1. 이벤트 로그란?

여러분의 컴퓨터는 매일 수천 개의 작업을 하면서 그 기록을 남기고 있습니다. 프로그램이 시작되고 종료될 때, 시스템 오류가 발생할 때, 보안 관련 이벤트가 발생할 때… 이 모든 기록이 바로 이벤트 로그입니다.

이벤트 로그는 윈도우의 ‘블랙박스’라고 생각하시면 됩니다. 컴퓨터에 무슨 일이 일어났는지 기록해두는 디지털 일지인 셈이죠. 문제가 생겼을 때 가장 먼저 확인해야 할 곳이 바로 이 이벤트 로그입니다.

이벤트 로그의 구성 요소

모든 이벤트 로그 항목에는 다음과 같은 중요한 정보가 포함됩니다:

• 날짜 및 시간: 이벤트가 발생한 정확한 시점
• 소스: 이벤트를 생성한 프로그램, 서비스 또는 구성 요소
• 이벤트 ID: 특정 이벤트 유형을 식별하는 고유 번호
• 수준: 정보, 경고, 오류, 중대 등의 심각도
• 설명: 이벤트에 대한 상세 설명과 관련 데이터

이러한 정보를 통해 시스템에서 발생한 문제의 정확한 원인과 시점을 파악할 수 있으며, 이는 문제 해결의 첫 단추가 됩니다.

 

2. 이벤트 로그를 확인해야 하는 이유

컴퓨터에 문제가 생겼을 때 단순히 “갑자기 꺼졌어요” 또는 “느려졌어요”라고만 말하면 원인을 찾기 어렵습니다. 이벤트 로그는 이런 문제의 정확한 원인과 시간을 알려주는 중요한 단서가 됩니다.

이벤트 로그를 확인하면:

• 블루스크린의 원인을 찾을 수 있습니다: 블루스크린 발생 직전의 로그를 분석해 정확한 원인(드라이버 충돌, 하드웨어 오류 등)을 파악할 수 있습니다.
• 하드웨어 문제를 미리 감지할 수 있습니다: 디스크 오류, 메모리 문제, 전원 관련 경고 등이 실제 장애로 발전하기 전에 감지됩니다.
• 보안 위협을 발견할 수 있습니다: 의심스러운 로그인 시도, 방화벽 위반, 권한 변경 등의 보안 이벤트를 추적할 수 있습니다.
• 시스템 성능 저하의 원인을 파악할 수 있습니다: 리소스 부족, 응답하지 않는 서비스, 애플리케이션 충돌 등 성능 저하의 원인을 찾을 수 있습니다.
• 네트워크 연결 문제를 진단할 수 있습니다: 네트워크 드라이버 오류, IP 충돌, DNS 문제 등의 연결 장애 원인을 파악할 수 있습니다.
• 윈도우 업데이트 오류를 분석할 수 있습니다: 업데이트 실패 원인과 해결 방안을 찾을 수 있습니다.

IT 전문가들에게 이벤트 로그는 단순한 기록이 아닌 시스템 진단의 필수 도구입니다. 정기적으로 이벤트 로그를 확인하는 습관을 들이면 많은 문제를 사전에 예방할 수 있습니다.

 

3. 이벤트 뷰어 실행하는 5가지 방법

방법 1: 시작 메뉴에서 실행하기

1. 시작 버튼을 클릭합니다 (또는 윈도우 키를 누릅니다)
2. 검색창에 “이벤트 뷰어” 또는 “Event Viewer”를 입력합니다
3. 검색 결과에서 “이벤트 뷰어”를 클릭합니다

이 방법으로 확인 가능한 장애:

• 일상적인 모든 시스템 이벤트 확인 가능
• 최근 발생한 중요 이벤트가 요약 화면에 바로 표시됨
• 컴퓨터가 갑자기 느려지거나 프로그램이 충돌한 경우 빠르게 원인 파악 가능

