Azure Monitor 에이전트를 사용하여 데이터 수집
Azure Monitor 에이전트는 Azure 가상 머신, 가상 머신 확장 집합 및 Azure Arc 지원 서버에서 데이터를 수집합니다. DCR(데이터 수집 규칙) 은 에이전트에서 수집할 데이터와 데이터를 보낼 위치를 정의합니다. 이 문서에서는 Azure Portal을 사용하여 DCR을 만들어 다양한 유형의 데이터를 수집하고 필요한 모든 컴퓨터에 에이전트를 설치하는 방법을 설명합니다.
Azure Monitor를 익숙하지 않거나 기본 데이터 수집 요구 사항이 있는 경우 Azure Portal 및 이 문서의 지침을 사용하여 모든 요구 사항을 충족할 수 있습니다. 변환과 같은 더 많은 DCR 기능을 활용하려면 다른 메서드를 사용하여 DCR을 만들거나 포털에서 DCR을 만든 후 DCR을 편집해야 할 수 있습니다. Azure CLI, Azure PowerShell, ARM 템플릿(Azure Resource Manager 템플릿) 또는 Azure Policy를 사용하여 배포하려는 경우 다른 방법을 사용하여 DCR을 관리하고 연결을 만들 수 있습니다.
참고 항목
테넌트 간에 데이터를 보내려면 먼저 Azure Lighthouse를 사용하도록 설정해야 합니다.
Warning
다음 시나리오에서는 중복 데이터를 수집하여 청구 요금을 증가시킬 수 있습니다.
- 데이터 원본이 동일한 여러 DCR을 만들고 동일한 에이전트에 연결합니다. 각 DCR이 고유한 데이터를 수집하도록 DCR에서 데이터를 필터링해야 합니다.
- 보안 로그를 수집하는 DCR을 만들고 동일한 에이전트에 대해 Microsoft Sentinel을 사용하도록 설정합니다. 이 경우 Event 테이블과 SecurityEvent 테이블에서 동일한 이벤트를 수집할 수 있습니다.
- 동일한 컴퓨터에서 Azure Monitor 에이전트와 레거시 Log Analytics 에이전트를 모두 사용합니다. 중복 이벤트는 한 에이전트에서 다른 에이전트로 전환하는 동안으로만 제한해야 합니다.
데이터 원본
다음 표에서는 Azure Monitor 에이전트를 사용하여 현재 수집할 수 있는 데이터 형식과 해당 데이터를 보낼 수 있는 위치를 나열합니다. 각 데이터 원본에 대한 링크는 데이터 원본을 구성하는 방법에 대한 세부 정보를 설명하는 문서용입니다. 이 문서의 단계를 완료하여 DCR을 만들고 리소스에 할당한 다음 관련 연결된 문서를 참조하여 데이터 원본을 구성하는 방법을 알아봅니다.
| 데이터 원본 | 설명 | 클라이언트 운영 체제 | 도착지 |
|---|---|---|---|
| Windows 이벤트 | Sysmon 이벤트를 포함하여 Windows 이벤트 로깅 시스템으로 전송되는 정보 | Windows | Log Analytics 작업 영역 |
| 성능 카운터 | 운영 체제 및 워크로드의 다양한 측면의 성능을 측정하는 숫자 값 | Windows Linux |
Azure Monitor 메트릭(미리 보기) Log Analytics 작업 영역 |
| Syslog | Linux 이벤트 로깅 시스템으로 전송되는 정보 | Linux | Log Analytics 작업 영역 |
| 텍스트 로그 | 로컬 디스크의 텍스트 로그 파일로 전송되는 정보 | Windows Linux |
Log Analytics 작업 영역 |
| JSON 로그 | 로컬 디스크의 JSON 로그 파일로 전송되는 정보 | Windows Linux |
Log Analytics 작업 영역 |
| IIS 로그 | Windows 컴퓨터의 로컬 디스크에 있는 IIS(인터넷 정보 서비스) 로그 | Windows | Log Analytics 작업 영역 |
참고 항목
또한 Azure Monitor 에이전트는 현재 일반 공급 상태인 Azure 서비스 SQL 모범 사례 평가를 지원합니다. 자세한 내용은 Azure Monitor 에이전트를 사용하여 모범 사례 평가 구성을 참조하세요.
