이벤트 뷰어

Event Viewer
이벤트 뷰어 로그
Eventvwr icon.png
Windows 10 Event Viewer main screen.png
Windows 10의 이벤트 뷰어
개발자마이크로소프트
운영 체제Microsoft Windows
서비스명Windows 이벤트 로그(이벤트 로그)
유형유틸리티 소프트웨어
웹 사이트www.microsoft.com Edit this on Wikidata

이벤트 뷰어는 관리자 및 사용자가 로컬 또는 원격 시스템의 이벤트 로그를 볼 수 있도록 하는 마이크로소프트 윈도우즈 NT 운영 체제의 구성 요소입니다.응용 프로그램 및 운영 체제 구성 요소는 이 중앙 집중식 로그 서비스를 사용하여 구성 요소 시작 또는 작업 완료 실패와 같은 발생한 이벤트를 보고할 수 있습니다.윈도우 비스타에서 마이크로소프트는 이벤트 [1]시스템을 점검했다.

Event Viewer는 기동 오류와 처리 오류를 정기적으로 보고하기 때문에(실제로 컴퓨터를 손상시키거나 손상시키지 않음), 기술 지원 사기범들은 이 소프트웨어를 자주 사용하여 피해자에게 즉시 기술 [2]지원이 필요한 중대한 오류가 포함되어 있다고 생각하게 합니다.예를 들어 "사용자 정의 보기" 아래의 "관리 이벤트" 필드가 한 달 동안 1,000개 이상의 오류 또는 경고가 기록될 수 있습니다.

개요

Windows NT는 1993년 출시 이후 이벤트 로그를 제공하고 있습니다.

이벤트 뷰어는 이벤트 ID를 사용하여 윈도우즈 시스템에서 발생할 수 있는 고유 식별 가능한 이벤트를 정의합니다.예를 들어 사용자 인증이 실패하면 시스템은 이벤트 ID 672를 생성할 수 있습니다.

Windows NT 4.0 에서는, 「이벤트 소스」(이벤트를 작성한 애플리케이션)의 정의와 로그의 백업의 실행이 서포트되고 있습니다.

Windows 2000 에서는, 시스템 정의의 「시스템」, 「애플리케이션」, 및 「보안」의 3개의 로그 파일에 가세해 애플리케이션이 독자적인 로그 소스를 작성하는 기능이 추가되었습니다.또한 Windows 2000은 NT4의 이벤트 뷰어를 Microsoft Management Console(MMC) 스냅인으로 대체했습니다.

Windows Server 2003 에서는,AuthzInstallSecurityEventSource()API 콜을 통해 응용 프로그램이 보안 이벤트 로그에 등록하고 보안 감사 [3]엔트리를 쓸 수 있습니다.

Windows NT 6.0 커널을 기반으로 하는 Windows 버전(Windows Vista 및 Windows Server 2008)에서는 총 사이즈의 300 MB 제한이 없어졌습니다.NT 6.0 이전 시스템에서는 다른 커널 컴포넌트와 동일한 메모리 풀을 사용하는 커널 메모리 공간에 메모리 매핑된 파일로 온디스크 파일을 열었습니다.

파일 이름 확장자를 가진 이벤트 뷰어 로그 파일 evtx통상은, 같은 디렉토리에 표시됩니다.C:\Windows\System32\winevt\Logs\

명령줄 인터페이스

eventquery.vbs, eventcreate, 이벤트트리거
개발자마이크로소프트
초기 릴리즈2001년 10월 25일, 20년 전(2001-10-25)
운영 체제Microsoft Windows
유형명령어
면허증.독자 사양 상용 소프트웨어
웹 사이트docs.microsoft.com/en-us/windows-server/administration/windows-commands/eventcreate

Windows XP 에서는 작업 자동화에 도움이 되는3개의 명령줄 인터페이스 툴이 도입되었습니다.

  • eventquery.vbs– 이벤트 [4]로그를 기반으로 결과를 조회, 필터링 및 출력하는 공식 스크립트.XP 이후 단종.
  • eventcreate[5] 커스텀 이벤트를 로그에 기록하는 명령어(Vista 및 7에서 계속됩니다).
  • eventtriggers– 이벤트 기반 [6]태스크를 생성하는 명령어.XP 이후 단종되어 "이벤트에 태스크 첨부" 기능으로 대체되었습니다.

윈도 비스타

이벤트 뷰어는 Windows Vista에서 [1]다시 작성된 이벤트 추적로깅 아키텍처로 구성됩니다.구조화된 XML 로그 형식과 지정된 로그 유형을 중심으로 다시 작성되어 응용 프로그램이 이벤트를 보다 정확하게 기록하고 지원 기술자와 개발자가 이벤트를 보다 쉽게 해석할 수 있도록 지원합니다.

이벤트의 XML 표현은 이벤트 속성의 [Details]에서 확인할 수 있습니다.또한 wevtutil 유틸리티를 사용하여 모든 잠재적 이벤트, 그 구조, 등록된 이벤트 퍼블리셔 및 해당 구성을 이벤트가 실행되기 전에 볼 수도 있습니다.

이벤트 로그에는 Administrative, Operational, Analytic 및 Debug 로그 유형 등 다양한 유형의 이벤트 로그가 있습니다.[ Scope ]페인으로 [Application Logs]노드를 선택하면 진단 로그라는 라벨이 붙은 이벤트로그를 포함한 새로운 서브 카테고리 이벤트로그가 다수 표시됩니다.