방법 2: 실행 명령어 사용하기

1. 윈도우 키 + R을 눌러 실행 창을 엽니다
2. “eventvwr.msc”를 입력합니다
3. 확인 버튼을 클릭합니다

이 방법으로 확인 가능한 장애:

• 가장 빠르게 이벤트 뷰어에 접근할 수 있어 긴급 상황에서 유용
• GUI가 느리게 반응하는 상황에서도 빠르게 실행 가능
• 원격 데스크톱 연결 시 서버 문제를 신속하게 진단할 때 효과적

방법 3: 제어판에서 실행하기

1. 제어판을 엽니다
2. “관리 도구”를 클릭합니다
3. “이벤트 뷰어”를 더블클릭합니다

이 방법으로 확인 가능한 장애:

• 다른 관리 도구들과 함께 사용할 때 편리함 (예: 디스크 관리, 서비스 관리)
• 시스템 설정 변경 후 발생한 문제를 진단할 때 효과적
• 관리 도구들을 순차적으로 확인하며 종합적인 시스템 진단 가능

방법 4: 컴퓨터 관리에서 접근하기

1. 컴퓨터(또는 내 PC)에서 오른쪽 클릭합니다
2. “관리”를 선택합니다
3. 왼쪽 패널에서 “이벤트 뷰어”를 클릭합니다

이 방법으로 확인 가능한 장애:

• 디스크, 장치 관리자, 서비스 등과 함께 확인하여 하드웨어 관련 문제 종합 진단
• 특히 스토리지 문제(디스크 오류, 볼륨 문제)와 연계된 이벤트 로그 확인에 유용
• 드라이버 충돌이나 하드웨어 리소스 할당 문제 파악에 효과적

방법 5: PowerShell 또는 명령 프롬프트에서 실행하기

1. PowerShell 또는 명령 프롬프트를 관리자 권한으로 실행합니다
2. eventvwr 명령어를 입력하고 엔터를 누릅니다

이 방법으로 확인 가능한 장애:

• GUI가 제대로 작동하지 않는 심각한 시스템 문제 상황에서도 접근 가능
• PowerShell과 연계하여 이벤트 로그를 자동으로 분석하는 스크립트 실행 가능
• 원격 서버 관리나 자동화된 시스템 관리 환경에서 효과적
• 네트워크 문제 진단 시 다른 명령어(ipconfig, ping 등)와 함께 사용하면 효율적

 

4. 이벤트 로그 종류 및 의미

이벤트 뷰어를 열면 왼쪽에 다양한 로그 카테고리가 있습니다. 가장 중요한 것들은 다음과 같습니다:

Windows 로그

• 응용 프로그램(Application):
  • 설치된 프로그램들의 이벤트 기록
  • 확인 가능한 장애: 프로그램 충돌, 응답 없음, DLL 로딩 실패, 데이터베이스 연결 오류, 업데이트 실패
  • 주목해야 할 소스: .NET Runtime, Application Error, Windows Error Reporting
• 보안(Security):
  • 로그인 시도, 파일 접근 등 보안 관련 이벤트
  • 확인 가능한 장애: 비정상적인 로그인 시도, 권한 변경, 계정 잠금, 감사 정책 변경, 민감한 파일 접근
  • 주목해야 할 소스: Microsoft Windows security auditing
• 시스템(System):
  • 윈도우 시스템 자체의 이벤트 (가장 많이 확인하는 로그)
  • 확인 가능한 장애: 드라이버 오류, 서비스 실패, 부팅 문제, 하드웨어 오류, 블루스크린, 전원 문제
  • 주목해야 할 소스: Kernel-Power, Service Control Manager, Disk, DCOM, DriverFrameworks
• 설치(Setup):
  • 윈도우 업데이트나 프로그램 설치 관련 이벤트
  • 확인 가능한 장애: 업데이트 설치 실패, 패치 적용 오류, 업그레이드 문제
  • 주목해야 할 소스: Microsoft-Windows-Setup, Windows Servicing
• 전달된 이벤트(Forwarded Events):
  • 네트워크의 다른 컴퓨터에서 전달된 이벤트
  • 확인 가능한 장애: 네트워크 전체의 이상 징후, 여러 서버에 걸친 동기화 문제, 분산 서비스 오류
  • 주목해야 할 소스: 다른 서버에서 전달된 중요 이벤트 소스