필수 조건
- 작업 영역에서 DCR 개체를 만들 수 있는 권한입니다.
- 모든 필수 구성 요소는 관련 데이터 원본을 설명하는 이전 표의 연결된 문서를 참조하세요.
데이터 수집 규칙을 만듭니다.
Azure Portal은 가상 머신 및 확장 집합에 대한 DCR을 만들기 위한 간소화된 환경을 제공합니다. 이 메서드를 사용하면 변환과 같은 고급 기능을 구현하려는 경우가 아니면 DCR의 구조를 이해할 필요가 없습니다. Azure Monitor에서 DCR 만들기에 설명된 다른 생성 방법을 사용할 수도 있습니다.
Azure Portal의 모니터 메뉴에서 데이터 수집 규칙>만들기를 선택하여 DCR 만들기 창을 엽니다.
기본 사항 탭에는 DCR에 대한 기본 정보가 포함되어 있습니다.
| 설정 | 설명 |
|---|---|
| 규칙 이름 | DCR의 이름입니다. 이름은 규칙을 식별하는 데 도움이 되는 설명적인 이름이어야 합니다. |
| 구독 | DCR을 저장할 구독입니다. 구독은 가상 머신과 동일한 구독일 필요는 없습니다. |
| 리소스 | DCR을 저장할 리소스 그룹입니다. 리소스 그룹은 가상 머신과 동일한 리소스 그룹일 필요는 없습니다. |
| 지역 | DCR을 저장할 Azure 지역입니다. 지역은 DCR의 대상에서 사용되는 Log Analytics 작업 영역 또는 Azure Monitor 작업 영역과 동일한 지역이어야 합니다. 다른 지역에 작업 영역이 있는 경우 동일한 컴퓨터 집합과 연결할 여러 DCR을 만듭니다. |
| 플랫폼 유형 | DCR (Windows 또는 Linux)에 사용할 수 있는 데이터 원본의 형식을 지정합니다. 없음은 두 가지 모두에 사용할 수 있습니다. 1 |
| 데이터 컬렉션 엔드포인트 | 데이터를 수집하는 데 사용되는 DCE(데이터 수집 엔드포인트)를 지정합니다. DCE는 Azure Monitor Private Links를 사용하는 경우에만 필요합니다. 이 DCE는 DCR과 동일한 지역에 있어야 합니다. 자세한 내용은 배포에 따라 데이터 수집 엔드포인트 설정을 참조하세요. |
1 이 옵션은 DCR의 kind 특성을 설정합니다. 이 특성에 대해 다른 값을 설정할 수 있지만 포털에서 값을 선택할 수는 없습니다.
리소스 추가
리소스 창에서 DCR과 연결할 VM을 추가할 수 있습니다. 추가할 리소스를 선택하려면 리소스 추가를 선택합니다. Azure Monitor 에이전트는 에이전트가 아직 설치되지 않은 리소스에 자동으로 설치됩니다. DCRA(데이터 수집 규칙 연결)는 컴퓨터와 DCR 간에 만들어집니다.
Important
리소스가 DCR에 추가되면 Azure Portal의 기본 옵션은 리소스에 대해 시스템 할당 관리 ID를 사용하도록 설정하는 것입니다. 기존 애플리케이션의 경우 사용자 할당 관리 ID가 이미 설정된 경우 포털을 사용하여 DCR에 리소스를 추가할 때 사용자 할당 ID를 지정하지 않으면 컴퓨터는 기본적으로 DCR에 의해 적용되는 시스템 할당 ID를 사용합니다.
모니터링하는 컴퓨터가 대상 Log Analytics 작업 영역과 동일한 지역에 있지 않고 DCE가 필요한 데이터 형식을 수집하는 경우 데이터 수집 엔드포인트 사용을 선택하고 모니터링되는 각 컴퓨터의 영역에서 엔드포인트를 선택합니다. 모니터링되는 컴퓨터가 대상 Log Analytics 작업 영역과 동일한 지역에 있거나 DCE가 필요하지 않은 경우 리소스 탭에서 데이터 수집 엔드포인트를 선택하지 마세요.
