윈도우는 기본적으로 시스템에 접속로그가 남지 않는다.!!!
ndows에서는 내부적으로 엄청나게 많은 일들이 일어나게 되는데, 이를 사용자가 파악하기란 불가능합니다. 물론 Windows라는 운영체제에만 국한되는 것은 아닙니다. 그렇기 때문에 컴퓨터에서 일어나는 ‘중요한 이벤트’들은 자동적으로 기록되도록 하는 것이지요. 그러나 기록되는 로그 역시 역시도 일부에 지나지 않습니다.
대부분의 사용자들은 Windows가 정상적으로 작동하지 못하는 경우, 단순히 출력되는 오류 메시지만을 가지고 해결하려고 하는데요. 이미 알려진 오류로써 이슈가 된 경우라면 비교적 쉽게 해결이 가능합니다만, 그렇지 않다면 마이크로소프트의 문서들을 참조해서 해결을 해야 합니다.
이벤트 오류는 보고되는 메시지 자체로도 쉽게 해결이 가능한 경우도 있습니다만, 실제적으로 Windows에 대한 많은 지식이 있지 않다면, 메시지가 무엇을 의미하는지 파악하기가 힘든 경우도 있습니다. 그러나 파워유저라면 기본적인 로그들이 무엇인지는 알고 있어야 할 것입니다.
자주 접할 수 있는 기본 로그들
전역 로그 - 응용 프로그램, 시스템, 설치, 보안과 함께 전달된 이벤트 로그(orwardedEvents)를 포함하는 것으로써 이벤트 뷰어의 보기(View)에서 관리 이벤트 상에 나타나는 로그를 칭합니다. 전체 로그를 카테고리 분류 없이 일목요연하게 발생시간 별로 나열해 주게 됩니다.
응용 프로그램 로그 - Windows 번들 소프트웨어를 비롯해서 사용자의 어플리케이션의 이벤트를 저장합니다. 사용자가 구입한 어플리케이션들의 경우 설치는 물론 작동 시에도 로그가 기록 되도록 개발된 것이 좋은 어플리케이션이라고 할 수 있습니다.
보안 로그 - 이 로그는 보안 관련된 이벤트 로그만을 기록합니다. 보안 관련된 프로그램의 동작을 모니터링하면서 그 외에도 Windows 로그온, 네트워크 등 다양한 보안 로드들이 기록됩니다.
설치 로그 - 어플리케이션 설치 시 발생하는 이벤트를 기록합니다. 프로그램이 잘 설치되었는지 그리고 호환성문제가 일어나지 않는지 이 기록을 보면 알 수 있습니다.
전달된 이벤트(ForwardedEvents) 로그 - 로컬 컴퓨터의 이벤트뿐만이 아닌 원격 컴퓨터에서 전달된 이벤트도 수집이 가능합니다. 이를 이용하면, 로그만을 기록하는 전용 컴퓨터, 로그 서버도 가능합니다. 사고 시에를 대비해서 로그는 별도의 컴퓨터로 구성하는 것이 좋습니다.
이벤트 로그가 기록되는 경로와 로그 확장자
로컬 컴퓨터의 경우 로그 파일이 저장되는 경로는 아래와 같습니다.
%systemroot%system32\winevt\Logs이고 확장자는 evtx를 사용하며, dir 명령어 파일 목록을 확인하면 아래와 같은 파일들을 보여주게 됩니다.
appliacation.evtx = 응용 프로그램 로그파일
system.evtx = 시스템 로그파일
setup.evtx = 설치 로그파일
security.evtx = 보안 로그파일
로그 파일 유틸리티 wevtutil (Windows Event Viewer Utility)
wevtutil는 Windows가 제공하는 명령줄 도구입니다. 이를 이용하면 로그 파일을 관리할 수 있습니다. 아래는 어플리케이션 로그를 삭제하려는 ‘명령 샘플’입니다.
(wevtutil에 대한 좀 더 자세한 사항은 usages 차원에서 자세히 다루겠습니다.)
wevtutil cl application
;위에 명령은 응용 프로그램 로그파일의 내용을 비우므로 로그 삭제와 동일합니다. 배치파일을 이용해서 동시에 여러 개의 로그파일도 삭제할 수 있습니다. 예를들면 ‘clear_all_log.bat’을 아랴와 같이 작성합니다.
type clear_all_log.bat
wevtutil cl application
wevtutil cl setup
wevtutil cl security
wevtutil cl system
간단하게 이벤트 로그에 대해서 살펴보았지만 시스템 관리자나 서버 관리자 수준에 도달하려면 vbs와 같은 스크립트를 언어를 통해서 이러한 시스템 관리 전용 스크립트를 직접 개발하거나 잘 다룰 줄 알아야 할 것입니다.
ndows에서는 내부적으로 엄청나게 많은 일들이 일어나게 되는데, 이를 사용자가 파악하기란 불가능합니다. 물론 Windows라는 운영체제에만 국한되는 것은 아닙니다. 그렇기 때문에 컴퓨터에서 일어나는 ‘중요한 이벤트’들은 자동적으로 기록되도록 하는 것이지요. 그러나 기록되는 로그 역시 역시도 일부에 지나지 않습니다.