이벤트 수준 이해하기

각 이벤트는 수준(Level)에 따라 분류됩니다:

• 정보(Information):
  • 일반적인 작업 완료, 별다른 문제 없음
  • 예시: 서비스 시작/종료, 사용자 로그인, 정상적인 시스템 이벤트
  • 대응 방법: 일반적으로 별도 조치 불필요, 문제 해결 시 참고 정보로 활용
• 경고(Warning):
  • 잠재적 문제, 즉각적인 조치는 필요 없음
  • 예시: 디스크 공간 부족, 메모리 사용량 증가, 일시적 네트워크 연결 끊김
  • 대응 방법: 추세를 모니터링하고, 반복되거나 증가하면 예방 조치 필요
  • 주의사항: 여러 경고가 지속적으로 나타나면 향후 심각한 오류의 전조일 수 있음
• 오류(Error):
  • 기능 손실이 발생한 심각한 문제
  • 예시: 서비스 시작 실패, 드라이버 로드 오류, 중요 리소스 접근 불가
  • 대응 방법: 즉각적인 주의가 필요하며, 관련 구성 요소 재시작 또는 설정 변경 고려
  • 진단 팁: 오류 직전 발생한 다른 이벤트들을 함께 검토하여 원인 파악
• 중대(Critical):
  • 복구 불가능한 시스템 또는 앱 장애
  • 예시: 커널 패닉, 블루스크린, 하드웨어 오류, 전원 문제, 시스템 충돌
  • 대응 방법: 즉각적인 조치가 필요하며, 시스템 재시작이나 하드웨어 점검 필수
  • 복구 전략: 이벤트 ID와 함께 오류 메시지를 검색하여 Microsoft 지원 문서 참조
• 자세히(Verbose):
  • 디버깅을 위한 상세 정보
  • 예시: 개발자나 고급 사용자를 위한 상세한 작업 과정 기록
  • 활용 방법: 특정 문제를 심층적으로 분석할 때 유용, 일반적으로는 비활성화 상태로 유지
  • 주의사항: 대량의 로그를 생성하므로 필요할 때만 활성화

 

5. 주요 이벤트 ID와 해결 방법

이벤트 로그에서 가장 많이 만나게 될 중요한 이벤트 ID와 그 의미, 해결 방법을 알아봅시다.

시스템 로그에서 자주 보는 이벤트 ID

전원 및 부팅 관련 문제

• 이벤트 ID 41: 예기치 않은 시스템 재부팅 (전원 문제 의심)
  • 증상: 갑작스러운 시스템 재부팅, 블랙아웃 후 복구
  • 원인: 전원 공급 불안정, PSU 문제, 과열, 전력 서지
  • 해결법:
    • 전원 공급 장치 확인 및 필요시 교체
    • UPS(무정전 전원 공급 장치) 사용 고려
    • 시스템 내부 먼지 제거 및 냉각 시스템 점검
    • BIOS 업데이트 확인
• 이벤트 ID 6008: 비정상적인 시스템 종료
  • 증상: 시스템이 정상적인 종료 과정 없이 강제 종료됨
  • 원인: 하드웨어 오류, 메모리 문제, 드라이버 충돌, 전원 문제
  • 해결법:
    • Windows Memory Diagnostic로 메모리 검사 실행
    • 최신 드라이버 업데이트 확인
    • 시스템 파일 무결성 검사: sfc /scannow 명령 실행
    • 최근 설치된 하드웨어나 소프트웨어 검토

