[Windows] 윈도우 이벤트 보는 법

실행창에서 "eventvwr.msc" 입력하여 이벤트 뷰어 창 확인

블루스크린 확인하기

블루스크린(BSOD) 메시지는 BugCheck이다.

 

이벤트뷰어 - 시스템 - ctrl + F 에서 "BugCheck" 문자 검색해보면 나온다. (다음 로그는 F3를 클릭하면 된다.) 

 

또는 이벤트 ID를 알고 있다면 "현재 로그 필터링" 기능을 이용하여 더 쉽게 필터링이 가능하다.

 

 

윈도우 Event ID

로그온 이벤트
528	로그온 성공
529	알 수 없는 사용자 이름, 잘못된 암호를 사용하여 로그온 시도
530	허용된 로그온 시간 초과
531	잠긴 사용자 이름으로 로그온 시도
532	사용 기간 만료된 사용자 이름으로 로그온 시도
533	로그온을 허용하지 않는 사용자 이름으로 시도
534	허용되지 않는 유형으로 로그온 시도(네트워크, 대화형 서비스..)
535	비밀번호가 만료된 사용자 있음
536	NetLogon 서비스가 시작되지 않아 로그온 하지 못함
537	예기치 않은 오류로 인해 로그온 하지 못함
538	사용자 로그오프
539	사용자 계정 잠금(실패 횟수 설정되어 잠김)
540	네트워크로 로그온 성공
681	도메인 계정 로그온 시도
682	연결 끊긴 터미널 서비스 세션에 사용자가 다시 연결
683	사용자가 로그오프하지 않고 터미널 서비스 세션과 연결 종료

 

 

보안 이벤트
2	누군가 컴퓨터에 대화형 로그온
3	누군가 컴퓨터의 리소스를 엑세스 시도
4	NT schedule 서비스가 스크립트나 배치파일을 사용하여 엑세스 시도
5	NT 서비스 중의 하나가 특정 사용자 계정을 통해 시작
6	누군가 프록시로 로그온
7	Workstation 잠김

 

 

사용자 계정 이벤트
612	보안 감사 정책 변경
624	새로운 사용자 생성
625	사용자 유형 변경
626	계정 잠김 사용자를 사용가능으로 변경
627	암호 변경 시도
628	사용자 비밀번호 설정
629	사용자 계정 잠김 설정
630	사용자 계정 삭제
631	보안 사용 글로벌 그룹 생성
632	보안 사용 글로벌 그룹 구성원 추가
633	보안 사용 글로벌 그룹 구성원 제거
634	보안 사용 글로벌 그룹 삭제
635	보안 안된 로컬 그룹 만든 정보
636	로컬 그룹 구성원 추가(사용자 계정 그룹)
637	로컬 그룹 구성원 제거(사용자 계정 그룹)
638	로컬 그룹 삭제 (사용자 계정 그룹)
639	로컬 그룹 구성원 변경(사용자 계정 그룹)
641	로컬 그룹 변경(사용자 계정 그룹)
642	사용자 이름 변경
643	도메인 정책 변경
644	사용작 계정이 자동 잠김
648	그룹 형식 변경

 

 

 

시스템 이벤트
512	윈도우 시작
513	윈도우 종료
514	LSA가 인증 패키지 로드(LSA : Local Security Authority, 로컬 보안 기관)
515	신뢰된 로그온 프로세서가 LSA 등록
517	보안 이벤트 로그 삭제
518	보안 계정 관리자에 의해 패키지 로드
520	시스템 시간 변경
1000	MS Telnet 서비스 시작
1001	예기치 않은 오류로 인하여 블루 스크린 발생
4198	네트워크 중복되는 MAC 주소 감지
4199	네트워크에 중복되는 IP 주소 감지
6001	시스템이 알지 못하는 버그로 인해 덤프 파일 저장 후 재부팅
6005	이벤트 로그 서비스 시작
6006	이벤트 로그 서비스 중지
6008	예기치 않은 시스템 종료 발생