다음을 통해 공유

이벤트 쿼리 및 이벤트 XML

  • 아티클

지정한 조건을 충족하는 특정 이벤트를 쿼리하여 필요 없는 이벤트를 필터링할 수 있습니다. 예를 들어, 보안 이벤트 로그에 기록된 모든 중요 이벤트에 대한 정보를 검색하려면 이 조건에 맞는 이벤트를 반환하는 쿼리를 정의할 수 있습니다.

모든 이벤트는 다음 예제에서 설명한 대로 XML로 표현될 수 있으며 이벤트 스키마를 통해 각 이벤트 XML의 유효성을 검사할 수 있습니다(https://go.microsoft.com/fwlink/?LinkID=81771). XPath는 XML 요소 트리를 탐색 및 선택하는 기능을 제공하므로 이벤트 쿼리는 XPath 식에 의해 정의됩니다. XPath 식과 일치하는 XML에 정의된 이벤트만 쿼리 결과에 반환됩니다. 이벤트 쿼리를 정의하는 XPath에 대한 자세한 내용은 https://go.microsoft.com/fwlink/?LinkId=94637의 XPath 구문 및 https://go.microsoft.com/fwlink/?LinkId=94638의 XPath 예제를 참조하십시오.

다음 XML 예제에서는 이벤트를 정의합니다.

<Event xmlns="https://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-TaskScheduler" 
        Guid="{de7b24ea-73c8-4a09-985d-5bdadcfa9017}" />
    <EventID>310</EventID>
    <Version>0</Version>
    <Level>4</Level>
    <Task>310</Task>
    <Opcode>0</Opcode>
    <Keywords>8000000000000000</Keywords>
    <TimeCreated SystemTime="2006-02-28T21:51:44.754Z" />
    <EventRecordID>7664</EventRecordID>
    <Correlation />
    <Execution ProcessID="1068" ThreadID="1496" />
    <Channel>Microsoft-Windows-TaskScheduler</Channel>
    <Computer>MyComputerName</Computer>
    <Security UserID="S-1-5-14" />
  </System>
  <UserData>
    <TaskEngineProcessStarted 
        xmlns:auto-ns2="https://schemas.microsoft.com/win/2004/08/events" 
        xmlns="http://manifests.microsoft.com/win/2004/08/windows/eventlog">
      <TaskEngineName>S-1-5-14:NT AUTHORITY\Local Service:Interactive:LUA</TaskEngineName>
      <Command>taskeng.exe</Command>
      <ProcessID>6120</ProcessID>
      <ThreadID>5920</ThreadID>
    </TaskEngineProcessStarted>
  </UserData>
</Event>

이벤트 XML에 대한 자세한 내용은 https://go.microsoft.com/fwlink/?LinkId=94642를 참조하십시오.

이벤트 쿼리에 사용되는 다음 XPath 식은 이벤트 XML이 XPath 식의 조건을 충족하므로 이러한 이벤트를 반환합니다.

  • 다음 쿼리는 이벤트 ID가 310인 이벤트만 반환합니다.

     *[System/EventID=310]

  • 다음 쿼리는 System 요소 아래에 값이 4인 Level 요소가 있는 모든 이벤트를 반환합니다.

     *[System/Level=4]

  • 다음 쿼리는 System 요소 아래에 Name 특성이 Microsoft-Windows-TaskScheduler인 Provider 요소가 있는 모든 이벤트를 반환합니다.

    *[System/Provider/@Name="Microsoft-Windows-TaskScheduler"]

  • 다음 쿼리는 UserData 요소 아래에 값이 6120인 ProcessID 요소가 모든 이벤트를 반환합니다.

    *[UserData/ProcessID=6120]

  • 다음 쿼리는 UserData 요소가 있는 모든 이벤트를 반환합니다.

    *[UserData/*]

이벤트 쿼리에 대한 자세한 내용과 XPath 쿼리 예제를 보려면 https://go.microsoft.com/fwlink/?LinkId=94641을 참조하십시오.

EventLogQuery 클래스를 사용하여 이벤트 쿼리를 정의할 수 있습니다. 이벤트 쿼리 방법을 보여 주는 예제는 방법: 이벤트 쿼리, 방법: 이벤트 로그의 이벤트 알림 신청방법: 이벤트 정보 액세스 및 읽기를 참조하십시오.

참고 항목

개념

이벤트 로그 시나리오
방법: 이벤트 쿼리
방법: 이벤트 로그의 이벤트 알림 신청

Send comments about this topic to Microsoft.

Copyright © 2007 by Microsoft Corporation. All rights reserved.