Windows 파웨쉘(PowerShell)로 이벤트 로그 효과적으로 관리하는 방법

 Windows 이벤트 로그(Event Log)는 시스템의 상태를 모니터링하고 문제를 진단하는 데 필수적인 정보를 제공합니다. 이벤트 로그를 효율적으로 관리하는 방법 중 하나로 wevtutil 명령어와 쿼리를 사용하는 방법을 소개해 드리겠습니다.

쿼리는 시스템 오류 진단 및 자동화 스크립트와의 연계, 보안 이벤트 분석 등으로 활용할 수 있습니다.

특정 이벤트 ID 조회

wevtutil qe Application /f:text /q:"*[System[(EventID=1001)]]"

모든 경고 이벤트(Level=3) 조회

wevtutil qe System /f:text /q:"*[System[(Level=3)]]"

아래는 대표적인 쿼리입니다.

wevtutil qe System /c:10 /f:text /q:"*[System[(Level=2)]]"

wevtutil: Windows에서 이벤트 로그를 관리하기 위한 명령줄 도구입니다. 이 명령어를 사용하면 로그를 조회, 백업, 삭제하거나 로그 설정을 조정할 수 있습니다.

qe: query-events의 약자, 쿼리 실행

System: 시스템 로그

/c:10: 최근 10개 이벤트

/f:text: 텍스트 형식으로 출력

/q:"*[System[(Level=2)]]": 시스템 로그에서 레벨 2 이벤트만 필터링

시스템의 심각한 오류를 신속하게 파악할 수 있어 시스템 관리 및 문제 해결에 유용합니다. 예를 들어, 서버의 안정성을 위해 주기적으로 이 쿼리를 실행하여 오류를 모니터링하면, 문제 발생 시 신속히 대응할 수 있습니다.