| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | ||||
| 4 | 5 | 6 | 7 | 8 | 9 | 10 |
| 11 | 12 | 13 | 14 | 15 | 16 | 17 |
| 18 | 19 | 20 | 21 | 22 | 23 | 24 |
| 25 | 26 | 27 | 28 | 29 | 30 | 31 |
Tags
- EFS CSI Driver
- blue-green
- EKS 클러스터
- headless service
- 그라파나 시각화
- terraform
- 쿠버네티스
- Solution Architecture
- Kubernets on Jenkins
- grafana on kubernetes
- 솔데스크
- 딥레이서 보상함수
- github action 사용법
- livenessPorbe
- 쿠버네티스 컴포넌트
- kubernetes 동작 원리
- 로드밸런서 컨트롤러
- Firelens
- Aurora cluster
- 그라파나 대시보드
- 딥레이서
- jenkins
- Prometheus install
- SAA 합격 후기
- LoadBalancer Controller
- helm
- AWS 딥레이서
- 메탈LB
- 깃허브 액션
- Kubernetes
Archives
mingming
Windows 꼭 알아야 할 이벤트 로그 정리 본문
Windows 이벤트 로그로 시스템 종료와 재부팅 원인 파악하기
운영 중인 Windows 서버나 PC에서 예기치 않게 재부팅되거나 종료되는 현상을 겪은 적이 있으신가요? 이러한 문제가 발생했을 때 가장 먼저 확인해야 할 것은 바로 이벤트 로그(Event Log)입니다.
Windows는 시스템에서 발생하는 다양한 이벤트를 기록하고 있으며, 이를 통해 정상 종료인지 비정상 종료인지, 사용자에 의한 것인지 시스템 오류인지 등을 구체적으로 파악할 수 있습니다.
이번 글에서는 시스템 종료/재부팅과 관련된 주요 이벤트 ID들과, 그 외에 운영이나 보안 관점에서 자주 활용되는 이벤트 로그들을 정리해보겠습니다.
시스템 종료 및 재부팅 관련 주요 이벤트 ID
| 이벤트 ID | 이벤트 소스 | 설명 |
|---|---|---|
| 6005 | EventLog | "이벤트 로그 서비스가 시작됨" — 시스템이 부팅되었음을 의미 |
| 6006 | EventLog | "이벤트 로그 서비스가 정상 종료됨" — 시스템이 정상 종료되었을 때 기록됨 |
| 6008 | EventLog | "예기치 않은 종료" — 강제 종료 또는 전원 차단 등 비정상 종료 |
| 1074 | USER32 | 사용자가 명시적으로 종료하거나 재시작한 경우 |
| 41 | Kernel-Power | 시스템이 전원 문제 등으로 예기치 않게 종료되었을 때 발생 |
📌 Tip:6008또는41이벤트는 시스템이 비정상적으로 꺼졌을 가능성이 있을 때 꼭 확인해야 합니다.
시스템 종료 및 재부팅 이벤트 로그가 기록되지 않는 경우
가능성 있는 원인
- 전원 차단 또는 하드웨어 오류
- 강제 전원 종료나 UPS 미작동 등으로 인해 로그를 기록할 시간 없이 꺼질 수 있습니다.
- 이 경우 Event ID 6008 (EventLog)만 남는 경우도 있으며, 아예 로그가 남지 않을 수도 있습니다.
- 이벤트 로그 손상 또는 삭제
- 로그 파일 자체가 손상되었거나, 누군가 수동으로 로그를 삭제한 경우
- Event ID 1102 (Microsoft-Windows-Eventlog)로 로그 삭제 시도를 추적할 수 있습니다.
- 로깅 정책 미설정
- 로컬 그룹 정책에서 "이벤트 로그 크기 제한" 또는 "오버플로우 동작 설정"이 제대로 되어 있지 않으면 로그가 덮어쓰이거나 기록되지 않을 수 있습니다.
