항목
about_EventLogs
간단한 설명
Windows PowerShell은 "Windows PowerShell"이라는 Windows 이벤트 로그를 만들어
Windows PowerShell 이벤트를 기록합니다. Get-EventLog cmdlet 등의 이벤트를 가져오는
cmdlet을 사용하거나 이벤트 뷰어에서 이 로그를 볼 수 있습니다. 기본적으로 Windows PowerShell 엔진 및
공급자 이벤트가 이벤트 로그에 기록되지만 이벤트 로그 기본 설정 변수를 사용하여 이벤트 로그를
사용자 지정할 수 있습니다. 예를 들어 Windows PowerShell 명령에 대한 이벤트를 추가할 수 있습니다.
자세한 설명
Windows PowerShell 이벤트 로그는 프로그램 엔진이나 Windows PowerShell 공급자 시작 및 중지 등의
Windows PowerShell 작업에 대한 세부 정보를 기록합니다. Windows PowerShell 명령에 대한 세부 정보도
기록할 수 있습니다.
Windows Vista 이상의 버전에서는 Windows PowerShell 이벤트 로그가 응용 프로그램 및 서비스 로그
그룹에 있습니다. Windows PowerShell 로그는 Windows Eventing 기술을 사용하지 않는 기본 이벤트
로그입니다. 로그를 보려면 Get-EventLog와 같은 기본 이벤트 로그용 cmdlet을 사용합니다.
Windows PowerShell 이벤트 로그 보기
Get-EventLog 및 Get-WmiObject cmdlet을 사용하거나 이벤트 뷰어에서 Windows
PowerShell 이벤트 로그를 볼 수 있습니다. Windows PowerShell 로그의 내용을 보려면 다음과 같이
입력하십시오.
get-eventlog -logname "Windows PowerShell"
이벤트와 이벤트 속성을 검사하려면 Sort-Object cmdlet, Group-Object cmdlet 및
Format 동사가 포함된 cmdlet(Format cmdlet)을 사용합니다.
예를 들어 이벤트 ID별로 그룹화된 로그에서 이벤트를 보려면 다음과 같이 입력하십시오.
get-eventlog "Windows PowerShell" | format-table -groupby eventid
또는 다음과 같이 입력하십시오.
get-eventlog "Windows PowerShell" | sort-object eventid `
| group-object eventid
모든 기본 이벤트 로그를 보려면 다음과 같이 입력하십시오.
get-eventlog -list
Get-WmiObject cmdlet을 사용하여 이벤트 관련 WMI(Windows Management
Instumentation) 클래스로 이벤트 로그를 검사할 수도 있습니다.
예를 들어 이벤트 로그 파일의 모든 속성을 보려면 다음과 같이 입력하십시오.
get-wmiobject win32_nteventlogfile | where `
{$_.logfilename -eq "Windows PowerShell"} | format-list -property *
Win32 이벤트 관련 WMI 클래스를 찾으려면 다음과 같이 입력하십시오.
get-wmiobject -list | where {$_.name -like "win32*event*"}
자세한 내용을 보려면 "get-help get-eventlog" 및 "get-help get-wmiobject"를
입력하십시오.
Windows PowerShell 이벤트 로그에 대한 이벤트 선택
이벤트 로그 기본 설정 변수를 사용하여 Windows PowerShell 이벤트 로그에 기록되는 이벤트를 결정할
수 있습니다.
로그 기본 설정 변수는 6개로, 엔진(Windows PowerShell 프로그램), 공급자 및 명령의 세 가지 로깅 구성
요소마다 변수가 두 개씩 있습니다. LifeCycleEvent 변수는 정상적인 시작 및 중지 이벤트를 기록하고,
Health 변수는 오류 이벤트를 기록합니다.
다음 표에는 이벤트 로그 기본 설정 변수가 정리되어 있습니다.
변수 설명
-------------------------- ----------------------------------------
$LogEngineLifeCycleEvent Windows PowerShell의 시작 및 중지를 기록합니다.
$LogEngineHealthEvent Windows PowerShell 프로그램 오류를 기록합니다.
$LogProviderLifeCycleEvent Windows PowerShell 공급자의 시작 및 중지를 기록합니다.
$LogProviderHealthEvent Windows PowerShell 공급자 오류를 기록합니다.
$LogCommandLifeCycleEvent 명령의 시작 및 완료를 기록합니다.
$LogCommandHealthEvent 명령 오류를 기록합니다.
Windows PowerShell 공급자에 대한 자세한 내용을 보려면 "get-help about_providers"를
입력하십시오.
기본적으로 다음 이벤트 유형만 사용됩니다.
$LogEngineLifeCycleEvent
$LogEngineHealthEvent
$LogProviderLifeCycleEvent
$LogProviderHealthEvent
사용하려는 이벤트 유형에 대한 기본 설정 변수를 $true로 설정합니다. 예를 들어 명령 수명 주기
이벤트를 사용하려면 다음과 같이 입력하십시오.
$LogCommandLifeCycleEvent
또는 다음과 같이 입력하십시오.
$LogCommandLifeCycleEvent = $true
사용하지 않으려는 이벤트 유형에 대한 기본 설정 변수를 $false로 설정합니다. 예를 들어 명령 수명 주기
이벤트를 사용하지 않으려면 다음과 같이 입력하십시오.
$LogProviderLifeCycleEvent = $false
변수 설정은 현재 Windows PowerShell 세션에만 적용됩니다. 모든 Windows PowerShell
세션에 적용하려면 Windows PowerShell 프로필에 해당 변수 설정을 추가합니다.
보안 및 감사
Windows PowerShell 이벤트 로그는 활동을 나타내고 문제 해결을 위한 작업 세부 정보를 제공하도록
설계되었습니다.
그러나 대부분의 Windows 기반 응용 프로그램 이벤트 로그와 같이 Windows PowerShell 이벤트 로그는
안전하게 설계되지 않았습니다. 따라서 보안을 감사하거나 기밀 또는 비공개 정보를 기록하는 데
이벤트 로그를 사용하면 안됩니다.
이벤트 로그는 사용자가 읽고 이해할 수 있게 설계되었습니다. 즉, 사용자가 로그를 읽고 쓸 수 있습니다.
악의적인 사용자가 로컬 또는 원격 컴퓨터에서 이벤트 로그를 읽고 거짓 데이터를 기록한 후 자신의
활동이 기록되지 않게 할 수 있습니다.
참고 항목
Get-EventLog
Get-WmiObject
about_Preference_Variables