이벤트 뷰어 로그 파일을 다른 위치로 이동하는 방법
이 문서에서는 Windows Server 2016 및 Windows Server 2019 이벤트 뷰어 로그 파일을 하드 디스크의 다른 위치로 이동하는 방법을 설명합니다.
적용 대상: Windows Server 2016, Windows Server 2019
원래 KB 번호: 315417
요약
Windows Server는 다음 로그에 이벤트를 기록합니다.
애플리케이션 로그
애플리케이션 로그에는 프로그램에 의해 기록되는 이벤트가 포함됩니다. 애플리케이션 로그에 기록되는 이벤트는 소프트웨어 프로그램의 개발자에 의해 결정됩니다.
보안 로그
보안 로그에는 유효하고 잘못된 로그온 시도와 같은 이벤트가 포함됩니다. 또한 리소스 사용과 관련된 이벤트(예: 파일을 만들거나 열거나 삭제하는 경우)를 포함합니다. 보안 로그에 기록되는 이벤트를 설정, 사용 및 지정하려면 관리자 또는 Administrators 그룹의 구성원으로 로그온해야 합니다.
시스템 로그
시스템 로그에는 Windows 시스템 구성 요소에 의해 기록되는 이벤트가 포함됩니다. 이러한 이벤트는 Windows에서 미리 결정됩니다.
디렉터리 서비스 로그
디렉터리 서비스 로그에는 Active Directory 관련 이벤트가 포함됩니다. 이 로그는 도메인 컨트롤러에서만 사용할 수 있습니다.
DNS 서버 로그
DNS 서버 로그에는 IP(인터넷 프로토콜) 주소 간 DNS 이름 확인과 관련된 이벤트가 포함됩니다. 이 로그는 DNS 서버에서만 사용할 수 있습니다.
파일 복제 서비스 로그
파일 복제 서비스 로그에는 도메인 컨트롤러 간의 복제 프로세스 중에 기록되는 이벤트가 포함됩니다. 이 로그는 도메인 컨트롤러에서만 사용할 수 있습니다.
기본적으로 이벤트 뷰어 로그 파일은 .evt 확장을 사용하며 %SystemRoot%\System32\winevt\Logs 폴더에 있습니다.
로그 파일 이름 및 위치 정보는 레지스트리에 저장됩니다. 이 정보를 편집하여 로그 파일의 기본 위치를 변경할 수 있습니다. 데이터를 기록할 디스크 공간이 더 필요한 경우 로그 파일을 다른 위치로 이동할 수 있습니다.
다른 위치에 이벤트 로그 폴더 만들기
로컬 드라이브에 이벤트 로그를 저장하고 올바른 권한을 할당할 폴더를 만듭니다. 그 단계는 다음과 같습니다.
폴더를 만듭니다(예 : C:\EventLogs).
폴더를 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.
보안 탭을 선택한 다음, 고급을 선택하여 특수 권한 또는 고급 설정을 선택합니다.
참고
폴더에는 기본적으로 "상속"이 사용하도록 설정되어 있습니다.
변경을 선택하여 소유자를 SYSTEM으로 변경한 다음, 다음과 같이 상속 사용 안 함을 선택합니다.
상속된 권한을 변환하거나 제거하라는 메시지가 표시됩니다. 상속된 권한을 이 개체에 대한 명시적 권한으로 변환을 선택하면 폴더에 명시적으로 설정된 동일한 권한이 표시됩니다.
참고
로그에 대한 하위 폴더를 만들려면 모든 자식 개체 사용 권한 항목 바꾸기를 이 개체의 상속 가능한 권한 항목으로 바꾸기 옵션을 검사. 부모 수준에서 설정된 권한은 모든 하위 폴더 및 파일에 적용됩니다.
폴더에 올바른 권한이 할당되도록 권한을 조정하고 적용 대상 열에 검사. 이러한 권한은 이벤트 뷰어 로그를 저장하는 기본 폴더(%SystemRoot%\System32\winevt\Logs)의 고급 권한과 동일해야 합니다. 인증된 사용자에게이 폴더 및 하위 폴더에 대한 읽기 권한만 있는지 확인합니다.
참고
EventLog 사용자를 추가하려면 속성 대화 상자의 보안 탭으로 이동하여 다음 단계를 수행합니다.
- 추가 편집>을 선택합니다.
- 위치를 선택하고 로컬 컴퓨터 이름을 선택한 다음 확인을 선택합니다.
- NT SERVICE\EventLog를 입력하여 개체 이름을 입력하여 이름확인을 선택합니다. 이름은 EventLog로 확인되어야 합니다. 확인을 선택하여 완료합니다.
EventLog 사용자에 대한 EventLog에 대한 권한에서 모든 권한이 선택되어 있는지 확인합니다.
이벤트 뷰어 로그 파일을 다른 위치로 이동
다음과 같이 이벤트 뷰어 사용하여 로그 파일을 만든 폴더로 이동할 수 있습니다.
이벤트 뷰어 엽니다.
왼쪽 창의 Windows 로그 아래에서 로그 이름(예: 시스템) 을 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.
로그 경로 값을 만든 폴더의 위치로 변경하고 경로 끝에 로그 파일 이름을 둡니다(예: C:\EventLogs\System.evtx).
로그 지우기를 선택한 다음 저장 및 지우기를 선택하여 이벤트 로그 파일을 다른 위치에 유지합니다.
적용>확인을 선택합니다.
참고
이벤트 로그를 이동한 폴더를 확인합니다. 이벤트 로그가 폴더에 없는 경우 시스템을 다시 시작합니다.
레지스트리 편집기 사용하여 로그 경로가 업데이트되었는지 확인할 수 있습니다. 예를 들어 다음 레지스트리 경로로 이동하여 파일 값의 Value 데이터를 검사.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\System
Powershell을 사용하여 이벤트 뷰어 로그 파일 이동
이 목적을 위해 Powershell을 활용할 수 있습니다. 샘플에서 보안 이벤트 로그는 C:\Logs로 마이그레이션됩니다.
$originalFolder = "$env:SystemRoot\system32\winevt\Logs"
$targetFolder = "C:\logs"
$logName = "Security"
$originalAcl = Get-Acl -Path $originalFolder -Audit -AllCentralAccessPolicies
Set-Acl -Path $targetFolder -AclObject $originalAcl -ClearCentralAccessPolicy
$targetAcl = Get-Acl -Path $targetFolder -Audit -AllCentralAccessPolicies
$targetAcl.SetOwner([System.Security.Principal.NTAccount]::new("SYSTEM"))
New-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "AutoBackupLogFiles" -Value "1" -PropertyType "DWord"
New-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "Flags" -Value "1" -PropertyType "DWord"
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\EventLog\$logName" -Name "File" -Value "$targetFolder\$logName.evtx"
참조
이벤트 뷰어 로그를 보고 관리하는 방법에 대한 자세한 내용은 손상된 이벤트 뷰어 로그 파일을 삭제하는 방법을 참조하세요. 일반적인 이벤트 뷰어 사용에 대해 자세히 알아보려면 이벤트 뷰어 작업 메뉴를 선택한 다음 도움말을 선택합니다.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기