Azure Monitor 로그 모범 사례
이 문서에서는 Azure Monitor 로그에 대한 아키텍처 모범 사례를 제공합니다. 이 지침은 Azure Well-Architected Framework에 설명된 뛰어난 아키텍처의 5가지 원칙을 핵심 요소로 합니다.
안정성
안정성은 시스템이 오류를 복구하고 계속 작동할 수 있는 기능을 의미합니다. 목표는 단일 실패 구성 요소의 영향을 최소화하는 것입니다. 다음 정보를 사용하여 Log Analytics 작업 영역의 오류를 최소화하고 수집한 데이터를 보호합니다.
Log Analytics 작업 영역은 높은 수준의 안정성을 제공합니다. 수집된 데이터를 Log Analytics 작업 영역으로 보내는 수집 파이프라인은 Log Analytics 작업 영역이 파이프에서 레코드를 제거하기 전에 각 로그 레코드를 성공적으로 처리했는지 확인합니다. 수집 파이프라인을 사용할 수 없는 경우 데이터 버퍼를 보내고 로그를 수 시간 동안 전송을 다시 시도하는 에이전트입니다.
복원력을 향상시키는 Azure Monitor 로그 기능
Azure Monitor 로그는 다양한 유형의 문제에 대한 작업 영역 복원력을 향상시키는 몇 가지 기능을 제공합니다. 필요에 따라 이러한 기능을 개별적으로 또는 조합하여 사용할 수 있습니다.
이 비디오에서는 Log Analytics 작업 영역에 사용할 수 있는 안정성 및 복원력 옵션에 대한 개요를 제공합니다.
가용성 영역을 사용한 지역 내 보호
가용성 영역을 지원하는 각 Azure 지역에는 독립적인 전원, 냉각 및 네트워킹 인프라를 갖춘 일련의 데이터 센터가 있습니다.
Azure Monitor 로그 가용성 영역은 중복되어 있습니다. 즉, Microsoft에서 서비스 요청을 분산하고 데이터를 지원되는 지역의 여러 영역에 복제합니다. 인시던트가 한 영역에 영향을 주는 경우 Microsoft는 해당 지역의 다른 가용성 영역을 자동으로 사용합니다. 영역 간 전환이 원활하기 때문에 아무 작업도 수행할 필요가 없습니다.
대부분의 지역에서 Azure Monitor 로그 가용성 영역은 데이터 복원력을 지원합니다. 즉, 저장된 데이터는 영역별 오류와 관련된 데이터 손실로부터 보호되지만 서비스 작업은 여전히 지역적 인시던트의 영향을 받을 수 있습니다. 서비스에서 쿼리를 실행할 수 없는 경우 문제가 해결될 때까지 로그를 볼 수 없습니다.
데이터 복원력을 지원하는 가용성 영역의 하위 집합은 서비스 복원력 또한 지원합니다. 즉, Azure Monitor 로그 서비스 작업(예: 로그 수집, 쿼리 및 경고)은 영역에 오류가 발생해도 계속 수행할 수 있습니다.
가용성 영역은 스토리지 오류와 같은 인프라 관련 인시던트로부터 보호합니다. 전체 지역에 영향을 미치는 오류 코드 배포 또는 인증서 오류와 같은 애플리케이션 수준 문제로부터 보호하지 않습니다.
연속 내보내기를 사용하여 특정 테이블의 데이터 백업
Log Analytics 작업 영역의 특정 테이블로 전송된 데이터를 Azure Storage 계정으로 지속적으로 내보낼 수 있습니다.
데이터를 내보내는 스토리지 계정은 Log Analytics 작업 영역과 동일한 지역에 있어야 합니다. 작업 영역이 다운된 경우에도 수집된 로그를 보호하고 액세스하려면 구성 권장 사항에 설명된 대로 지역 중복 스토리지 계정을 사용합니다.
