LogParser 를 사용하여 이벤트 로그(Windows Event Log)와 이벤트 로그 백업 파일(.evt)을 필터링 하는 방법에 대해서 아래와 같이 정리하였습니다.
LogParser 로 파싱할 수 있는 Input Formats 은 다양합니다. 대표적으로 CSV, XML 을 주로 사용합니다만 EVT, IIS, HTTPERR, NETMON, ETW, FS, W3C, URLSCAN 등의 형식을 지원하므로 필요할 때 골라쓰는 재미가 있습니다.
Windows Event Log 를 필터링 하고자 할 때, MMC 콘솔에서 UI 를 통해 필터링을 할 수 있고 또는 CSV 파일로 저장하여 파싱하여 확인해 볼 수도 있겠지만 EVT 입력 포맷을 사용하여 현재 이벤트 로그를 대상으로 직접 쿼리하여 정보를 얻을 수 있습니다.
우선 알아둬야 할 사항은 이벤트 로그 종류에 따른 이름입니다. System, Application, Security, '사용자 정의 이벤트 로그' 뿐만 아니라 Windows Server 2008+ 버전을 사용하신다면 Application and Services Logs 항목에 포함된 이벤트 로그 또한 모두 쿼리가 가능합니다. 예를 들어 'Windows PowerShell' 과 같이 사용할 수 있습니다. 만약 이름에 공백이 있다면 '' 작은 따옴표로 묶어 주시면 됩니다.
다음 예제는 System 이벤트 로그에서 EventID 6009 를 쿼리한 방법입니다.
전체 ROWS, 필터된 결과 개수, 경과 시간을 확인할 수 있습니다.
EVT 입력 포맷 필드는 아래 표를 참조하시면 됩니다.
[참고자료]
Security administrator - 실패한 로그온 이벤트를 손쉽게 찾아내기
http://technet.microsoft.com/ko-kr/library/cc700721.aspx
Log Parser 로 파일 및 폴더 정보 얻기
http://laigo.kr/589
작성자 : Lai Go / 작성일자 : 2011.03.09
LogParser 로 파싱할 수 있는 Input Formats 은 다양합니다. 대표적으로 CSV, XML 을 주로 사용합니다만 EVT, IIS, HTTPERR, NETMON, ETW, FS, W3C, URLSCAN 등의 형식을 지원하므로 필요할 때 골라쓰는 재미가 있습니다.
Windows Event Log 를 필터링 하고자 할 때, MMC 콘솔에서 UI 를 통해 필터링을 할 수 있고 또는 CSV 파일로 저장하여 파싱하여 확인해 볼 수도 있겠지만 EVT 입력 포맷을 사용하여 현재 이벤트 로그를 대상으로 직접 쿼리하여 정보를 얻을 수 있습니다.
우선 알아둬야 할 사항은 이벤트 로그 종류에 따른 이름입니다. System, Application, Security, '사용자 정의 이벤트 로그' 뿐만 아니라 Windows Server 2008+ 버전을 사용하신다면 Application and Services Logs 항목에 포함된 이벤트 로그 또한 모두 쿼리가 가능합니다. 예를 들어 'Windows PowerShell' 과 같이 사용할 수 있습니다. 만약 이름에 공백이 있다면 '' 작은 따옴표로 묶어 주시면 됩니다.
다음 예제는 System 이벤트 로그에서 EventID 6009 를 쿼리한 방법입니다.
C:\Log Parser> LogParser.exe "SELECT TimeGenerated FROM System WHERE EventID=6009" -i:EVT
전체 ROWS, 필터된 결과 개수, 경과 시간을 확인할 수 있습니다.
EVT 입력 포맷 필드는 아래 표를 참조하시면 됩니다.
[참고자료]
Security administrator - 실패한 로그온 이벤트를 손쉽게 찾아내기
http://technet.microsoft.com/ko-kr/library/cc700721.aspx
Log Parser 로 파일 및 폴더 정보 얻기
http://laigo.kr/589
작성자 : Lai Go / 작성일자 : 2011.03.09
