Compartilhar via

Windows Server 2008이 나오면... (59) - 이벤트 로그 전달

  • Artigo

무자년 새해가 밝았습니다. 꼬알라의 하얀집에 방문해주시는 많은 분들.. 새해 복 많이 받으시고, 한해동안 좋은 일들만 가득하시길 기원합니다. 2008년에는 드디어 Windows Server 2008이 출시될 예정이며.. 꼬알라의 하얀집에서도 시시각각 전달되는 많은 소식들을 빠르게 포스팅하겠습니다!

Windows Server 2008이 나오면... 시리즈도 Windows Server 2008이 출시되는 3월 20일전까지 100편을 목표로 달려가겠습니다. ^^;;

image

오늘은 이벤트 로그에 대한 이야기를 해보겠습니다. Windows Vista와 Windows Server 2008에는 위의 그림과 같은 새로운 그룹이 보입니다. Event Log Reader라는.. 도대체 뭐하는 그룹일까요? 기존에 Windows XP, Windows Server 2003, Windows 2000 시절.. 많은 서버나 클라이언트에서 발생하는 이벤트 로그들에 대해서 트러블슈팅 또는 확인을 위해서 한곳으로 모으는 솔루션을 사용해보신 분들도 계실 거라 생각합니다. 대표적인 프로그램이 Microsoft의 경우에는 MOM(Microsoft Operation Manager), SCOM(System Center Operation Manager)가 여기에 해당될 수 있죠.

단순히 이벤트 로그만 중앙으로 모으실 용도라면 이제, Windows만으로도 해당 기능을 사용하실 수 있습니다. MOM, SCOM의 경우에는 로그에 대한 처리뿐만 아니라, 서비스에 대한 보고, 조건에 따른 작업 가동, 관리적인 가치를 중점적으로 다루지만, Windows Server 2008, Windows Vista에서는 이벤트 로그에 대한 전달 처리가 가능해집니다.

이벤트 로그를 다른 서버나 클라이언트로 전달하려면, 이를 구독(모으는) 컴퓨터에서 대상으로 접속하여, 로그를 수집할 수 있는 권한이 필요합니다. 바로 해당 권한을 부여해놓은 그룹이 Event Log Readers라는 그룹입니다. 만약 A라는 서버에서 1,2,3,4.. 네대의 컴퓨터의 로그를 수집하기 위해서는 1,2,3,4의 Event Log Readers 그룹내 A라는 컴퓨터가 소속되어야 한다는 뜻입니다.

image

이벤트 로그를 수집할 서버를 해당 그룹에 넣어만 주시면 모든 작업은 종료됩니다. 물론 액티브 디렉터리 환경이 아닌 경우에는 사용자 계정을 넣으시고, 이벤트 로그를 수집할 서버 설정시 해당 계정을 입력하시면 됩니다.

이벤트 로그를 수집할 서버에서 이벤트 뷰어 관리 도구를 여시고.. 왼쪽 트리의 구독이라는 노드를 클릭합니다.

image

로그를 수집할 수집기 서비스를 가동해야 한다는 메세지가 최초에 나타납니다. 예를 클릭합니다.

image

image

서비스 속성이 수동에서 자동(지연)으로 변경되고 상태가 시작됨으로 변경됩니다. 이제 로그를 수집하는 설정만 하면 됩니다. 단순히 수집만 하는 것이 아니라, 수집시 이에 대한 조건을 명시할 수 있습니다. Windows Vista부터는 이벤트 로그가 XML 상태로 저장되고, 전달되고, 수집되므로.. 여러 중간 작업이 가능해지고, 조건(쿼리) 설정이 매우 편해졌습니다. 이벤트 뷰어 관리 도구의 구독에서 구독 만들기를 클릭합니다.

image

새롭게 구독 설정을 할 창이 나타납니다.

image

구독 이름은 말 그대로 수집 서버에서의 이름이고요.. 대상 로그는 수집한 로그를 어디다 저장할지 입니다. 즉, 수집 서버의 이벤트 로그 여러 노드 중 저장 위치를 의미합니다. 응용 프로그램, 보안, 시스템, 그리고 Windows Vista부터 가능해진 세부 로그 저장 위치에 저장하실 수도 있습니다. 가운데 메뉴는 당연히 로그를 수집할 대상 서버를 입력하는 것입니다.

image

수집할 이벤트 선택이 가장 중요한 조건을 설정하는 부분입니다. 로그를 수집할 대상 기간, 오류, 정보, 경고등..의 이벤트 수준과 더불어, 어떤 유형의 로그를 수집할지도 결정하실 수 있습니다. 당연히 이벤트 ID 별로도 범위를 지정할 수 있죠.

image image

마지막 구독 고급 설정에서는 접속할 계정을 명시할 수 있습니다. 이벤트 수집기 서비스의 네트워크 서비스 계정으로 접근 or 지정한 계정으로 접근을 선택할 수 있고.. 이 경우, 최초 설정한 Event Log Readers 그룹에 포함되어져 있어야 합니다.

생성 후 수집기에 대한 런타임 상태를 확인하여, 에러 또는 성공했는지 확인이 가능합니다.

image image

문제가 있는 경우, 런타임 상태 창에서 나타나게 됩니다.

잠시후, 이벤트 수집이 완료되면.. 이벤트 뷰어 관리 도구에 설정된 위치에서 다른 컴퓨터의 로그를 확인할 수 있습니다.

image

본,지사 또는 서버 팜 환경에서 IT 관리자는 좀더 편리하게 작업을 생성하고, 확인하길 원합니다. 제가 엔지니어일때도 그랬고요. 원격 컴퓨터에 접속하여 관리를 많이 하게 되는데, 이런 원격 접속 보다.. 하나의 관리 도구에서 직접 한눈에 확인할 수 있는 기능이 더 가치있다고 생각합니다.

Comments

  • Anonymous
    January 05, 2008
    Windows 2003의 이벤트 로그도 수집이 가능한 건가요?

  • Anonymous
    January 05, 2008
    이벤트 로그 수집은 Windows Vista, Windows Server 2008에서만 가능합니다. 이벤트 로그를 XML 형태로 WS-Management를 통해 전달받으므로, Windows Server 2003에서의 로그는 이벤트 로그 구독으로 받으실 수 없습니다. 이벤트 로그를 Windows Server 2003, Windows 2000 Server에서 수집하시려면, System Center Operation Manager 또는 Microsoft Operation Manager 2005를 이용하셔야 합니다.

  • Anonymous
    May 22, 2013
    혹시 AD 구성서버와 로컬 구성 서버의  로그도 같이 수집 할수있나요?