wevtutil(Windows Event Utility)에 대해 알아보겠습니다.

Ⅰ. wevtutil(Windows Event Utility) 이란?

 Windows에 내장된 이벤트 로그/게시자(Event Publisher) 관리용 CLI 도구입니다. GUI(이벤트 뷰어)의 한계를 넘어 스크립트, 원격 제어, 업무 자동화를 구현할 때 필수적으로 사용됩니다.

Ⅱ. wevtutil(Windows Event Utility) 기본 문법 및 공통 옵션

wevtutil의 기본 구조는 [명령] + [대상] + [옵션]으로 이루어집니다.

기본 형태 wevtutil COMMAND [ARG...] [/OPTION:VALUE ...] 원격 실행 옵션: /r:원격PC, /u:계정, /p:암호, /a:인증방식 상세 도움말: wevtutil  /?

Ⅲ. wevtutil(Windows Event Utility) 실무 활용 핵심 명령어 TOP 7

 ⅰ. el (enum-logs) : 전체 로그 채널 나열
서버나 PC에 존재하는 모든 로그 채널 목록을 확인합니다.

wevtutil el

 

ⅱ. gl / gli : 로그 설정 및 상태 정보 확인
 1) gl (get-log): 로그 구성(최대 크기, 보존 정책 등) 확인

wevtutil gl Security

 

 

2)  gli (get-log-info): 현재 로그 파일 크기, 작성 시간 등 상태 정보 확인

wevtutil gli Security

ⅲ.  qe (query-events) : 이벤트 조건 조회 (필터링)
XPath 쿼리를 사용하여 특정 조건의 이벤트를 추출합니다.
/c:N : 출력 개수 제한
/f:text|xml : 출력 형식 지정

# 시스템 로그에서 최근 20개만 텍스트로 조회 wevtutil qe System /c:20 /f:text

# 시스템 로그 중 '오류(Level 2)' 수준으로 2개만 쿼리 wevtutil qe System "/q:*[System[(Level=2)]]" /c:2 /f:text

 

ⅴ. epl (export-log) : 로그 내보내기 (증적 확보)

# 이벤트를 .evtx 파일로 저장합니다. /ow:true 옵션을 사용하여 기존 파일을 덮어쓰기 wevtutil epl System C:\Temp\System.evtx /ow:true

 

ⅵ. al (archive-log) : 내보낸 로그 보관

# 내보내진 로그 파일을 아카이브(보관) 형태로 변환 wevtutil al C:\Temp\System.evtx

ⅶ. cl (clear-log) : 로그 즉시 삭제 (주의)

# 특정 채널의 모든 로그를 비웁니다.  wevtutil cl System ※ 감사 정책에 따라 증거 인멸 이슈가 발생할 수 있으니 주의

Ⅳ0.0 wevtutil(Windows Event Utility) 원격 서버 실행 예시

원격 PC(SERVER01)에 접속하여 특정 경로로 로그를 내보낼 때의 조합입니다.

wevtutil /r:SERVER01 /u:DOMAIN\admin /p:PASSWORD epl System C:\Temp\System.evtx /ow:true

 

Ⅴ. wevtutil(Windows Event Utility) 자주 겪는 트러블슈팅 

 ⅰ. 권한 문제 (Access Denied):
 Security 채널은 일반 로그보다 권한이 엄격합니다. 반드시 [관리자 권한으로 실행]하거나, 계정이 Event Log Readers 그룹에 속해 있는지 확인이 필요합니다.
 ⅱ. 필터 쿼리(XPath)의 난이도
 복잡한 조건은 GUI보다 /q:(XPath) 옵션이 훨씬 강력합니다. 결과를 일단 /f:xml로 추출한 뒤, 파이썬이나 파워쉘 스크립트로 후처리하는 패턴을 추천합니다.