이벤트 뷰어(Event Viewer)에 대해 알아보겠습니다.

Ⅰ. 이벤트 뷰어(Event Viewer) 란?

 Windows 운영체제에서 운영체제/애플리케이션/보안 구성요소가 남기는 이벤트 로그를 한곳에서 조회·필터·분석해 장애 원인과 보안 이슈를 추적하는 기본 진단 도구입니다. “문제가 났는데 왜 났는지”를 분석할 때, 증상이 재현되지 않더라도 로그를 통해 시간 축으로 원인을 좁혀갈 수 있어 가장 먼저 확인하는 도구로 사용됩니다.

Ⅱ. 이벤트 뷰어(Event Viewer) 역할

 시스템에서 발생하는 다양한 이벤트(오류, 경고, 정보, 보안 감사 등)를 범주별 로그로 기록하고, 사용자가 이를 탐색/검색할 수 있게 해줍니다. 각 이벤트는 발생 시각, 이벤트 ID, 원본(Provider) 같은 단서를 포함해 “무슨 컴포넌트가 어떤 조건에서 메시지를 남겼는지”를 보여줍니다.

Ⅲ. 이벤트뷰어(Event Viewer) 실행 방법

 ⅰ. 단축키를 이용한 실행
   1) 방법: Windows 로고 키 + R을 눌러 [실행] 창을 엽니다.

   2) 명령어: eventvwr.msc를 입력하고 엔터를 누릅니다.

 ⅱ. 고급 사용자 메뉴(Win+X) 활용
   1) 방법: 작업 표시줄의 [시작] 버튼(윈도우 로고)에 마우스 오른쪽 버튼을 클릭하거나, 단축키 Windows 로고 키 + X를 누릅니다.
   2) 선택: 나타나는 메뉴 리스트에서 [이벤트 뷰어]를 클릭합니다.

 ⅲ. 윈도우 검색창 이용
   1) 방법: 작업 표시줄의 검색 아이콘(돋보기)을 클릭하거나 Windows 키를 한 번 누릅니다.
   2) 검색어: "이벤트 뷰어" 혹은 "Event"라고 입력합니다.

 ⅳ. 컴퓨터 관리 도구를 통한 통합 실행
   1) 방법: 검색창에 '컴퓨터 관리'를 입력해 실행합니다.

   2) 위치: 왼쪽 트리 메뉴에서 [시스템 도구] > [이벤트 뷰어] 순으로 클릭합니다.

Ⅳ. 이벤트 뷰어(Event Viewer) 로그 종류

구분	내용	활용 사례
응용프로그램(Application)	특정 프로그램 오류(크래시 등) 분석	프로그램이 꺼진 시점에 Application 로그에서 크래시/오류 이벤트를 확인해 충돌 징후를 추적
보안(Security)	로그인 성공/실패 같은 감사 이벤트	이벤트 ID 4625는 “로그온 실패(Failed Logon)”로, 외부 접속 시도/계정 공격 징후 확인에 활용
시스템(System)	부팅/드라이버/서비스 등 OS 구성요소 이슈	이벤트 ID 41(Kernel-Power)은 “정상 종료 없이 재부팅됨”을 의미하며 전원 문제/크래시 등 조사 시작점이 됨

Ⅴ. 이벤트 뷰어(Event Viewer) 이벤트의 4가지 수준

 모든 로그를 다 볼 필요는 없습니다. 필터링할 때는 먼저 이벤트 수준(Level)을 나눠 노이즈를 줄이는 게 핵심입니다. Windows 이벤트 수준은 Critical / Error / Warning / Informational로 구분해 사용합니다.

수준 (Level)	의미	대응 우선순위
위험 (Critical)	시스템이 예기치 않게 종료되었거나 응답하지 않는 심각한 상태 (예: 블루스크린, 전원 차단)	최우선 확인
오류 (Error)	데이터 손실이나 기능 장애가 발생한 상태 (예: 서비스 시작 실패, 드라이버 로드 불가)	필수 확인
경고 (Warning)	당장 문제는 없으나 향후 오류로 이어질 가능성이 있는 상태 (예: 디스크 공간 부족, 리소스 지연)	선택적 확인
정보 (Information)	시스템 및 앱의 정상적인 작동 기록 (예: 업데이트 성공, 브라우저 시작)	무시 가능

