에서 지속됨)[5]
- `eventtriggers` – 이벤트 기반 작업을 생성하는 명령이다.[6] 윈도우 XP 이후 단종되었으며, "이 이벤트에 작업 연결" 기능으로 대체되었다. 즉, 이벤트 목록 내에서 마우스 오른쪽 버튼을 클릭하여 단일 이벤트를 선택하고 팝업 메뉴에서 해당 기능을 선택할 수 있다.
3. 윈도우 이벤트 로그의 종류
윈도우 비스타에서 다시 쓰여진 이벤트 추적 및 로그 아키텍처가 도입되면서,[11] 관리, 운영, 분석, 디버그 로그 유형을 포함한 수많은 종류의 이벤트 로그가 생겨났다. 범위 창틀에 있는 응용 프로그램 로그 노드를 선택하면 진단 로그의 이름을 가진 수많은 새로운 하위 분류의 이벤트 로그가 나타난다.
기본 로그에는 응용 프로그램 로그, 보안 로그, 시스템 로그가 있다. 자세한 내용은 #기본 로그 하위 섹션을 참고하면 된다.
윈도우 비스타 이후에는 설치 로그와 ForwardedEvents 로그가 추가되었다. 자세한 내용은 #추가 로그 (윈도우 비스타 이후) 하위 섹션을 참고하면 된다.
Windows 2000 이후부터는 응용 프로그램이 독자적으로 작성할 수 있는 "사용자 지정 로그"가 지원된다. 자세한 내용은 #사용자 지정 로그 하위 섹션을 참고하면 된다.
3. 1. 기본 로그
이벤트 로그는 1993년부터 윈도우 NT의 기능으로, 응용 프로그램과 운영 체제 구성 요소가 발생했던 이벤트를 보고하는 데 사용된다. 시스템은 다음 세 가지 기본 로그 소스를 정의한다.| 로그 종류 | 설명 |
|---|---|
| 시스템 | 윈도우 운영 체제와 구성 요소 관련 이벤트 기록. |
| 응용 프로그램 | 응용 프로그램에서 발생하는 이벤트 기록. |
| 보안 | 로컬 보안 권한 서브시스템 서비스 (lsass.exe)에 의해서만 직접 기록 가능. |
윈도우 2000에는 응용 프로그램이 자신만의 로그 소스를 만들 수 있는 기능이 추가되었다. 윈도우 서버 2003에서는 `AuthzInstallSecurityEventSource()` API 호출을 추가하여 응용 프로그램이 보안 이벤트 로그에 등록하고 보안 검사 항목을 기록할 수 있게 되었다.[12]
3. 1. 1. 시스템 로그
윈도우 운영 체제 및 구성 요소와 관련된 이벤트가 기록된다. 예를 들어, 드라이버 로드 실패, 서비스 시작/중지 등이 기록된다.[12] 시스템 로그는 시스템 전체와 관련된 이벤트가 기록되는 로그로, Windows 서비스의 시작, 정지, 하드웨어 장애를 감지한 경우 등이 해당된다.3. 1. 2. 응용 프로그램 로그
응용 프로그램 로그에는 응용 프로그램에서 발생하는 이벤트가 기록된다. 예를 들어 프로그램 오류, 예외 처리 등이 이에 해당한다. 응용 프로그램 설치 성공, 중단된 응용 프로그램 강제 종료 등이 기록된다.[12]3. 1. 3. 보안 로그
로컬 보안 권한 서브시스템 서비스 (lsass.exe)에 의해서만 직접 기록이 가능한 로그이다. 보안과 관련된 이벤트가 기록된다. 예를 들어 로그인 성공 및 실패, 권한 변경, 감사 정책 위반 등이 기록된다.[12]3. 2. 추가 로그 (윈도우 비스타 이후)
윈도우 비스타부터는 다음과 같은 로그 종류가 추가되었다.- 설치 로그 (환경에 따라 "Setup"이라는 이름으로 존재)
- ForwardedEvents 로그
Windows 2000 이후부터는 애플리케이션이 독자적으로 작성할 수 있는 "사용자 지정 로그"가 지원된다.
3. 2. 1. 설치 로그
윈도우 업데이트에 의한 시스템 갱신과 관련된 이벤트가 기록된다.[11]3. 2. 2. ForwardedEvents 로그
원격 컴퓨터에서 수집된 이벤트가 저장된다.3. 3. 사용자 지정 로그
윈도우 2000 이후부터는 응용 프로그램이 독자적으로 로그를 생성할 수 있는 "사용자 지정 로그"가 지원된다.[3]4. 명령 줄 인터페이스
윈도우 XP는 작업 자동화에 유용한 세 가지 명령 줄 인터페이스 도구를 도입했다.