내보내기 메커니즘은 수집 파이프라인 또는 내보내기 프로세스 자체에 영향을 주는 인시던트로부터 보호를 제공하지 않습니다.
참고 항목
externaldata 연산자를 사용하여 Azure Monitor 로그에서 스토리지 계정의 데이터에 액세스할 수 있습니다. 그러나 내보낸 데이터는 5분 Blob에 저장되기 때문에 여러 Blob에 걸쳐 있는 데이터를 분석하는 것은 번거로울 수 있습니다. 따라서 스토리지 계정으로 데이터를 내보내는 것은 좋은 데이터 백업 메커니즘이지만 Azure Monitor 로그에서 분석해야 하는 경우 스토리지 계정에 백업된 데이터를 사용하는 것이 이상적이지 않습니다. Azure Data Explorer, Azure Data Factory 또는 다른 스토리지 액세스 도구를 사용하여 대량의 Blob 데이터를 쿼리할 수 있습니다.
작업 영역 복제를 사용한 지역 간 데이터 보호 및 서비스 복원력(미리 보기)
작업 영역 복제(미리 보기)는 Log Analytics 작업 영역 및 수신 로그를 다른 지역에 복제할 때 가장 광범위한 복원력 솔루션입니다.
작업 영역 복제는 로그와 서비스 작업을 모두 보호하고 인프라 또는 애플리케이션 관련 지역 전체 인시던트가 발생하는 경우 시스템을 계속 모니터링할 수 있도록 합니다.
Microsoft에서 엔드투엔드 관리를 하는 가용성 영역과 달리 기본 작업 영역의 상태를 모니터링하고 보조 지역 및 다시 작업 영역으로 전환할 시기를 결정해야 합니다.
디자인 검사 목록
- 지역 전체 인시던트에 대한 서비스 및 데이터 복원력을 보장하려면 작업 영역 복제를 사용하도록 설정합니다.
- 데이터 센터 오류에 대한 지역 내 보호를 보장하려면 가용성 영역을 지원하는 지역에 작업 영역을 만듭니다.
- 특정 테이블의 데이터를 여러 지역 간에 백업하는 경우 연속 내보내기 기능을 사용하여 지역에서 복제된 스토리지 계정으로 데이터를 보냅니다.
- Log Analytics 작업 영역의 상태를 모니터링합니다.
구성 권장 사항
| 권장 | 장점 |
|---|---|
| 가장 높은 수준의 복원력을 보장하려면 작업 영역 복제를 사용하도록 설정합니다. | 작업 영역 데이터 및 서비스 작업에 대한 지역 간 복원력 작업 영역 복제(미리 보기)는 다른 지역에 작업 영역의 보조 인스턴스를 만들고 두 작업 영역에 로그를 수집하여 고가용성을 보장합니다. 필요한 경우 기본 작업 영역에 영향을 주는 문제가 해결될 때까지 보조 작업 영역으로 전환합니다. 보조 작업 영역에서 대시보드, 경고 및 Sentinel을 사용하여 로그 수집, 데이터 쿼리를 계속할 수 있습니다. 또한 지역 전환 전에 수집된 로그에 액세스할 수 있습니다. 유료 기능이므로 수신 로그를 모두 복제할지 아니면 일부 데이터 스트림만 복제할지를 고려합니다. |
| 가능하면 Azure Monitor 서비스 복원력을 지원하는 지역에 작업 영역을 만듭니다. | 데이터 센터 문제가 발생할 경우 작업 영역 데이터 및 서비스 작업의 지역 내 복원력 서비스 복원력을 지원하는 가용성 영역도 데이터 복원력을 지원합니다. 즉, 전체 데이터 센터를 사용할 수 없게 되더라도 영역 간의 중복성을 통해 수집 및 쿼리와 같은 Azure Monitor 서비스 작업을 계속 수행할 수 있고 수집된 로그를 계속 사용할 수 있습니다. 가용성 영역은 지역 내 보호를 제공하지만 전체 지역에 영향을 주는 문제로부터 보호하지는 않습니다. 데이터 복원력을 지원하는 지역에 대한 자세한 내용은 가용성 영역을 사용하여 Azure Monitor 로그에서 데이터 및 서비스 복원력 향상을 참조하세요. |