애플리케이션 및 서비스 문제

• 이벤트 ID 1001: 시스템 오류 검사(Windows Error Reporting)
  • 증상: 애플리케이션 충돌, 응답 없음 상태
  • 원인: 소프트웨어 버그, 호환성 문제, 손상된 파일, 리소스 부족
  • 해결법:
    • 관련 앱 업데이트 또는 재설치
    • 호환성 모드에서 실행 시도
    • 애플리케이션 데이터 폴더 정리
    • 필요한 런타임 구성 요소(예: .NET Framework, Visual C++) 설치 확인
• 이벤트 ID 7031/7034: 서비스 충돌 또는 비정상 종료
  • 증상: 특정 기능 작동 중지, 네트워크 연결 문제, 주변 장치 인식 실패
  • 원인: 서비스 종속성 문제, 권한 오류, 리소스 충돌, 악성 코드
  • 해결법:
    • 서비스 속성에서 자동 재시작 설정
    • 서비스 로그온 계정 확인
    • 선택적 시작으로 부팅하여 서비스 충돌 식별
    • 악성 코드 검사 실행

디스크 및 파일 시스템 문제

• 이벤트 ID 55: 파일 시스템 구조 손상
  • 증상: 파일 접근 오류, 느린 디스크 성능, 파일 손실
  • 원인: 갑작스러운 전원 차단, 하드웨어 오류, 섹터 손상
  • 해결법:
    • CHKDSK /f /r 명령으로 디스크 검사 실행
    • SMART 도구로 디스크 상태 확인
    • 중요 데이터 백업 후 필요시 디스크 교체
    • 디스크 드라이버 업데이트
• 이벤트 ID 157: 디스크 컨트롤러 오류
  • 증상: 느린 디스크 응답, I/O 오류, 랜덤 시스템 지연
  • 원인: 케이블 연결 불량, 컨트롤러 오류, 드라이버 문제
  • 해결법:
    • SATA/전원 케이블 재연결 또는 교체
    • 다른 SATA 포트로 연결 시도
    • 디스크 컨트롤러 드라이버 업데이트
    • BIOS/펌웨어 업데이트

 

6. 고급 필터링 기법으로 문제 빠르게 찾기

이벤트 로그에는 수천 개의 항목이 있어 원하는 정보를 찾기 어려울 수 있습니다. 다음 필터링 방법으로 문제를 빠르게 찾아보세요:

필터 만들기 방법

1. 확인하려는 로그(예: 시스템)를 오른쪽 클릭합니다
2. “현재 로그 필터링”을 선택합니다
3. 이벤트 수준(경고, 오류, 중대 등)을 선택합니다
4. 필요하다면 이벤트 ID, 소스, 날짜 범위 등을 지정합니다
5. 확인을 클릭합니다

효과적인 필터링 사례와 장애 진단

• 블루스크린 문제 분석:
  • 로그: 시스템
  • 이벤트 수준: 중대, 오류
  • 이벤트 ID: 41, 1001, 6008
  • 시간 범위: 블루스크린 발생 10분 전 ~ 재부팅 이후
  • 진단 포인트: Kernel-Power 이벤트와 BugCheck 관련 세부 정보 확인
• 네트워크 연결 문제 진단:
  • 로그: 시스템
  • 소스: Tcpip, NETIO, Dhcp, Dnscache
  • 이벤트 수준: 오류, 경고
  • 진단 포인트: IP 충돌, DNS 해결 실패, DHCP 갱신 오류 확인
• 디스크 오류 사전 감지:
  • 로그: 시스템
  • 소스: disk, ntfs, volsnap
  • 이벤트 수준: 경고, 오류
  • 진단 포인트: 반복적인 I/O 오류, 섹터 재할당, 지연된 쓰기 작업 확인
• 서비스 실패 분석:
  • 로그: 시스템
  • 소스: Service Control Manager
  • 이벤트 ID: 7031, 7034, 7000
  • 진단 포인트: 의존성 서비스 상태, 실패 시간 패턴, 리소스 사용량 연관성 확인

사용자 지정 보기 만들기

1. 왼쪽 패널에서 “사용자 지정 보기”를 오른쪽 클릭합니다
2. “사용자 지정 보기 만들기”를 선택합니다
3. 원하는 조건(시간, 이벤트 수준, 로그, ID 등)을 설정합니다
4. 보기 이름을 입력하고 확인을 클릭합니다

이렇게 만든 사용자 정의 보기는 나중에 다시 사용할 수 있어 편리합니다.