5. 고급 기능 (윈도우 비스타 이후)
윈도우 비스타에서 윈도우 이벤트 로그는 새롭게 작성된 이벤트 추적 및 로그 아키텍처를 기반으로 한다.[11] 응용 프로그램이 이벤트를 더 정확하게 기록할 수 있도록 잘 정의되고 구조화된 XML 형식을 사용한다. 관리, 운영, 분석, 디버그 로그 등 다양한 유형의 이벤트 로그가 있다.
범위 창에서 응용 프로그램 로그 노드를 선택하면 진단 로그 이름을 가진 여러 하위 분류 이벤트 로그가 나타난다. 윈도우 비스타 또는 윈도우 서버 2008을 실행하는 다른 시스템으로 이벤트 로그를 자동으로 이동하도록 설정할 수 있다. 또한 원격으로 다른 컴퓨터에서 이벤트 로그를 감시하거나, 여러 이벤트 로그를 중앙 집중식으로 기록하여 한 대의 컴퓨터에서 관리할 수 있다.
이벤트 로그는 하나 이상의 기준이나 표준 XPath 형식에 따라 보고자 하는 부분만 표시되도록 분류할 수 있으며, 사용자 정의 보기를 사용할 수 있다. 이러한 고급 필터는 특정 하부 시스템이나 구성 요소와 관련된 문제 추적 로그를 보는 데 도움을 준다. 이벤트는 재설계된 작업 스케줄러에서 실행되는 작업과 연동할 수 있으며, 이벤트 ID, 단계, 작업, 연산 부호, 키워드 속성을 포함하여 이벤트 특성이 더욱 자세히 표시된다.
5. 1. XPath 1.0을 사용한 필터링
사용자는 하나 이상의 기준 또는 제한된 XPath 1.0 표현식을 사용하여 이벤트 로그를 필터링할 수 있으며, 하나 이상의 이벤트에 대한 사용자 지정 보기를 만들 수 있다.[1] XPath를 쿼리 언어로 사용하면 특정 하위 시스템이나 특정 구성 요소의 문제와 관련된 로그만 볼 수 있고, 선택한 이벤트를 보관하며, 기술 지원 담당자에게 즉시 추적을 보낼 수 있다.다음은 새로운 윈도우 이벤트 로그에 대한 간단한 사용자 지정 필터의 예이다.
| 작업 | 필터 |
|---|---|
| 계정 이름(TargetUserName)이 "JUser"인 보안 이벤트 로그의 모든 이벤트를 선택한다. | ` |
| EventData 섹션의 모든 Data 노드가 문자열 "JUser"인 보안 이벤트 로그의 모든 이벤트를 선택한다. | ` |
| EventData 섹션의 모든 Data 노드가 "JUser" 또는 "JDoe"인 보안 이벤트 로그의 모든 이벤트를 선택한다. | ` |
| EventData 섹션의 모든 Data 노드가 "JUser"이고 이벤트 ID가 "4471"인 보안 이벤트 로그의 모든 이벤트를 선택한다. | ` |
| 두 개의 @Names를 가진 Goldmine이라는 패키지에 대한 실제 예 | ` |
주의 사항:
- Microsoft의 XPath 구현에는 [http://msdn.microsoft.com/en-us/library/dd996910%28VS.85%29.aspx#limitations 제한 사항]이 있다.[7]
- XPath 문자열 함수를 사용하는 쿼리는 오류를 발생시킨다.[8]
5. 2. 이벤트 구독
이벤트 수집기 서비스와 작업 스케줄러 2.0은 주요 ''이벤트 구독자''이다. 이벤트 수집기 서비스는 구성 가능한 일정에 따라 윈도우 비스타, 윈도우 서버 2008 또는 윈도우 서버 2003 R2를 실행하는 다른 원격 시스템으로 이벤트 로그를 자동으로 전달할 수 있다. 이벤트 로그는 다른 컴퓨터에서 원격으로 보거나, 에이전트 없이 여러 이벤트 로그를 중앙에서 로깅하고 모니터링하며 단일 컴퓨터에서 관리할 수도 있다. 이벤트는 또한 재설계된 작업 스케줄러에서 실행되는 작업과 직접 연결될 수 있으며, 특정 이벤트가 발생할 때 자동화된 작업을 트리거한다.[1]6. 이벤트 뷰어
윈도우 이벤트 로그는 이벤트 추적 및 로그 아키텍처로, 윈도우 비스타에 도입되었다.[11] 윈도우 이벤트 로그는 잘 정의되고 구조화된 XML 포맷을 기반으로 다시 쓰여져서 응용 프로그램들이 이벤트를 더 정확하게 기록할 수 있게 하였다. 관리, 운영, 분석, 디버그 로그 유형을 포함한 수많은 여러 종류의 이벤트 로그가 있다.