| 데이터 복원력을 지원하는 지역에 작업 영역을 만듭니다. | 데이터 센터에 문제가 발생하는 경우 작업 영역의 로그 손실을 방지하기 위해 지역 내 보호를 제공합니다. 데이터 복원력을 지원하는 지역에서 작업 영역을 만들면 전체 데이터 센터를 사용할 수 없게 되더라도 수집된 로그가 안전합니다. 서비스에서 쿼리를 실행할 수 없는 경우 문제가 해결될 때까지 로그를 볼 수 없습니다. 데이터 복원력을 지원하는 지역에 대한 자세한 내용은 가용성 영역을 사용하여 Azure Monitor 로그에서 데이터 및 서비스 복원력 향상을 참조하세요. |
| 특정 테이블에서 지역 간에 복제되는 스토리지 계정으로 데이터 내보내기를 구성합니다. | 다른 지역에서 로그 데이터의 백업 복사본을 유지 관리합니다. Azure Monitor의 데이터 내보내기 기능을 사용하면 특정 테이블로 전송된 데이터를 Azure Storage로 지속적으로 내보낼 수 있으며, 이 경우 장기간 보존할 수 있습니다. GRS(지역 중복 스토리지) 또는 GZRS(지역 영역 중복 스토리지) 계정을 사용하여 전체 지역을 사용할 수 없게 되더라도 데이터를 안전하게 보호할 수 있습니다. 다른 지역에서 데이터를 읽을 수 있도록 하려면 보조 지역에 대한 읽기 권한을 위해 스토리지 계정을 구성합니다. 자세한 내용은 보조 지역의 Azure Storage 중복도 및 보조 지역의 데이터에 대한 Azure Storage 읽기 권한을 참조하세요. 연속 데이터 내보내기를 지원하지 않는 테이블의 경우 Logic Apps를 비롯한 다른 데이터 내보내기 방법을 사용하여 데이터를 보호할 수 있습니다. 데이터를 분석하고 작업 영역으로 복원하기 어려울 수 있으므로 이는 주로 데이터 보존 규정 준수를 충족하기 위한 솔루션입니다. 데이터 내보내기는 해당 지역의 Azure Monitor 수집 파이프라인의 안정성에 의존하기 때문에 지역 인시던트에 취약합니다. 지역 수집 파이프라인에 영향을 주는 인시던트에 대한 복원력을 제공하지 않습니다. |
| Log Analytics 작업 영역의 상태를 모니터링합니다. | Log Analytics 작업 영역 인사이트를 사용하여 실패한 쿼리를 추적하고 상태 경고를 만들어 데이터 센터 또는 지역별 오류로 인해 작업 영역을 사용할 수 없는 경우 사전에 알립니다. |
Azure Monitor 로그 복원력 기능 비교
| 기능 | 서비스 복원력 | 데이터 백업 | 고가용성 | 보호 범위 | 설정 | 비용 |
|---|---|---|---|---|---|---|
| 작업 영역 복제 | ✅ | ✅ | ✅ | 지역 전체 인시던트에 대한 지역 간 보호 | 작업 영역 및 관련 데이터 수집 규칙의 복제를 사용하도록 설정합니다. 필요에 따라 지역 간을 전환합니다. | 복제된 GB 및 지역 수를 기준으로 합니다. |
| 가용성 영역 | ✅ 지원되는 지역에서 |
✅ | ✅ | 데이터 센터 문제에 대한 지역 내 보호 | 지원되는 지역에서 자동으로 사용하도록 설정됩니다. | 무료 |
| 연속 데이터 내보내기 | ✅ | 지역별 오류로 인한 데이터 손실로부터 보호 1 | 테이블별로 사용하도록 설정합니다. | 데이터 내보내기 비용 + 스토리지 Blob 또는 Event Hubs |
1 지역 복제 스토리지 계정으로 로그를 내보내는 경우 데이터 내보내기가 지역 간 보호를 제공합니다. 인시던트가 발생할 경우 이전에 내보낸 데이터가 백업되어 쉽게 사용할 수 있습니다. 그러나 인시던트 특성에 따라 추가 내보내기가 실패할 수 있습니다.
