[Windows] Command line 에서 Window event log 관리

Command line 에서 Window event log 관리하기

Windows PC나 Server 하드닝을 위해 Command line을 통해 이벤트로그 설정이 필요한 경우가 있다.

이런 경우 wevtutil명령을 사용할 수  있다.

1. 사용법

wevtutil COMMAND [ARGUMENT [ARGUMENT] ...] [/OPTION:VALUE [/OPTION:VALUE] ...]

2. COMMAND

el | enum-logs          로그 이름을 나열합니다.

gl | get-log            로그 구성 정보를 가져옵니다.

sl | set-log            로그의 구성을 수정합니다.

ep | enum-publishers    이벤트 게시자를 나열합니다.

gp | get-publisher      게시자 구성 정보를 가져옵니다.

im | install-manifest   매니페스트에서 이벤트 게시자 및 로그를 설치합니다.

um | uninstall-manifest 매니페스트에서 이벤트 게시자 및 로그를 제거합니다.

qe | query-events       로그 또는 로그 파일에서 이벤트를 쿼리합니다.

gli | get-log-info      로그 상태 정보를 가져옵니다.

epl | export-log        로그를 내보냅니다.

al | archive-log        내보낸 로그를 보관합니다.

cl | clear-log          로그를 지웁니다.

3. 예시

1) 응용프로그램 이벤트 로그 설정 확인

  c:\> wevtutil gl application

2) 시스템 이벤트 로그 설정 확인

  c:\> wevtutil gl system

3) 보안 로그 설정 확인

  c:\> wevtutil gl security

4) 응용프로그램 로그 최대 용량 설정 

  c:\> wevtutil sl application /ms:157286400

4) 설정 상세 옵션

짧은 버전(예: /e) 또는 긴 버전(예: /enable)의

옵션 이름을 사용할 수 있습니다. 옵션 및 해당 값은 대/소문자를 구분하지 않습니다.

/{e | enabled}:[true|false]

로그를 사용하거나 사용하지 않도록 설정합니다.

/{q | quiet}:[true|false]

자동 표시 옵션입니다. 프롬프트 또는 메시지가 사용자에게 표시되지 않습니다. 지정하지

않으면 기본값은 true입니다.

/{fm | filemax}:<n>

이벤트를 유지할 전체 위치에서 최대 사용 수를 설정합니다. 여기서 <n>은

1에서 16 사이의 정수입니다. 각 사용에 대해 파일 하나를 만들므로 이

값이 2이면 마지막 두 사용에서 이벤트가 생성됩니다. 다시 부팅은

채널을 사용하지 않도록 설정했다가 다시 사용하도록 설정하므로 계산됩니다.

/{i | isolation}:[system|application|custom]

로그 격리 모드입니다. 로그의 격리 모드는 로그가 동일한 격리 클래스에 있는

다른 로그와 세션을 공유하는지 여부를 결정합니다. 시스템 격리를 지정하면

대상 로그는 System 로그와 최소한의 쓰기 권한을

공유합니다. 응용 프로그램 격리를 지정하면 대상 로그는 Application 로그와 최소한의

쓰기 권한을 공유합니다. 사용자 지정 격리를 지정하면

/ca 옵션을 사용하여 보안 설명자도 제공해야 합니다.

/{lfn | logfilename}:VALUE

로그 파일 이름입니다. VALUE는 이벤트 로그 서비스에서 이 로그에 대한 이벤트를

저장하는 파일의 전체 경로입니다.

/{rt | retention}:[true|false]

로그 보존 모드입니다. 로그 보존 모드는 로그가 최대 크기에 도달할 경우

이벤트 로그 서비스의 동작을 결정합니다. 이벤트 로그가 최대

크기에 도달하는 경우 로그 보존 모드가 true이면 기존 이벤트는 보존되고

들어오는 이벤트는 삭제됩니다. 로그 보존 모드가 false이면 들어오는

이벤트가 로그의 가장 오래된 이벤트를 덮어씁니다.

/{ab | autobackup}:[true|false]

로그 자동 백업 정책입니다. 자동 백업이 true이면 로그가

최대 크기에 도달할 때 자동으로 백업됩니다. 또한 자동 백업이

true이면 보존(/rt 옵션으로 지정)도 true로 설정해야 합니다.

/{ms | maxsize}:<n>

로그의 최대 크기입니다. 여기서 <n>은 바이트 수입니다. <n>의 최소값은

1048576(1024KB)이고 로그 파일은 항상 64KB의 배수이므로

지정한 값은 그에 따라 반올림됩니다.

/{l | level}:<n>

로그의 수준 필터입니다. 여기서 <n>은 유효한 수준 값입니다. 전용 세션이 있는

로그에만 적용됩니다. <n>을 0으로 설정하면 수준 필터를 제거할 수 있습니다.

/{k | keywords}:VALUE

로그의 키워드 필터입니다. VALUE는 유효한 64비트 키워드 마스크가 될 수 있습니다. 전용

세션이 있는 로그에만 적용됩니다.

/{ca | channelaccess}:VALUE

이벤트 로그에 대한 액세스 권한입니다. VALUE는

SDDL(Security Descriptor Definition Language)을 사용하여 지정한 보안 설명자입니다. MSDN

(http://msdn.microsoft.com)에서 SDDL 형식에 대한 정보를 검색할 수 있습니다.

/{c | config}:VALUE

구성 파일의 경로입니다. 여기서 VALUE는 전체 파일 경로입니다. 지정하면 로그

속성을 이 구성 파일에서 읽습니다. 이 옵션을 지정하는 경우에는

<LOG_NAME> 명령줄 매개 변수를 지정하면 안 됩니다. 로그 이름은 구성 파일에서

읽습니다.