이벤트 오류는 보고되는 메시지 자체로도 쉽게 해결이 가능한 경우도 있습니다만, 실제적으로 Windows에 대한 많은 지식이 있지 않다면, 메시지가 무엇을 의미하는지 파악하기가 힘든 경우도 있습니다. 그러나 파워유저라면 기본적인 로그들이 무엇인지는 알고 있어야 할 것입니다.
자주 접할 수 있는 기본 로그들
전역 로그 - 응용 프로그램, 시스템, 설치, 보안과 함께 전달된 이벤트 로그(orwardedEvents)를 포함하는 것으로써 이벤트 뷰어의 보기(View)에서 관리 이벤트 상에 나타나는 로그를 칭합니다. 전체 로그를 카테고리 분류 없이 일목요연하게 발생시간 별로 나열해 주게 됩니다.
응용 프로그램 로그 - Windows 번들 소프트웨어를 비롯해서 사용자의 어플리케이션의 이벤트를 저장합니다. 사용자가 구입한 어플리케이션들의 경우 설치는 물론 작동 시에도 로그가 기록 되도록 개발된 것이 좋은 어플리케이션이라고 할 수 있습니다.
보안 로그 - 이 로그는 보안 관련된 이벤트 로그만을 기록합니다. 보안 관련된 프로그램의 동작을 모니터링하면서 그 외에도 Windows 로그온, 네트워크 등 다양한 보안 로드들이 기록됩니다.
설치 로그 - 어플리케이션 설치 시 발생하는 이벤트를 기록합니다. 프로그램이 잘 설치되었는지 그리고 호환성문제가 일어나지 않는지 이 기록을 보면 알 수 있습니다.
전달된 이벤트(ForwardedEvents) 로그 - 로컬 컴퓨터의 이벤트뿐만이 아닌 원격 컴퓨터에서 전달된 이벤트도 수집이 가능합니다. 이를 이용하면, 로그만을 기록하는 전용 컴퓨터, 로그 서버도 가능합니다. 사고 시에를 대비해서 로그는 별도의 컴퓨터로 구성하는 것이 좋습니다.
이벤트 로그가 기록되는 경로와 로그 확장자
로컬 컴퓨터의 경우 로그 파일이 저장되는 경로는 아래와 같습니다.
%systemroot%system32\winevt\Logs이고 확장자는 evtx를 사용하며, dir 명령어 파일 목록을 확인하면 아래와 같은 파일들을 보여주게 됩니다.
appliacation.evtx = 응용 프로그램 로그파일
system.evtx = 시스템 로그파일
setup.evtx = 설치 로그파일
security.evtx = 보안 로그파일
로그 파일 유틸리티 wevtutil (Windows Event Viewer Utility)
wevtutil는 Windows가 제공하는 명령줄 도구입니다. 이를 이용하면 로그 파일을 관리할 수 있습니다. 아래는 어플리케이션 로그를 삭제하려는 ‘명령 샘플’입니다.
(wevtutil에 대한 좀 더 자세한 사항은 usages 차원에서 자세히 다루겠습니다.)
wevtutil cl application
;위에 명령은 응용 프로그램 로그파일의 내용을 비우므로 로그 삭제와 동일합니다. 배치파일을 이용해서 동시에 여러 개의 로그파일도 삭제할 수 있습니다. 예를들면 ‘clear_all_log.bat’을 아랴와 같이 작성합니다.
type clear_all_log.bat
wevtutil cl application
wevtutil cl setup
wevtutil cl security
wevtutil cl system
간단하게 이벤트 로그에 대해서 살펴보았지만 시스템 관리자나 서버 관리자 수준에 도달하려면 vbs와 같은 스크립트를 언어를 통해서 이러한 시스템 관리 전용 스크립트를 직접 개발하거나 잘 다룰 줄 알아야 할 것입니다.
'OS > windows server 2003' 카테고리의 다른 글
| 0604 보안템플릿 감사 및 보안로그 (0) | 2011.06.03 |
|---|---|
| 0602 조직구조내 개체에 대학 엑세스 관리 (0) | 2011.06.02 |
| 0531 1,2,3 장 사용자계정관련 (0) | 2011.06.02 |
| 0601 그룹관리, 엑세스 제어, printer (0) | 2011.06.01 |
