윈도우 서버에서의 로그를 남기기 위해서는 '로컬 보안 정책' 이라는 곳의 설정에 의해 로깅을 남깁니다.상위 정책인 AD 그룹 정책에 의해서도 로깅 정책이 변경되기도 합니다.
Ⅰ. 이벤트 뷰어(Event Viewer)는 Microsoft Windows 운영 체제에 포함된 시스템 관리 도구 중 하나입니다. 이 도구를 사용하면 시스템 이벤트 및 로그를 보고 분석할 수 있습니다.
실행방법
ⅰ) 실행창에서 eventvwr.exe 실행
ⅱ) 시작프로그램 -> 검색 -> 이벤트뷰어 실행
Ⅱ. 이벤트뷰어 주요 기능
ⅰ) 이벤트 로그 확인: 이벤트 뷰어를 사용하여 시스템, 보안, 응용 프로그램 로그 등 다양한 유형의 이벤트 로그를 확인할 수 있습니다.
ⅱ) 이벤트 필터링 및 검색: 특정 시간 범위, 이벤트 유형, 이벤트 ID 등을 기준으로 이벤트를 필터링하고 검색할 수 있습니다.
ⅲ) 이벤트 세부 정보 확인: 각 이벤트에 대한 자세한 정보를 확인할 수 있으며, 이벤트가 발생한 시간, 이벤트 유형, 이벤트 설명 등을 확인할 수 있습니다.
ⅳ) 이벤트 알림 및 경고 설정: 특정 이벤트가 발생할 때 알림을 받도록 설정할 수 있으며, 이를 통해 시스템의 상태를 모니터링하고 문제를 신속하게 파악할 수 있습니다.
ⅳ) 이벤트 로그 파일 내보내기: 필요한 경우 이벤트 로그를 파일로 내보내거나 다른 형식으로 저장하여 분석이나 보고 목적으로 사용할 수 있습니다.
Ⅲ. 이벤트뷰어
주요 카테고리로는 응용 프로그램(Application), 보안(Security), 시스템(System) 로그가 있습니다. 각 로그는 서로 다른 유형의 이벤트를 기록합니다.
ⅰ) 응용 프로그램(Application) 로그
응용 프로그램에서 발생하는 이벤트와 관련된 정보가 기록되며, 주로 응용 프로그램의 오류, 경고 또는 정보성 이벤트가 포함됩니다. 예를 들어, 프로그램이 비정상적으로 종료되거나 오류가 발생한 경우 이벤트가 기록될 수 있습니다.
ⅱ) 보안(Security) 로그 ()
시스템 보안에 관련된 이벤트가 기록되며, 주로 로그인 시도, 계정 변경, 보안 정책 위반 등과 관련된 이벤트가 포함됩니다. 보안 로그는 시스템의 보안 상태를 모니터링하고 보호 조치를 취하기 위해 중요한 정보를 제공합니다.
ⅲ) 시스템(System) 로그
시스템 수준의 이벤트와 관련된 정보가 기록되며, 주로 하드웨어, 드라이버, 운영 체제의 서비스 등과 관련된 오류, 경고, 정보성 이벤트가 포함됩니다. 예를 들어, 시스템 부팅 시 발생하는 이벤트, 드라이버 오류, 시스템 서비스의 시작 또는 중지와 관련된 이벤트 등이 포함될 수 있습니다.
Ⅳ. 주요 이벤트 ID
| 구분 | 이벤트 ID | 작업범주(카테고리) | 설명 |
| 계정 관련 | 4625 | 계정 로그인 실패 | 보안 로그인 실패, 사용자가 잘못된 패스워드를 입력한 경우 등 |
| 서버 내 서비스 관련 | 7036 | 서비스 상태 변경 | 서비스가 시작되거나 중지되었을 때 기록됩니다. |
| AD 서비스 관련 | 4738 | 계정 변경 | AD 정책 변경, 사용자 그룹 변경, 계정 비밀번호 변경 등 |
| 5136 | 디렉터리 서비스 변경 | Active Directory의 객체(사용자, 그룹, 컴퓨터 등)에 대한 변경 사항 | |
| 5137 | 디렉터리 서비스 권한 변경 | 변경된 속성, 변경 유형 등의 정보가 포함 |
'시스템(Windows)' 카테고리의 다른 글
| Tracert 명령어에 대해 알아보겠습니다. (3) | 2024.02.28 |
|---|---|
| 윈도우 클라이언트 및 서버 NTP 설정에 대해 알아보겠습니다. (0) | 2024.02.26 |
| SMB (Server Message Block)에 대해 알아보겠습니다. (0) | 2024.02.12 |
| netsh 라는 명령어에 대해 알아보겠습니다. (1) | 2024.02.06 |
| 윈도우 원격 데스크탑 세션 타임 아웃 설정 (0) | 2024.01.01 |