11-3-3. 자원관리- 이벤트 뷰어 (Event Viewer) Windows Networking2008. 11. 24. 12:48
이벤트란 무엇인가? 서버 입장에서 이벤트라면 ‘모든 것’을 의미한다. 사용자가 네트워크에 로그온 한 것도 하나의 이벤트이고, 서버에서 특별한 서비스가 시작한 것도 이벤트고, 누군가 어떤 자원에 접근한 것도, IP Address의 충돌이 발생한 것도 하나의 이벤트이다.
서버의 경우는 상대적으로 수많은 서비스들이 동작하고 있고 네트워크에서의 다른 사용자들의 접근도 다양하게 이루어지는 만큼 끊임없이 동작하고 있으며 그만큼 뭔가 맞지 않아 삐걱거리는 경우도 잦고, 또한 서버가 현재 겪고 있는 문제점이 있다면 빠른 시간내에 문제를 발견하고 해결해 주어야만 안정적인 서비스들을 제공할 수 있게 될 것이다.
서버는 이러한 일련의 이벤트가 발생할 때마다 이벤트의 성격별로 로깅(로그에 기록하는 작업을 말함)을 하고 관리자는 이벤트 뷰어라는 도구를 통해서 상태를 점검할 수 있다. 서버를 부팅시켰을 때 간혹 아래의 <그림11-52>과 같은 메시지를 받게 되는 경우가 있다.
<그림11-52. 일반적인 에러 메시지>
이러한 메시지를 받았을 때 관리자는 관리도구에 있는 이벤트 뷰어의 도움을 받아야 한다. 관리도구à이벤트 뷰어를 실행하거나, 컴퓨터 관리도구에서 접근할 수도 있다. 또는 실행창에서 “eventvwr”를 입력하여 접근할 수도 있다.
<그림11-53. 이벤트 뷰어 화면>
이벤트 뷰어를 열면 왼쪽패널에 이벤트의 종류별로 로깅된 것을 확인할 수 있다. 예제화면에서는 응용프로그램 로그, 보안로그, 시스템로그, DNS Server로그가 있다. 처음 3가지는 모든 시스템에서 기본제공되는 이벤트들이고 DNS Server로그는 DNS서버가 동작하는 시스템에서만 제공되는 이벤트로그이다. 추가로 시스템이 Active Directory가 올라가 있는 도메인 컨트롤로라면 Directory 서비스 로그와 파일 복제 서비스 로그도 찾아볼 수 있다. 오른쪽 패널에는 로깅된 이벤트의 리스트를 보여주는데 자세히 보기 위해서는 원하는 이벤트를 더블클릭하면 된다.
이벤트 로그의 종류 ① 응용 프로그램 로그 : 응용프로그램에 의해서 발생되는 로그가 기록된다. SQL서버나 Exchange서버등의 응용프로그램이 동작하는데 발생되는 이벤트를 보고 싶다면 이곳을 확인한다. ② 보안로그 : 로그온 하는 사용자가 누구인지, 파일이나 프린터등의 자원에 접근하는 사용자가 누군인지를 알기 위해 감사정책을 구현했을 때 시스템은 보안로그에 로깅을 하게 된다. 관리자그룹만 보안로그를 열어 볼 수 있도록 제한된다. ③ 시스템 로그 : 시스템에서 동작하는 서비스나 디바이스 등에서 생기는 이벤트가 기록된다. ④ DNS Server 로그 : DNS서비스에서 발생되는 이벤트가 기록된다. DNS의 쓰임새가 광범위해지다 보니 DNS서버의 안정적인 동작이 중요해졌다. ⑤ Directory Service 로그 : Active Directory 에 관련된 이벤트가 기록된다. 데이터베이스 엔진이 문제가 생겼다거나 Active Directory 조각모음이 발생하였다거나 하는 이벤트가 기록된다. ⑥ 파일 복제 서비스 로그 : 도메인 컨트롤러간에 Sysvol 공유폴더 복제에 관련된 이벤트가 기록된다. 이들 복제가 제대로 이루어지지 않으면 사용자들은 일관성있는 그룹정책의 반영에 문제를 겪게 될 수 있다. |
<그림11-54. 이벤트 등록정보>
이벤트를 더블클릭하면 <그림11-54>와 같은 화면을 보여주는데 여기서 몇가지 정보를 알 수 있다. 이벤트ID가 4301라는 것과 이벤트가 발생한 시간, 이벤트에 대한 구체적인 설명을 해 주고 있다.