유용한 사용자 지정 보기 템플릿

1. 시스템 안정성 모니터링

• 목적: 시스템 불안정성과 충돌 모니터링
• 설정:
  • 로그 선택: 시스템, 응용 프로그램
  • 이벤트 수준: 중대, 오류
  • 이벤트 소스: Kernel-Power, BugCheck, Windows Error Reporting
  • 기간: 지난 7일
• 확인 가능한 장애: 전원 문제, 블루스크린, 중요 드라이버 충돌, 하드웨어 오류

2. 보안 이벤트 감사

• 목적: 의심스러운 로그인 활동과 권한 변경 모니터링
• 설정:
  • 로그 선택: 보안
  • 이벤트 ID: 4624-4625(로그인/실패), 4720-4738(사용자 계정 관리), 4672(특별 권한 할당)
  • 키워드: 감사 실패
• 확인 가능한 장애: 무차별 대입 공격, 권한 상승 시도, 의심스러운 계정 활동

3. 디스크 상태 모니터링

• 목적: 디스크 하드웨어 문제 조기 발견
• 설정:
  • 로그 선택: 시스템
  • 소스: disk, ntfs, volmgr, storahci
  • 이벤트 수준: 경고, 오류, 중대
• 확인 가능한 장애: 임박한 디스크 오류, 섹터 재할당, 파일 시스템 손상, RAID 오류

4. 네트워크 연결 진단

• 목적: 네트워크 연결 및 인터넷 접속 문제 진단
• 설정:
  • 로그 선택: 시스템, 응용 프로그램
  • 소스: Tcpip, NETIO, Dhcp, Dnscache, WLAN-AutoConfig
  • 이벤트 수준: 경고, 오류
• 확인 가능한 장애: DNS 문제, DHCP 오류, 네트워크 어댑터 오류, Wi-Fi 연결 문제

 

7. PowerShell로 이벤트 로그 관리하기

GUI보다 더 강력한 기능이 필요하다면, PowerShell을 사용해보세요:

기본 이벤트 조회

Get-EventLog -LogName System -Newest 10

특정 이벤트 ID 찾기

Get-WinEvent -FilterHashtable @{LogName='System'; ID=41}

오류 이벤트만 찾기

Get-WinEvent -FilterHashtable @{LogName='System'; Level=2}

결과를 파일로 내보내기

Get-WinEvent -FilterHashtable @{LogName='System'; Level=2} | Export-Csv -Path C:\errors.csv

 

8. 윈도우 서버 환경에서의 이벤트 로그 활용

서버 관리자라면 이벤트 로그는 더욱 중요합니다:

원격 서버 이벤트 로그 확인 방법

1. 이벤트 뷰어를 엽니다
2. 왼쪽 패널에서 “이벤트 뷰어(로컬)”를 오른쪽 클릭합니다
3. “다른 컴퓨터에 연결”을 선택합니다
4. 서버 이름 또는 IP 주소를 입력합니다
5. 필요한 인증 정보를 입력합니다