- Windows 서비스나 OS 버그
- 일부 Windows 버전이나 업데이트 상태에 따라 이벤트 로그 기록 기능 자체가 동작하지 않는 경우도 드물게 존재합니다.
확인해야 할 항목
| 이벤트 로그 크기 및 보존 정책 | eventvwr.msc → 로그 속성에서 확인 (크기 제한 및 오버플로우 설정) |
| 이벤트 로그 삭제 여부 | Event ID 1102 확인 (Microsoft-Windows-Eventlog) |
| 시스템 종료 직전 이벤트 확인 | System 로그에서 마지막 Information, Warning, Critical 이벤트 순서 확인 |
| 자동 재시작 설정 확인 | 제어판 → 시스템 → 고급 시스템 설정 → 시작 및 복구 항목에서 자동 재시작 여부 |
| 하드웨어 이벤트 로그(BIOS/ILO/DRAC 등) | 서버일 경우, 하드웨어 관리 툴 또는 BIOS 로그 확인 |
보안 감사를 위한 자주 사용하는 이벤트 로그
| 이벤트 ID | 이벤트 소스 | 설명 |
|---|---|---|
| 4624 | Security-Auditing | 성공적인 로그인 (로그인 시도 성공) |
| 4625 | Security-Auditing | 로그인 실패 (비밀번호 오류 등) |
| 4634 | Security-Auditing | 로그오프 |
| 4647 | Security-Auditing | 사용자가 직접 로그오프 요청 |
| 4672 | Security-Auditing | 관리자 권한으로 로그인 (높은 권한 부여됨) |
🛡️ 4625 이벤트가 반복 발생하면 무차별 대입 공격(Brute Force) 가능성도 염두에 두어야 합니다.
기타 운영에 유용한 이벤트 로그
| 이벤트 ID | 이벤트 소스 | 설명 |
|---|---|---|
| 4720 | Security-Auditing | 사용자 계정이 생성됨 |
| 4726 | Security-Auditing | 사용자 계정이 삭제됨 |
| 4732 | Security-Auditing | 보안 그룹에 사용자가 추가됨 |
| 1102 | EventLog | 이벤트 로그가 지워짐 (로그 삭제 시도 감지) |
⚠️ 1102 이벤트는 누군가 로그를 은폐하려는 시도를 했을 수 있으니 반드시 확인하세요.
이벤트 로그 확인 방법 (Event Viewer)
실행 방법
Win + R→ 실행 창에eventvwr.msc입력 후 실행- 좌측 트리에서 아래 경로 확인
- 시스템 로그: Windows 로그 > 시스템
- 보안 로그: Windows 로그 > 보안
- 우측 메뉴에서 현재 로그 필터링 → 원하는 이벤트 ID 입력
마무리
Windows 이벤트 로그는 단순한 시스템 기록이 아니라, 운영 중 장애 원인을 파악하고 보안 위협을 감지할 수 있는 핵심 도구입니다.
특히 시스템 종료/재부팅 이슈가 발생했을 때는 위에서 소개한 이벤트 ID를 중심으로 로그를 분석하면, 문제의 원인과 시점을 빠르게 확인할 수 있습니다.
앞으로는 정기적으로 이벤트 로그를 확인하고, 필요한 경우 PowerShell이나 중앙 로그 수집 시스템(SIEM)과 연동하여 자동화하는 것이 좋습니다..
'Windows' 카테고리의 다른 글
| VSS 실습하기 - Volume Shadow Copy (0) | 2025.04.26 |
|---|---|
| VSS - Volume Shadow Copy Service 개념과 아키텍처 (1) | 2025.04.25 |
| Windows Server Telnet 기능 활성화 (0) | 2024.08.25 |
| Windows Server 2019 gpedit.msc 실행시 display 참조 에러 (1) | 2024.08.25 |
| Windows Server 업데이트 기능 끄기 (0) | 2024.08.25 |
'Windows' Related Articles
more