빈도가 높은 Analytic 이벤트와 Debug 이벤트는 트레이스 파일에 직접 저장되지만 Admin 이벤트와 Operational 이벤트는 시스템 성능에 영향을 주지 않고 추가 처리가 가능한 빈도가 낮기 때문에 이벤트 로그 서비스로 전달됩니다.

이벤트는 이벤트 게시 응용 프로그램의 성능에 미치는 영향을 줄이기 위해 비동기적으로 게시됩니다.이벤트 애트리뷰트도 훨씬 상세하고 있습니다.[ID], [Level], [Task], [Opcode] 및 [Keywords]속성.

사용자는 하나 이상의 기준 또는 제한된 XPath 1.0 식을 사용하여 이벤트 로그를 필터링할 수 있으며 하나 이상의 이벤트에 대해 사용자 지정 보기를 생성할 수 있습니다.XPath를 쿼리 언어로 사용하면 특정 서브시스템과 관련된 로그 또는 특정 컴포넌트만의 문제를 표시할 수 있습니다.선택한 이벤트를 아카이브하고 기술자를 지원하기 위해 트레이스를 즉시 전송할 수 있습니다.

XPath 1.0을 사용한 필터링

  1. Windows 이벤트 로그 열기
  2. Windows 로그 확장
  3. 관심 있는 로그 파일을 선택합니다(아래 예에서는 보안 이벤트 로그가 사용됩니다).
  4. 이벤트 로그를 마우스 오른쪽 버튼으로 클릭하고 Filter Current Log...선택합니다.
  5. 선택한 탭을 필터에서 XML로 변경
  6. 쿼리를 수동으로 편집하려면 체크박스를 켭니다.
  7. 쿼리를 텍스트 상자에 붙여넣습니다.쿼리 예는 다음과 같습니다.

다음은 새 창 이벤트 로그에 대한 간단한 사용자 정의 필터의 예입니다.

  1. 보안 이벤트 로그에서 관련된 계정 이름(TargetUserName)이 "JUser"인 모든 이벤트를 선택합니다.
    <QueryList><Query Id="0" Path="Security"><Select Path="Security">*[EventData[Data[@Name="TargetUserName"]="JUser"]]</Select></Query></QueryList>
  2. 보안 이벤트 로그에서 모든 이벤트를 선택합니다. 여기서 EventData 섹션의 데이터 노드는 문자열 "JUser"입니다.
    <QueryList><Query Id="0" Path="Security"><Select Path="Security">*[EventData[Data="JUser"]]</Select></Query></QueryList>
  3. [ EventData ]섹션의 [Data]노드가 "JUser" 또는 "JDoE"인 보안 이벤트 로그의 모든 이벤트를 선택합니다.
    <QueryList><Query Id="0" Path="Security"><Select Path="Security">*[EventData[Data="JUser" or Data="JDoe"]]</Select></Query></QueryList>
  4. [ EventData ]섹션의 [Data]노드가 "JUser"이고 [Event ID]가 "4471"인 보안 이벤트 로그에서 모든 이벤트를 선택합니다.
    <QueryList><Query Id="0" Path="Security"><Select Path="Security">*[System[EventID="4471"]] and *[EventData[Data="JUser"]]</Select></Query></QueryList>
  5. 2개의 @Names를 가진 Goldmine이라는 패키지의 실제 예
    <QueryList><Query Id="0" Path="Application"><Select Path="Application">*[System[Provider[@Name='GoldMine' or @Name='GMService']]]</Select></Query></QueryList>

경고:

이벤트 서브스크라이버

메이저 이벤트 서브스크라이버로는 Event Collector 서비스와 태스크스케줄러 2.0이 있습니다Event Collector 서비스는 설정 가능한 일정에 따라 Windows Vista, Windows Server 2008 또는 Windows Server 2003 R2를 실행하는 다른 원격 시스템에 이벤트 로그를 자동으로 전송할 수 있습니다.이벤트 로그를 다른 컴퓨터에서 원격으로 표시하거나 에이전트 없이 여러 이벤트 로그를 중앙에서 기록 및 모니터링하여 단일 시스템에서 관리할 수도 있습니다.또한 이벤트는 다시 설계된 작업 스케줄러에서 실행되고 특정 이벤트가 발생할 때 자동화된 작업을 트리거하는 작업과 직접 연결할 수도 있습니다.

「 」를 참조해 주세요.

레퍼런스

  1. ^ a b "New tools for Event Management in Windows Vista". TechNet. Microsoft. November 2006.
  2. ^ Anderson, Nate (4 October 2012). ""I am calling you from Windows": A tech support scammer dials Ars Technica". Ars Technica.
  3. ^ "AuthzInstallSecurityEventSource Function". MSDN. Microsoft. Retrieved 2007-10-05.
  4. ^ LLC), Tara Meyer (Aquent. "Eventquery.vbs". docs.microsoft.com.
  5. ^ LLC), Tara Meyer (Aquent. "Eventcreate". docs.microsoft.com.
  6. ^ LLC), Tara Meyer (Aquent. "Eventtriggers". docs.microsoft.com.
  7. ^ "Microsoft's Implementation and Limitations of XPath 1.0 in Windows Event Log". MSDN. Microsoft. Retrieved 2009-08-07.
  8. ^ "Powershell script to filter events using an Xpath query". Retrieved 2011-09-20.

외부 링크

Wikibooks는 다음 토픽에 관한 책을 가지고 있습니다.Windows 명령어 가이드