범위 창틀에 있는 응용 프로그램 로그 노드를 선택하면 진단 로그의 이름을 가진 수많은 새로운 하위 분류의 이벤트 로그가 나타난다. 이벤트 로그는 윈도우 비스타 또는 윈도우 서버 2008을 실행하여 다른 시스템에 자동으로 이동되도록 설정할 수 있다. 이벤트 로그는 또한 원격으로 다른 컴퓨터에서 감시 받을 수 있고, 아니면 여러 개의 이벤트 로그가 집중적으로 기록되어 한 대의 컴퓨터로부터 관리를 받을 수도 있다. 이벤트 로그는 하나 이상의 기준이나 표준 XPath 양식에 따라 보고자 하는 부분만 표시되도록 분류할 수 있으며, 하나 이상의 이벤트에 사용자 정의 보기를 사용할 수 있다. 이러한 분류나 고급 필터는 특정한 하부 시스템이나, 특정한 구성 요소와 기술 지원을 위한 추적에 대한 문제에 관련된 로그를 볼 수 있도록 도와 준다. 이벤트는 또한 직접 다시 설계된 작업 스케줄러에서 실행되는 작업과 연동할 수 있다. 이벤트 특성은 또한 더욱 자세히 표시되며 이벤트 ID, 단계, 작업, 연산 부호, 키워드 속성을 보여 준다.
윈도우 NT는 1993년 출시 이후 이벤트 로그 기능을 갖추고 있다. 이벤트 뷰어는 이벤트 ID를 사용하여 윈도우 컴퓨터가 겪을 수 있는 고유하게 식별 가능한 이벤트를 정의한다. 예를 들어, 사용자의 인증이 실패하면 시스템은 이벤트 ID 672를 생성할 수 있다.
윈도우 NT 4.0은 "이벤트 소스"(즉, 이벤트를 생성한 애플리케이션)를 정의하고 로그를 백업하는 기능을 추가했다. 윈도우 2000은 애플리케이션이 시스템에서 정의된 "시스템", "애플리케이션", "보안" 로그 파일 외에 자체 로그 소스를 만들 수 있는 기능을 추가했다. 윈도우 2000은 또한 NT4의 이벤트 뷰어를 마이크로소프트 관리 콘솔(MMC) 스냅인으로 대체했다. 윈도우 서버 2003은 AuthzInstallSecurityEventSource() API 호출을 추가하여 애플리케이션이 보안 이벤트 로그에 등록하고 보안 감사 항목을 기록할 수 있도록 했다.[3]
윈도우 NT 6.0 커널 기반의 윈도우 버전(윈도우 비스타 및 윈도우 서버 2008)은 더 이상 총 크기에 300MB 제한이 없다. NT 6.0 이전에는 시스템이 온디스크 파일을 커널 메모리 공간에서 메모리 매핑 파일로 열었으며, 이는 다른 커널 구성 요소와 동일한 메모리 풀을 사용했다.
이벤트 뷰어 로그 파일은 일반적으로 파일 확장자 evtx를 사용하며, C:\Windows\System32\winevt\Logs\와 같은 디렉토리에 나타난다. Windows가 시스템 내에서 발생한 사건(이벤트)을 기록하는 "이벤트 로그"를 참조하기 위한 소프트웨어이다. 이벤트 로그에는 애플리케이션 설치, 서비스 시작 및 중지, 애플리케이션의 비정상 종료, 하드웨어 장애 감지 등의 정보가 기록되며, 시스템 사용자는 이벤트 뷰어를 사용하여 이러한 정보를 참조할 수 있다. 이벤트 뷰어는 이벤트 로그의 내용을 확인하는 것 외에도 특정 유형의 이벤트만 추출하여 표시하거나 이벤트 로그의 유지 관리 방법을 변경하는 기능도 가지고 있다.
참조
[1]
웹사이트
New tools for Event Management in Windows Vista
http://www.microsoft[...]
Microsoft
2006-11
[2]
뉴스
"I am calling you from Windows": A tech support scammer dials Ars Technica
https://arstechnica.[...]
2012-10-04
[3]
웹사이트
AuthzInstallSecurityEventSource Function
http://msdn2.microso[...]
Microsoft
2007-10-05
[4]
웹사이트
Eventquery.vbs
https://docs.microso[...]
[5]
웹사이트
Eventcreate
https://docs.microso[...]
[6]
웹사이트
Eventtriggers
https://docs.microso[...]
[7]
웹사이트
Microsoft's Implementation and Limitations of XPath 1.0 in Windows Event Log
http://msdn.microsof[...]
Microsoft
2009-08-07
[8]
웹사이트
Powershell script to filter events using an Xpath query
http://www.open-a-so[...]
2011-09-20
[9]
문서
Windows 7 以降の Windows に付属するものは、マイクロソフトの長音表記の変更に伴い「イベント ビューアー」と表記される。
[10]
웹사이트
カスタム イベント ログの作成と削除
http://msdn.microsof[...]
マイクロソフト
2012-12-22
[11]
웹인용
New tools for Event Management in Windows Vista
http://www.microsoft[...]
2007-12-24
[12]
웹인용
AuthzInstallSecurityEventSource Function
http://msdn2.microso[...]
2007-10-05
본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.
문의하기 : help@durumis.com