<그림11-55. 이벤트 유형>
이벤트는 <그림11-55>에서 보여지는 것처럼 3가지 유형을 가진다. 경고(!), 정보(i), 오류(x)로 나뉘는데 경고는 생길 수 있는 문제점에 대한 알림이고, 정보는 특정 서비스가 시작되었다거나 하는 등의 말그대로 정보를 주는 것이고, 오류는 서비스가 멈췄다거나, 디바이스의 오류가 발생하였다거나 하는 문제점을 알려준다.
관리자들이 가장 관심을 가져야 할 메시지는 ‘오류’메시지이다. 색깔부터 빨간색으로 표기되고 있어 사실 기분나쁘다. 늘 파란색의 ‘정보’메시지만 로깅된다면 좋겠지만 이 시간에도 당신의 서버는 수없이 많은 이벤트를 기록하고 있을 것이다. 그렇다면 이러한 메시지가 발생했을 때 어떻게 대처해야 할까?
<그림11-56. 이벤트 등록정보>
해결하고자 하는 메시지를 더블클릭해서 자세한 정보로 접근한다. 이벤트ID와 더불어 구체적인 설명을 해 주고 있는데 이 설명만으로 이벤트가 발생한 원인을 파악할 수 있다면 좋겠지만 대부분의 경우는 그렇지 못하다. 이때 이벤트ID를 통해서 마이크로소프트의 Support 사이트를 통해서 검색을 해 보면 상당부분은 이벤트의 발생원인과 해결방법등이 기록된 기사들을 찾을 수 있다. http://support.microsoft.com나 http://www.eventid.net에 접근하여 이벤트ID를 입력하여 검색해 본다. 검색결과가 나오지 않으면 설명중에서 핵심단어를 검색할 필요가 있다. 자주 하다 보면 검색사가 될 것이다. 가장 빠른 해결책이 될 것이니 지겹지만 그렇게 접근해 볼 필요가 있다.
다음의 화면은 <그림11-56>에서 http://go.microsoft.com/fwlink/events.asp 링크를 클릭한 화면이다. 간혹 쉽게 해결책을 제시해 주기도 한다.
필자 개인적으로는 Google검색을 활용한다. 일반적으로 필요로 하는 대부분의 문제에 대한 원인 및 해결방법은 Google을 통해서 찾을 수 있었다. 해결이 되지 않아 Q&A사이트나, 마이크로소프트를 통해서 지원을 받고자 할때는 그림에서 동그라미로 표기된 부분인 ‘복사’버튼을 이용한다. 복사한 다음에 E-mail이나 게시판에 붙여넣기 하면 이벤트 전체를 상대방에게 알려줄 수 있다. 당신의 컴퓨터를 열고 복사버튼을 누른뒤 메모장에 붙여넣기를 해 보라. 무엇을 말하는지 알 수 있을 것이다.
또한 이벤트로그를 필터링 해서 볼 수도 있다. 원하는 카테고리별로, 혹은 시간대별로 로그를 필터링해서 원하는 정보를 찾을 수가 있다. 관리콘솔의 왼쪽패널에서 원하는 로그를 선택하고 마우스 오른쪽 클릭하여 ‘등록정보’로 접근한다.
<그림11-58. 이벤트 로그 필터링>
필터탭을 선택하여 필터링을 설정하면 원하는 결과를 얻을 수 있다. <그림11-58>의 ‘일반’탭에서는 로그 크기 등을 결정할 수 있는데 기본적으로 이벤트 뷰어에서 저장하는 로그 크기는 512KB로 설정되어 있다. 간혹 서버를 처음 셋업하고 “로그가 꽉 차서 더 이상 로그를 기록할 수 없습니다.”라는 에러 메시지를 받게 되는 경우가 있는데 이때는 이벤트 뷰어 도구를 이용하여 로그를 비워주거나 로그 크기를 키워줄 필요가 있다.