서버 환경 특화 이벤트 로그 분석

1. 윈도우 서버 서비스 장애 진단

• 중점 확인 로그: 시스템, 응용 프로그램, Microsoft-Windows-*
• 핵심 이벤트 소스:
  • IIS 웹 서버: Microsoft-Windows-IIS-*, W3SVC
  • SQL Server: MSSQLSERVER, SQLServerAgent
  • Active Directory: Directory-Services-SAM, NTDS
  • Hyper-V: Microsoft-Windows-Hyper-V-*
• 확인 가능한 장애:
  • 웹 사이트 중단 및 응용 프로그램 풀 충돌
  • 데이터베이스 연결 문제 및 트랜잭션 오류
  • 도메인 인증 실패 및 복제 오류
  • 가상 머신 스냅샷 오류 및 리소스 경합 문제
• 대응 전략:
  • 관련 서비스 재시작 전 이벤트 로그 보존
  • 서비스별 진단 로깅 수준 일시적 증가
  • 반복 패턴 파악을 위한 시간별 이벤트 분석

2. 클러스터 서비스 문제 진단

• 중점 확인 로그: Microsoft-Windows-FailoverClustering/*, Microsoft-Windows-ClusterAwareUpdating/*
• 핵심 이벤트 ID: 1069(리소스 실패), 1177(네트워크 통신 문제), 5120(노드 분리)
• 확인 가능한 장애:
  • 클러스터 노드 간 통신 단절
  • 공유 스토리지 접근 오류
  • 리소스 장애 및 페일오버 실패
  • 쿼럼 구성 문제
• 연관 분석:
  • 스토리지 및 네트워크 이벤트 로그와 상관관계 확인
  • 클러스터 리소스 종속성 맵 검토

서버 이벤트 로그 모니터링 팁

• 주기적으로 백업:
  • wevtutil epl System C:\backup\system.evtx 명령 활용
  • 백업을 자동화하여 주요 장애 발생 시 히스토리 보존
  • 백업 파일 명명 규칙에 날짜 포함: system_YYYYMMDD.evtx
• 중요 이벤트에 대한 알림 설정:
  • 작업 스케줄러와 PowerShell 스크립트 연동
  • 중요 오류 발생 시 이메일 또는 SMS 알림 구성
  • 예시 설정:

    # 특정 이벤트 ID(예: 41) 감시 및 이메일 알림 스크립트$events = Get-WinEvent -FilterHashtable @{LogName='System'; ID=41} -MaxEvents 1if ($events.Count -gt 0) {    Send-MailMessage -To "admin@example.com" -Subject "서버 전원 문제 감지" -Body "시스템 이벤트 ID 41이 감지되었습니다."}
    

• 여러 서버 로그 통합 관리:
  • 이벤트 수집 구독 설정
  • 수집기 서버 구성 단계:
    1. wecutil qc 명령으로 이벤트 수집기 구성
    2. 그룹 정책에서 원격 이벤트 로그 관리 권한 설정
    3. Windows Remote Management(WinRM) 서비스 활성화
  • 중앙 집중식 모니터링으로 여러 서버 간 연관된 장애 패턴 식별 가능
• 성능 카운터와 이벤트 로그 연계 분석:
  • 리소스 병목 현상과 이벤트 로그 오류의 상관관계 파악
  • 성능 모니터(perfmon)와 이벤트 로그 타임스탬프 비교
  • 메모리 누수, CPU 스파이크, 디스크 지연과 관련 이벤트 패턴 식별
• Windows Admin Center 활용:
  • 최신 서버 관리에서는 Windows Admin Center를 통한 통합 로그 분석 가능
  • 여러 서버의 이벤트 로그를 웹 인터페이스에서 동시에 모니터링
  • 클러스터 이벤트, 저장소 이벤트, 성능 데이터를 단일 대시보드에서 확인

 

9. 자주 묻는 질문 (FAQ)

Q: 이벤트 로그 파일은 어디에 저장되나요?

A: C:\Windows\System32\winevt\Logs 폴더에 .evtx 확장자로 저장됩니다. 각 로그 유형(시스템, 응용 프로그램, 보안 등)별로 별도의 파일이 있습니다. 이 파일들은 특수한 형식으로 저장되어 있어 이벤트 뷰어나 특정 도구를 통해서만 제대로 읽을 수 있습니다.

Q: 이벤트 로그가 너무 커져서 시스템이 느려질 수 있나요?