보안
보안은 아키텍처의 가장 중요한 측면 중 하나입니다. Azure Monitor는 최소 권한 원칙과 심층 방어 원칙을 모두 사용하는 기능을 제공합니다. 다음 정보를 사용하여 Log Analytics 작업 영역의 보안을 최대화하고 권한 있는 사용자만 수집된 데이터에 액세스하도록 합니다.
디자인 검사 목록
- 동일한 Log Analytics 작업 영역에서 운영 데이터와 보안 데이터를 결합할지 여부를 결정합니다.
- 조직의 다양한 역할에 필요한 작업 영역의 다양한 데이터 형식에 대한 액세스를 구성합니다.
- Azure 프라이빗 링크를 사용하여 공용 네트워크에서 작업 영역에 대한 액세스를 제거하는 것이 좋습니다.
- 작업 영역의 데이터와 저장된 쿼리를 보호하기 위해 자체 암호화 키가 필요한 경우 고객 관리형 키를 사용합니다.
- 장기 보존 또는 불변성을 위해 감사 데이터를 내보냅니다.
- 쿼리를 실행하는 사용자를 추적하도록 로그 쿼리 감사를 구성합니다.
- 작업 영역에서 중요한 데이터를 필터링하거나 난독 처리하기 위한 전략을 결정합니다.
- 실수로 수집된 중요한 데이터를 제거합니다.
- Microsoft Azure용 고객 Lockbox를 사용하도록 설정하여 Microsoft 데이터 액세스 요청을 승인하거나 거부합니다.
구성 권장 사항
| 권장 | 장점 |
|---|---|
| 동일한 Log Analytics 작업 영역에서 운영 데이터와 보안 데이터를 결합할지 여부를 결정합니다. | 이 데이터를 결합할지 여부는 특정 보안 요구 사항에 따라 결정됩니다. 보안 팀에 전용 작업 영역이 필요할 수 있지만 단일 작업 영역에서 결합하면 모든 데이터에서 더 나은 가시성을 얻을 수 있습니다. 다른 핵심 요소의 기준과 환경의 균형을 맞추는 이러한 결정에 대한 자세한 내용은 Log Analytics 작업 영역 전략 디자인을 참조하세요. 절충: 작업 영역에서 Sentinel을 사용하도록 설정하는 데 잠재적인 비용 영향이 있습니다. Log Analytics 작업 영역 아키텍처 디자인의 세부 정보를 참조하세요. |
| 조직의 다양한 역할에 필요한 작업 영역의 다양한 데이터 형식에 대한 액세스를 구성합니다. | 작업 영역에 대한 액세스 제어 모드를 리소스 또는 작업 영역 권한 사용으로 설정하면 리소스 소유자가 작업 영역에 대한 명시적인 액세스 권한을 부여받지 않고도 리소스 컨텍스트를 사용하여 데이터에 액세스할 수 있습니다. 이렇게 하면 작업 영역 구성이 간소화되고 사용자가 액세스해서는 안 되는 데이터에 액세스할 수 없게 됩니다. 적절한 기본 제공 역할을 할당하여 해당 책임 범위에 따라 구독, 리소스 그룹 또는 작업 영역 수준에서 관리자에게 작업 영역 권한을 부여합니다. 여러 리소스에 걸쳐 테이블 세트에 액세스해야 하는 사용자를 위해 테이블 수준 RBAC를 활용합니다. 테이블 권한이 있는 사용자는 리소스 사용 권한에 관계없이 테이블의 모든 데이터에 액세스할 수 있습니다. 작업 영역의 데이터에 대한 액세스 권한을 부여하는 다양한 옵션에 대한 자세한 내용은 Log Analytics 작업 영역에 대한 액세스 관리를 참조하세요. |
