1. 개요
윈도우 시스템의 문제를 진단하는데 사용된다.
2. 이벤트 로그 파일
이벤트 로그는 EVTX 파일 형식으로 저장된다.
2.1. 이벤트 로그 파일의 위치
윈도우 이벤트 로그파일들은 %SystemRoot%\System32\winevt\logs에 위치한다.
이벤트 로그파일들의 내용을 읽고 처리하려면 high integrity 권한을 가진 프로세스를 실행해야 한다.
다음은 파일 탐색기로 접근한 해당 폴더에 대한 그림이다.
2.2. 이벤트 로그 파일 분류
다음은 주요 이벤트 로그와 그에 대한 설명이다.
파일이름 | 설명 |
Application.evtx | 응용 프로그램 로그 각각의 응용 프로그램에서 기록한 이벤트를 기록 |
Internet Explorer.evtx | Internet Explorer 이벤트 |
OSession.evtx | Office sessions 이벤트 |
Security.evtx | 보안 로그 로그온 시도 및 파일 생성, 열람, 삭제 등의 리소스 사용에 관련된 이벤트를 기록 감사로그 설정을 통해 다양한 보안 이벤트 저장이 가능 |
Setup.evtx | Setup events |
System.evtx | System events Windows 시스템 구성요소가 기록하는 이벤트로 시스템 부팅 시, 드라이버가 로드되지 않는 경우와 같이 구성요소의 오류를 이벤트에 기록 |
2.3. 이벤트 로그 파일 내 항목
- EventID: 이벤트 타입을 나타내는 식별번호
- Date and Time: 이벤트가 발생한 날짜와 시간
-
2.4. evtx 파일 포맷
Offset | 크기 | 값 | 설명 |
0 | 8 | "ElfFile\x00" | Signature |
8 | 8 | First chunk number | |
16 | 8 | Last chunk number | |
24 | 8 | Next record identifier | |
32 | 4 | 128 | Header Size |
36 | 2 | Minor format version | |
38 | 2 | Major format version | |
40 | 2 | 4096 | Header block size |
42 | 2 | Number of chunks | |
44 | 76 | Unknown | |
120 | 4 | File flags | |
124 | 4 | Checksum | |
128 | 3968 | Unknown |
3. 관련 도구
2.1. 이벤트 뷰어 (Event Viewer)
이벤트 뷰어는 마이크로소프트 Windows NT운영체제에 포함되어있다.
eventvwr.msc 명령실행을 통해 실행할 수 있다.
이 도구를 이용하여 로그의 내용을 확인할 수 있다.
다음은 이벤트 뷰어 화면이다.
2.2. eventcreate
다음은 cmd에서 확인한 eventcreate 사용법이다.
3.3. PowerShell의 Get-WinEvent 명령
4. 참고자료
- eventcreate 커맨드
https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/eventcreate
eventcreate
Reference article for the eventcreate command, which enables an administrator to create a custom event in a specified event log.
docs.microsoft.com
- PowerShell의 Get-WinEvent 명령
Get-WinEvent (Microsoft.PowerShell.Diagnostics) - PowerShell
This cmdlet is only available on the Windows platform. The Get-WinEvent cmdlet gets events from event logs, including classic logs, such as the System and Application logs. The cmdlet gets data from event logs that are generated by the Windows Event Log te
docs.microsoft.com