A: 예, 오래된 로그를 정리하는 것이 좋습니다. 로그 속성에서 최대 크기를 설정할 수 있습니다. 로그 속성 설정 방법:

1. 로그 이름(예: 시스템)을 오른쪽 클릭
2. “속성” 선택
3. “최대 로그 크기” 조정(기본값은 20MB)
4. “필요할 때 이벤트 덮어쓰기” 옵션 선택

서버 환경에서는 로그 보존과 성능 간의 균형을 고려해 적절한 값(예: 50MB~100MB)을 설정하는 것이 좋습니다.

Q: 특정 이벤트가 발생할 때 자동으로 알림을 받을 수 있나요?

A: 이벤트 뷰어에서 작업 연결 기능을 사용하거나, 작업 스케줄러와 연동하여 설정할 수 있습니다. 단계별 알림 설정 방법:

1. 모니터링하려는 이벤트를 오른쪽 클릭
2. “이 이벤트에 대한 작업 연결” 선택
3. 작업 이름 지정 후 “다음” 클릭
4. 원하는 작업 유형(이메일 보내기, 프로그램 시작, 메시지 표시 등) 선택
5. 필요한 정보 입력 후 설정 완료

기업 환경에서는 SCOM(System Center Operations Manager)이나 SIEM(Security Information and Event Management) 솔루션을 통한 통합 모니터링이 더 효과적입니다.

Q: 블루스크린 발생 후 어떤 이벤트를 확인해야 하나요?

A: 시스템 로그에서 이벤트 ID 41, 1001, 6008을 확인하세요. 또한 다음 단계를 통해 더 자세한 정보를 얻을 수 있습니다:

1. 이벤트 ID 41(예기치 않은 시스템 종료) 검토 – 전원 문제인지 확인
2. 이벤트 ID 1001(Windows Error Reporting) – BugCheck 코드와 매개변수 확인
3. 블루스크린 직전 시간대의 시스템 및 응용 프로그램 로그 분석
4. minidump 파일(C:\Windows\Minidump) 분석 – 전문 도구(WhoCrashed, BlueScreenView) 사용

반복적인 블루스크린은 일반적으로 드라이버 충돌, 하드웨어 오류, 또는 메모리 문제와 관련이 있습니다.

Q: 서버 이벤트 로그를 오프라인으로 분석할 수 있나요?

A: 예, 다음 방법으로 가능합니다:

1. 명령줄에서 로그 내보내기: wevtutil epl System C:\path\to\SystemCopy.evtx
2. 이벤트 뷰어에서 “다른 이름으로 저장” 옵션 사용
3. 다른 컴퓨터에서 내보낸 로그 파일 열기: 이벤트 뷰어 > 작업 > 저장된 로그 열기
4. PowerShell을 사용한 분석: Get-WinEvent -Path C:\path\to\SystemCopy.evtx

이 방법은 시스템 중단 없이 로그를 분석하거나, 문제가 발생한 시스템의 로그를 다른 컴퓨터에서 검토할 때 유용합니다.

Q: 이벤트 로그에서 특정 문자열을 검색할 수 있나요?

A: 이벤트 뷰어에서 직접 검색하는 기능은 제한적이지만, PowerShell을 사용하면 강력한 검색이 가능합니다:

Get-WinEvent -LogName System | Where-Object {$_.Message -like "*검색어*"} | Select-Object TimeCreated, Id, Message

특정 시간 범위와 결합한 검색도 가능합니다:

$start = (Get-Date).AddDays(-1)
$end = Get-Date
Get-WinEvent -FilterHashtable @{LogName='System'; StartTime=$start; EndTime=$end} | Where-Object {$_.Message -like "*디스크*"}

---

 

이상으로 윈도우 시스템 이벤트 로그 (Windows Event Log)를 분석하고 확인하는 방법이었습니다. 이 포스트가 윈도우 이벤트 로그를 이해하고 활용하는 데 도움이 되셨길 바랍니다. 🙂