| Azure 프라이빗 링크를 사용하여 공용 네트워크에서 작업 영역에 대한 액세스를 제거하는 것이 좋습니다. | 퍼블릭 엔드포인트에 대한 연결은 엔드투엔드 암호화로 보호됩니다. 프라이빗 엔드포인트가 필요한 경우 Azure 프라이빗 링크를 사용하여 리소스가 권한 있는 프라이빗 네트워크를 통해 Log Analytics 작업 영역에 연결할 수 있도록 할 수 있습니다. 프라이빗 링크를 사용하여 ExpressRoute 또는 VPN을 통해 작업 영역 데이터를 강제로 수집할 수도 있습니다. 사용자 환경에 가장 적합한 네트워크 및 DNS 토폴로지를 확인하려면 Azure Private Link 설정 디자인을 참조하세요. |
| 작업 영역의 데이터와 저장된 쿼리를 보호하기 위해 자체 암호화 키가 필요한 경우 고객 관리형 키를 사용합니다. | Azure Monitor를 사용하면 모든 데이터 및 저장된 쿼리가 MMK(Microsoft 관리형 키)를 사용하여 미사용 상태로 암호화됩니다. 자체 암호화 키가 필요하고 전용 클러스터에 충분한 데이터를 수집하는 경우 고객 관리형 키를 사용하여 유연성을 높이고 키 수명 주기 제어를 강화합니다. Microsoft Sentinel을 사용하는 경우 Microsoft Sentinel 고객 관리형 키 설정의 고려 사항을 숙지해야 합니다. |
| 장기 보존 또는 불변성을 위해 감사 데이터를 내보냅니다. | 장기 보존이 필요한 규정의 적용을 받는 작업 영역에서 감사 데이터를 수집했을 수 있습니다. Log Analytics 작업 영역의 데이터는 변경할 수 없지만 제거할 수는 있습니다. 데이터 내보내기를 사용하여 데이터 변조로부터 보호하기 위한 불변성 정책을 통해 Azure Storage 계정에 데이터를 보냅니다. 모든 유형의 로그가 규정 준수, 감사 또는 보안과 동일한 관련성을 가지는 것은 아니므로 내보내야 하는 특정 데이터 형식을 결정합니다. |
| 쿼리를 실행하는 사용자를 추적하도록 로그 쿼리 감사를 구성합니다. | 로그 쿼리 감사는 작업 영역에서 실행되는 각 쿼리에 대한 세부 정보를 기록합니다. 이 감사 데이터를 보안 데이터로 처리하고 LAQueryLogs 테이블을 적절하게 보호합니다. 각 작업 영역에 대한 감사 로그를 로컬 작업 영역으로 보내도록 구성하거나 운영 데이터와 보안 데이터를 분리하는 경우 전용 보안 작업 영역에 통합합니다. Log Analytics 작업 영역 인사이트를 사용하여 이 데이터를 주기적으로 검토하고 로그 검색 경고 규칙을 만들어 권한이 없는 사용자가 검색을 실행하려고 시도하는 경우 사전에 알리는 것이 좋습니다. |
| 작업 영역에서 중요한 데이터를 필터링하거나 난독 처리하기 위한 전략을 결정합니다. | 중요한 정보를 포함하는 데이터를 수집할 수 있습니다. 특정 데이터 원본에 대한 구성을 사용하여 수집해서는 안 되는 레코드를 필터링합니다. 데이터의 특정 열만 제거하거나 난독 처리해야 하는 경우 변환을 사용합니다. 원래 데이터를 수정하지 않아도 되는 표준이 있는 경우 KQL 쿼리에서 'h' 리터럴을 사용하여 통합 문서에 표시된 쿼리 결과를 난독 처리할 수 있습니다. |
| 실수로 수집된 중요한 데이터를 제거합니다. | 작업 영역에서 실수로 수집되었을 수 있는 프라이빗 데이터를 주기적으로 확인하고 데이터 제거를 사용하여 제거합니다. |
