다음을 통해 공유

Eventlog 키

  • 아티클

이벤트 로그에는 다음 표준 로그와 사용자 지정 로그가 포함됩니다.

로그 설명
애플리케이션 애플리케이션에서 기록된 이벤트를 포함합니다. 예를 들어 데이터베이스 애플리케이션에서 파일 오류를 기록할 수 있습니다. 애플리케이션 개발자는 기록할 이벤트를 결정합니다.
보안 유효하고 잘못된 로그온 시도와 같은 이벤트뿐만 아니라 파일 또는 기타 개체 만들기, 열기 또는 삭제와 같은 리소스 사용과 관련된 이벤트를 포함합니다. 관리자는 보안 로그에 이벤트를 기록하기 위한 감사를 시작할 수 있습니다.
시스템 시작 중에 드라이버 또는 다른 시스템 구성 요소가 로드되지 않은 경우와 같이 시스템 구성 요소에서 기록된 이벤트를 포함합니다.
CustomLog 사용자 지정 로그를 만드는 애플리케이션에서 기록한 이벤트를 포함합니다. 사용자 지정 로그를 사용하면 애플리케이션이 다른 애플리케이션에 영향을 주지 않고 보안을 위해 로그의 크기를 제어하거나 ACL을 연결할 수 있습니다.

이벤트 로깅 서비스는 Eventlog 레지스트리 키에 저장된 정보를 사용합니다. Eventlog 키에는 로그라는 여러 하위 키가 포함되어 있습니다. 각 로그에는 애플리케이션이 이벤트 로그에 쓰고 읽을 때 이벤트 로깅 서비스에서 리소스를 찾는 데 사용하는 정보가 포함됩니다.

Eventlog 키의 구조는 다음과 같습니다.

HKEY_LOCAL_MACHINE
   SYSTEM
      CurrentControlSet
         Services
            Eventlog
               Application
               Security
               System
               CustomLog

도메인 컨트롤러는 디렉터리 서비스파일 복제 서비스 로그 및 DNS 서버의 이벤트를 DNS 서버에 기록합니다.

각 로그에는 다음 레지스트리 값이 포함될 수 있습니다.

