🎯 EVTX, XML, MSC, Snap-in의 관계 총정리
Windows에서 이벤트 로그를 관리하는 구조를 쉽게 이해할 수 있도록 전체 관계를 정리해줄게! 🚀
🏛️ 1. 전체 개념 구조
📌 EVTX (이벤트 로그 파일)
📌 XML (EVTX 내부 데이터 포맷)
📌 MSC (Windows 관리 도구 실행 파일)
📌 Snap-in (MMC에서 실행되는 모듈)
📌 MMC (Windows 관리 도구의 컨트롤 패널)
➡ EVTX → XML → MSC → Snap-in → MMC 순으로 개념이 연결됨!
🔄 2. 개념 간 관계 정리
개념 역할 관계
| EVTX | Windows 이벤트 로그 파일 (Binary) | 내부 데이터를 XML 포맷으로 저장 |
| XML | EVTX 내부에서 이벤트 데이터를 기록하는 포맷 | EVTX 파일이 바이너리로 저장하지만, 데이터를 XML 구조로 보관 |
| MSC | Windows 관리 도구를 실행하는 스냅인 파일 | Snap-in을 실행하는 역할 (eventvwr.msc가 Snap-in을 실행) |
| Snap-in | MMC에서 특정 관리 기능을 담당하는 모듈 | MMC에 추가되어 실행되는 개별 기능 (이벤트 뷰어, 디스크 관리 등) |
| MMC | 여러 관리 도구(Snap-in)를 실행할 수 있는 프레임워크 | Snap-in을 로드하여 실행하는 컨트롤 패널 역할 |
🔍 3. 흐름 예제 (Windows 이벤트 로그 관리 과정)
💡 Windows에서 이벤트 로그를 보는 과정은 다음과 같아!
1️⃣ Windows가 이벤트를 기록하면 → EVTX 파일에 저장됨 (System.evtx, Security.evtx 등)
2️⃣ EVTX는 바이너리 형식이지만, 내부 데이터는 XML 포맷으로 저장됨
3️⃣ 사용자가 이벤트 로그를 확인하려고 하면?
- eventvwr.msc (이벤트 뷰어 실행 파일)을 실행
- eventvwr.msc는 MMC에서 이벤트 뷰어 Snap-in을 실행
- MMC는 Snap-in을 로드하여 이벤트 로그를 XML 형식으로 변환 후 출력
📝 결론:
- Windows 이벤트는 **EVTX (바이너리 파일)**에 저장되지만,
- eventvwr.msc를 실행하면 MMC가 Snap-in을 로드하여 XML 포맷으로 변환해서 보여줌!
🎯 4. 한 줄 요약
✅ EVTX = 이벤트 로그 파일 (바이너리 형식, 내부 데이터는 XML)
✅ XML = EVTX 내부에서 이벤트 데이터를 저장하는 포맷
✅ MSC = 특정 Windows 관리 도구를 실행하는 파일 (eventvwr.msc 실행하면 이벤트 뷰어 열림)
✅ Snap-in = MMC에서 실행되는 개별 관리 모듈 (이벤트 뷰어, 장치 관리자 등)
✅ MMC = 여러 Snap-in을 실행하는 Windows 관리 프레임워크
🎯 쉽게 비유하자면?
💡 EVTX = 비밀 코드로 된 기록물 (바이너리)
💡 XML = 그 기록물의 해독 방법 (구조화된 데이터)
💡 MSC = 특정 관리 기능을 여는 문 (실행 파일)
💡 Snap-in = 특정 기능 담당자 (이벤트 뷰어, 디스크 관리자 같은 역할)
💡 MMC = 모든 기능을 모아놓은 컨트롤 센터 (Windows 관리 패널)
이제 완벽하게 이해됐지? 🚀🔥
Windows 이벤트 로그 관리가 어떻게 돌아가는지 흐름이 딱 잡혔을 거야! 😆