Ⅵ. 이벤트 뷰어(Event Viewer) 활용 방법

  i) 핵심 사용법(필터링·검색): 원인 후보만 남기기

가장 먼저 익혀야 할 기능은 “수만 개 로그 중 필요한 것만 골라내는 기술”입니다. 일반적인 장애 분석은 “장애 시각 전후”에 대해 Critical/Error 중심으로 필터링해 시작점을 잡는 방식이 효율적입니다.
​
중간 패널(로그 목록)에서 우클릭 → [현재 로그 필터링]
​이벤트 수준: 위험(Critical), 오류(Error) 위주로 선택
로그된 시간: 지난 1시간/12시간 등으로 장애 발생 시점에 맞춰 제한

 ii) 사용자 지정 보기(Custom Views): 나만의 대시보드
“최근 24시간 내 오류만 보기”처럼 자주 쓰는 조건이 있다면 사용자 지정 보기로 저장해 반복 작업을 줄일 수 있습니다. 운영 환경에서 이 기능을 잘 쓰면, 이벤트 뷰어가 단순 조회 도구가 아니라 “상시 점검 대시보드”로 바뀝니다.

경로 : 사용자 지정 보기 → 사용자 지정 보기 만들기 → 필요한 설정(로그 기간, 이벤트 수준, 로그별, 이벤트 ID 등)

​
 iii) 이벤트에 작업 첨부(Attach Task): 반자동 대응
특정 이벤트가 발생했을 때 작업(프로그램 실행 등)을 연결해 “탐지 → 조치/알림” 흐름을 구성할 수 있습니다. (환경/정책에 따라 메일 발송은 제약이 있을 수 있으니, 실무에선 스크립트 실행→메신저/메일 연동 형태로 많이 확장합니다.

경로 : 동작 → 이 로그에 작업 연결

Ⅶ. 이벤트 뷰어(Event Viewer) 심화

 ⅰ. “이벤트 데이터 필드(예: IPAddress, TargetUserName)” 기반 정밀 검색이 어려운 경우가 많습니다. 이럴 때 Custom View의 XML 쿼리가 강력합니다.

경로: 사용자 지정 보기 만들기(Create Custom View) → XML 탭 → ‘Edit query manually’ 체크

 

1) Security 로그에서 4625(로그온 실패) + 특정 IP로 필터
아래 쿼리는 Security 채널에서 EventID=4625이면서 EventData의 IpAddress가 특정 값인 이벤트만 보여줍니다.

(※ A.B.C.D 를 실제 IP로 변경).

xml <QueryList>   <Query Id="0" Path="Security">     <Select Path="Security">       *[System[(EventID=4625)]]       and       *[EventData[Data[@Name='IpAddress']='A.B.C.D']]     </Select>   </Query> </QueryList>

이 방식은 “4625는 많은데, 그중 특정 공격자 IP만 뽑고 싶다” 같은 시나리오에 유용합니다.

2) System 로그에서 Kernel-Power(41)만 필터(Provider까지 고정)
아래 쿼리는 System 채널에서 Provider가 Microsoft-Windows-Kernel-Power이고 EventID=41인 이벤트만 남깁니다.

xml <QueryList>   <Query Id="0" Path="System">     <Select Path="System">       *[System[Provider[@Name='Microsoft-Windows-Kernel-Power'] and (EventID=41)]]     </Select>   </Query> </QueryList>

※ 재부팅/다운 이슈는 “동일 EventID라도 Provider가 다른” 케이스가 있어, Provider까지 같이 고정하면 오탐을 줄이는 데 도움이 됩니다

 ⅱ. wevtutil epl은 이벤트 로그를 자체 포함(self-contained) 형식의 .evtx 파일로 내보내는 용도입니다.
   1) System 로그 전체를 EVTX로 내보내기

epl(export-log)을 이용해 지정한 채널(System)을 EVTX 파일로 저장 wevtutil epl System C:\Temp\System.evtx

   2) Application 로그 전체를 EVTX로 내보내기

epl(export-log)을 이용해 지정한 채널(Application)을 EVTX 파일로 저장 wevtutil epl Application C:\Temp\Application.evtx

  3) Security 로그 전체를 EVTX로 내보내기

epl(export-log)을 이용해 지정한 채널(Security)을 EVTX 파일로 저장 wevtutil epl Security C:\Temp\Security.evtx