레지스트리 값 Description
CustomSD 이벤트 로그에 대한 액세스를 제한합니다. 이 값은 REG_SZ 형식입니다. 사용되는 형식은 SDDL( 보안 설명자 정의 언어 )입니다. 다음 권한 중 하나 이상을 부여하는 ACL을 생성합니다.
지우기(0x0004)
읽기(0x0001)
쓰기(0x0002)
구문상 유효한 SDDL이 되도록 CustomSD 값은 소유자와 그룹 소유자(예: O:BAG:SY)를 지정해야 하지만 소유자와 그룹 소유자는 사용되지 않습니다. CustomSD가 잘못된 값으로 설정된 경우 이벤트 로그 서비스가 시작될 때 시스템 이벤트 로그에서 이벤트가 발생하며 이벤트 로그는 애플리케이션 로그의 원래 CustomSD 값과 동일한 기본 보안 설명자를 가져옵니다. SACL은 지원되지 않습니다.
자세한 내용은 이벤트 로깅 보안을 참조하세요.
Windows Server 2003: SACL이 지원됩니다.
Windows XP/2000: 이 값은 지원되지 않습니다.
DisplayNameFile 이 값은 사용되지 않습니다. Windows Server 2003 및 Windows XP/2000: 이벤트 로그의 지역화된 이름을 저장하는 파일의 이름입니다. 이 파일에 저장된 이름은 이벤트 뷰어 로그 이름으로 나타납니다. 이 항목이 이벤트 로그의 레지스트리에 표시되지 않으면 이벤트 뷰어 레지스트리 하위 키의 이름을 로그 이름으로 표시합니다. 이 값은 REG_EXPAND_SZ 형식입니다. 기본값은 %SystemRoot%\system32\els.dll.
DisplayNameID 이 값은 사용되지 않습니다. Windows Server 2003 및 Windows XP/2000: 로그 이름 문자열의 메시지 ID 번호입니다. 이 숫자는 지역화된 표시 이름이 표시되는 메시지를 나타냅니다. 메시지는 DisplayNameFile 값으로 지정된 파일에 저장됩니다. 이 값은 REG_DWORD 형식입니다.
최근에 사용한 파일 각 이벤트 로그가 저장되는 파일의 정규화된 경로입니다. 이렇게 하면 이벤트 뷰어 및 기타 애플리케이션에서 로그 파일을 찾을 수 있습니다. 이 값은 REG_SZ 또는 REG_EXPAND_SZ 형식입니다. 이 값은 선택 사항입니다. 값을 지정하지 않으면 기본적으로 %SystemRoot%\system32\winevt\logs\로 설정되고 이벤트 로그 레지스트리 키 이름을 기반으로 하는 파일 이름이 입니다. 특정 이벤트 로그 파일 경로는 명령줄 유틸리티 wevtutil.exe 사용하거나 PropertyId 매개 변수에 전달된 EvtChannelLoggingConfigLogFilePath와 함께 EvtSetChannelConfigProperty 함수를 사용하여 설정해야 합니다.
특정 파일이 설정된 경우 이벤트 로그 서비스에 파일에 대한 모든 권한이 있는지 확인합니다.
이 값은 로컬 디렉터리에 있는 파일의 유효한 파일 이름이어야 합니다(원격 컴퓨터가 아니고 DOS 디바이스가 아니라 플로피가 아니고 파이프가 아님). 파일 설정이 잘못된 경우 이벤트 로그 서비스가 시작될 때 시스템 이벤트 로그에서 이벤트가 발생합니다.
이벤트 로그 서비스의 컨텍스트에서 확장할 수 없는 환경 변수를 파일 경로에 사용하지 마세요.
Windows Server 2003 및 Windows XP/2000: 이 값은 기본적으로 %SystemRoot%\system32\config\ 뒤에 이벤트 로그 레지스트리 키 이름을 기반으로 하는 파일 이름으로 설정됩니다. 파일 설정이 잘못된 값으로 설정된 경우 로그가 제대로 초기화되지 않거나 모든 요청이 자동으로 기본 로그(애플리케이션)로 이동합니다.
Maxsize 로그 파일의 최대 크기(바이트)입니다. 이 값은 REG_DWORD 형식입니다. 값은 시스템, 애플리케이션 또는 보안 로그에 대해 64K의 배수로 설정해야 합니다. 기본값은 1MB입니다. Windows Server 2003 및 Windows XP/2000: 값은 0xFFFFFFFF 제한되며 기본값은 512K입니다.
PrimaryModule 이 값은 사용되지 않습니다. Windows Server 2003 및 Windows XP/2000: 이 값은 이벤트 원본에 대한 하위 키의 항목에 대한 기본값을 포함하는 하위 키의 이름입니다. 이 값은 REG_SZ 형식입니다.
보존 이 값은 REG_DWORD 형식입니다. 기본값은 0입니다. 이 값이 0이면 이벤트의 레코드는 항상 덮어씁니다. 이 값이 0xFFFFFFFF 또는 0이 아닌 값이면 레코드를 덮어쓰지 않습니다. 로그 파일이 최대 크기에 도달하면 로그를 수동으로 지워야 합니다. 그렇지 않으면 새 이벤트가 삭제됩니다. 또한 로그 크기를 변경하려면 먼저 로그를 지워야 합니다. Windows Server 2003 및 Windows XP/2000: 이 값은 이벤트 레코드를 덮어쓰지 않도록 보호하는 시간 간격(초)입니다. 이벤트의 기간이 이 값에 도달하거나 초과하면 덮어쓸 수 있습니다.