데이터 원본 추가
수집 및 배달 창에서 DCR에 대한 데이터 원본을 추가 및 구성하고 각 원본에 대한 대상을 추가할 수 있습니다.
| 설정 | 설명 |
|---|---|
| 데이터 원본 | 데이터 원본 유형을 선택하고 선택한 데이터 원본 유형에 따라 관련 필드를 정의합니다. 각 형식의 데이터 원본을 구성하는 방법에 대한 자세한 내용은 데이터 원본의 관련 문서를 참조하세요. |
| 대상 | 각 데이터 원본에 대해 하나 이상의 대상을 추가합니다. 동일한 형식의 여러 대상을 선택하거나 다른 형식을 선택할 수 있습니다. 예를 들어 멀티호밍이라고 하는 여러 Log Analytics 작업 영역을 선택할 수 있습니다. 지원하는 다양한 대상에 대해서는 각 데이터 형식의 세부 정보를 참조하세요. |
DCR에는 여러 다른 데이터 원본이 포함될 수 있습니다. 최대 10개의 데이터 원본은 단일 DCR에 있을 수 있습니다. 동일한 DCR에서 서로 다른 데이터 원본을 결합할 수 있지만 일반적으로 다른 데이터 수집 시나리오에 대해 서로 다른 DCR을 만듭니다. DCR을 구성하는 방법에 대한 권장 사항은 Azure Monitor에서 데이터 수집 규칙 만들기 및 관리에 대한 모범 사례를 참조하세요.
참고 항목
데이터 수집 규칙 마법사를 사용하여 DCR을 만들 때 대상에 데이터를 보내는 데 최대 5분이 걸릴 수 있습니다.
작업 확인
DCR을 만들고 컴퓨터와 연결한 후에는 에이전트가 작동하고 Log Analytics 작업 영역에서 쿼리를 실행하여 데이터가 수집되고 있는지 확인할 수 있습니다.
에이전트 작업 확인
Log Analytics에서 다음 쿼리를 실행하여 에이전트가 작동하고 제대로 통신하는지 확인합니다. 쿼리는 하트비트 테이블에 레코드가 있는지 확인합니다. 각 에이전트에서 1분마다 레코드를 이 테이블로 보내야 합니다.
Heartbeat
| where TimeGenerated > ago(24h)
| where Computer has "<computer name>"
| project TimeGenerated, Category, Version
| order by TimeGenerated desc
레코드가 수신되었는지 확인
에이전트를 설치하고 새 DCR 또는 수정된 DCR 실행을 시작하는 데 몇 분 정도 걸립니다. 그런 다음 각 원본이 Log Analytics 작업 영역에서 쓰는 테이블을 확인하여 각 데이터 원본에서 레코드가 수신되고 있는지 확인할 수 있습니다.
예를 들어 다음 쿼리는 이벤트 테이블의 Windows 이벤트를 확인합니다.
Event
| where TimeGenerated > ago(48h)
| order by TimeGenerated desc
문제 해결
예상되는 데이터가 수집되지 않는 경우 다음 단계를 완료합니다.
에이전트가 컴퓨터에 설치되어 있고 실행 중인지 확인합니다.
문제가 있는 데이터 원본에 대한 문서의 문제 해결 섹션을 참조하세요.
DCR에 대한 모니터링을 사용하도록 설정한 다음, 다음을 수행합니다.
- 메트릭을 확인하여 데이터가 수집되고 있는지, 행이 삭제되는지를 확인합니다.
- 로그를 보고 데이터 수집에서 발생한 오류를 식별합니다.
관련 콘텐츠
- Azure Monitor 에이전트를 사용하여 텍스트 로그를 수집합니다.
- Azure Monitor 에이전트에 대해 자세히 알아봅니다.
- 데이터 수집 규칙에 대해 자세히 알아봅니다.