이벤트 로그 모니터링
모니터 이벤트 로그 작업은 지정한 필터와 일치하는 새 이벤트가 Windows 이벤트 로그에 표시되면 Runbook을 호출합니다. 모니터 이벤트 로그 작업을 사용하여 Windows 이벤트 로그에 생성되는 이벤트에 대한 응답으로 문제를 에스컬레이션, 조사 또는 수정하는 Runbook을 실행할 수 있습니다. 예를 들어 보안 감사 실패가 보안 로그에 표시되어 관리자에게 문제를 알리는 이메일을 보냅니다. 두 번째 모드는 Windows 이벤트 로그의 크기가 허용되는 최대 크기에 도달하면 Runbook을 호출합니다.
모니터 이벤트 로그 작업 구성
모니터 이벤트 로그 작업을 구성하기 전에 다음을 결정해야 합니다.
모니터링하는 이벤트 로그의 이름
Runbook을 호출할 이벤트에 대한 세부 정보
모니터 이벤트 로그 작업을 구성하려면 다음 단계를 수행합니다.
활동 창에서 모니터 이벤트 로그 작업을 Runbook으로 끌어옵니다.
이벤트 로그 활동 모니터링 아이콘을 두 번 클릭하여 속성 대화 상자를 엽니다.
세부 정보 탭 및 고급 탭에서 설정을 구성합니다. 구성 지침은 다음 표에 나와 있습니다.
자세히 탭
| 설정 | 구성 지침 |
|---|---|
| 컴퓨터 | 모니터링할 Windows 이벤트 로그를 저장하는 컴퓨터의 이름을 입력합니다. 줄임표 (...) 단추를 사용하여 컴퓨터를 찾아볼 수도 있습니다. 이 작업을 실행하는 Runbook 서버에는 해당 컴퓨터에서 Windows 이벤트 로그를 모니터링할 수 있는 적절한 권한이 있어야 합니다. |
| 이벤트 로그 | 모니터링하는 Windows 이벤트 로그의 이름을 입력합니다. 줄임표 (...) 단추를 사용하여 Windows 이벤트 로그를 찾아볼 수도 있습니다. Windows에는 기본적으로 애플리케이션, 보안 및 시스템이라는 세 가지 이벤트 로그가 포함되어 있습니다. 연결하는 컴퓨터에 다른 이벤트 로그가 포함될 수 있습니다. |
| 메시지 필터 | 목록에는 지정한 로그에서 생성된 이벤트를 필터링하도록 구성된 모든 필터가 표시됩니다. 목록에서 항목을 편집하거나 제거하려면 항목을 선택하고 해당하는 경우 편집 또는 제거를 클릭합니다. 이벤트 필터를 추가하려면 1. [추가]를 클릭하여 [필터 속성] 대화 상자를 엽니다. 2. 필터링할 이벤트 로그 항목의 속성을 선택합니다. 이벤트에 기인하는 범주, 설명, 이벤트 ID, 원본 및 형식을 필터링할 수 있습니다. 3. 이벤트 속성의 값을 필터 값과 비교하는 데 사용하는 관계를 지정합니다. 범주, 설명, 형식 및 원본을 선택하는 경우 포함하거나 포함하지 않음을 지정할 수 있습니다. 지정할 수 있는 이벤트 ID가 다른 경우, 같음, 보다 낮음, 낮거나 같음, 보다 크거나 같음입니다. 4. 이벤트 속성을 비교할 필터 값을 지정합니다. 범주, 설명 및 원본의 경우 속성 내에 포함된 문자열을 입력합니다. 이벤트 ID의 경우 이벤트의 ID와 비교할 숫자 값을 입력합니다. 형식 조건의 경우 오류, 경고, 정보, 성공 감사 또는 실패 감사와 같이 필터링할 특정 유형의 이벤트를 선택합니다. |
게시된 데이터
다음 표에서는 게시된 데이터 항목을 나열합니다.
| 항목 | 설명 |
|---|---|
| 이벤트 로그 이름 | 모니터링되는 Windows 이벤트 로그의 이름입니다. |
| 컴퓨터 | Windows 이벤트 로그가 저장되는 컴퓨터의 이름입니다. |
| 로그 항목 설명 | 이벤트 로그 항목 설명에 포함된 텍스트입니다. |
| 로그 항목 ID | 이벤트 로그 항목의 ID입니다. |
| 로그 항목 원본 | 이벤트의 원본입니다. |
| 로그 항목 컴퓨터 | 이벤트가 발생한 컴퓨터입니다. |
| 로그 항목 유형 | 이벤트의 유형입니다. |
| 로그 항목 날짜 | 이벤트가 기록된 날짜입니다. |
| 로그 입력 시간 | 이벤트가 기록된 시간입니다. |