Sources 이 값은 사용되지 않습니다. Windows Server 2003 및 Windows XP/2000: 이 로그에 이벤트를 쓰는 애플리케이션, 서비스 또는 애플리케이션 그룹의 이름입니다. 이 값은 읽기 전용이어야 하며 변경되지 않아야 합니다. 이벤트 로그 서비스는 로그 아래의 하위 키에 나열된 각 프로그램에 따라 목록을 유지 관리합니다. 이 값은 REG_MULTI_SZ 형식입니다.
AutoBackupLogFiles 이 값은 REG_DWORD 형식이며 이벤트 로그 서비스에서 이벤트 로그를 자동으로 저장할지 여부를 결정하는 데 사용됩니다. 기본값은 자동 백업을 사용하지 않도록 설정하는 0입니다. 서비스는 보존 값이 -1(0xFFFFFFFF)인 경우에만 로그 파일을 백업합니다. 다른 값은 무시됩니다. Windows Server 2003: AutoBackupLogFiles가 작동하려면 보존 기간을 -1(0xFFFFFFFF) 또는 1(0x00000001)으로 설정할 수 있습니다. 다른 값은 무시됩니다.
RestrictGuestAccess 이 값은 사용되지 않습니다. Windows XP/2000: 이 값은 REG_DWORD 형식이고 기본값은 1입니다. 값이 1로 설정되면 이벤트 로그에 대한 게스트 및 익명 계정 액세스를 제한하며, 이 값이 0이면 게스트 계정에서 이벤트 로그에 액세스할 수 있습니다.
격리 로그에 대한 기본 액세스 권한을 정의합니다. 이 값은 REG_SZ 형식입니다. 다음 값 중 하나를 지정할 수 있습니다.
  • 애플리케이션
  • 시스템
  • 사용자 지정
기본 격리는 Application입니다. 애플리케이션에 대한 기본 권한은 다음과 같습니다(SDDL을 사용하여 표시됨).
            L"O:BAG:SYD:"            L"(A;;0xf0007;;;SY)"                // local system               (read, write, clear)            L"(A;;0x7;;;BA)"                    // built-in admins            (read, write, clear)            L"(A;;0x7;;;SO)"                    // server operators           (read, write, clear)            L"(A;;0x3;;;IU)"                    // INTERACTIVE LOGON          (read, write)            L"(A;;0x3;;;SU)"                    // SERVICES LOGON             (read, write)            L"(A;;0x3;;;S-1-5-3)"               // BATCH LOGON                (read, write)            L"(A;;0x3;;;S-1-5-33)"              // write restricted service   (read, write)            L"(A;;0x1;;;S-1-5-32-573)";         // event log readers          (read)
시스템에 대한 기본 권한은 다음과 같습니다(SDDL을 사용하여 표시됨).
            L"O:BAG:SYD:"            L"(A;;0xf0007;;;SY)"                // local system             (read, write, clear)            L"(A;;0x7;;;BA)"                    // built-in admins          (read, write, clear)            L"(A;;0x3;;;BO)"                    // backup operators         (read, write)            L"(A;;0x5;;;SO)"                    // server operators         (read, clear)             L"(A;;0x1;;;IU)"                    // INTERACTIVE LOGON        (read)            L"(A;;0x3;;;SU)"                    // SERVICES LOGON           (read, write)            L"(A;;0x1;;;S-1-5-3)"               // BATCH LOGON              (read)            L"(A;;0x2;;;S-1-5-33)"              // write restricted service (write)            L"(A;;0x1;;;S-1-5-32-573)";         // event log readers        (read)
사용자 지정 격리에 대한 기본 권한은 애플리케이션과 동일합니다.
Windows Server 2003 및 Windows XP/2000: 이 값을 사용할 수 없습니다.

각 로그에는 이벤트 원본도 포함됩니다. 자세한 내용은 이벤트 원본을 참조하세요.