| Microsoft Azure용 고객 Lockbox를 사용하도록 설정하여 Microsoft 데이터 액세스 요청을 승인하거나 거부합니다. | Microsoft Azure에 대한 고객 Lockbox는 고객 데이터 액세스 요청을 검토하고 승인하거나 거부할 수 있는 인터페이스를 제공합니다. 이는 고객이 시작한 지원 티켓이나 Microsoft에서 식별한 문제에 대한 응답으로 Microsoft 엔지니어가 고객 데이터에 액세스해야 하는 경우에 사용됩니다. 고객 Lockbox를 사용하도록 설정하려면 전용 클러스터가 필요합니다. 현재 Lockbox는 보조 계획이 있는 테이블에 적용할 수 없습니다. |
비용 최적화
비용 최적화는 불필요한 비용을 줄이고 운영 효율성을 높이는 방법을 표시합니다. 수집하는 데이터의 양을 줄일 수 있는 다양한 구성 옵션과 기회를 이해하면 Azure Monitor 비용을 크게 줄일 수 있습니다. Azure Monitor에서 요금을 청구하는 다양한 방법과 월별 청구서를 확인하는 방법을 알아보려면 Azure Monitor 요금 및 사용량을 참조하세요.
참고 항목
Azure Monitor의 모든 기능에 대한 비용 최적화 권장 사항은 Azure Monitor에서 비용 최적화를 참조하세요.
디자인 검사 목록
- 동일한 Log Analytics 작업 영역에서 운영 데이터와 보안 데이터를 결합할지 여부를 결정합니다.
- 각 Log Analytics 작업 영역에서 일반적으로 수집하는 데이터의 양에 대한 가격 책정 계층을 구성합니다.
- 데이터 보존 및 보관을 구성합니다.
- 디버깅, 문제 해결 및 감사에 사용되는 테이블을 기본 로그로 구성합니다.
- 작업 영역의 데이터 원본에서 데이터 수집을 제한합니다.
- 수집된 데이터를 정기적으로 분석하여 추세 및 변칙을 식별합니다.
- 데이터 수집량이 많을 때는 경고를 만듭니다.
- 특정 예산을 초과하지 않도록 일별 한도를 예방 측정값으로 고려합니다.
- Log Analytics 작업 영역에 대한 Azure Advisor 비용 권장 사항에 대한 경고를 설정합니다.
구성 권장 사항
| 권장 | 장점 |
|---|---|
| 동일한 Log Analytics 작업 영역에서 운영 데이터와 보안 데이터를 결합할지 여부를 결정합니다. | Microsoft Sentinel을 사용하는 경우 Log Analytics 작업 영역의 모든 데이터에는 Microsoft Sentinel 가격 책정이 적용되므로 이 데이터를 결합하는 데 비용이 발생할 수 있습니다. 다른 핵심 요소의 기준과 환경의 균형을 맞추는 이러한 결정에 대한 자세한 내용은 Log Analytics 작업 영역 전략 디자인을 참조하세요. |
| 각 Log Analytics 작업 영역에서 일반적으로 수집하는 데이터의 양에 대한 가격 책정 계층을 구성합니다. | 기본적으로 Log Analytics 작업 영역은 최소 데이터 볼륨이 없는 종량제 가격 책정을 사용합니다. 충분한 데이터를 수집하면 약정 계층을 사용하여 비용을 크게 절감할 수 있습니다. 이를 통해 더 낮은 요율로 수집된 일일 최소 데이터를 약정할 수 있습니다. 단일 지역의 작업 영역에서 충분한 데이터를 수집하는 경우 이를 전용 클러스터에 연결하고 클러스터 가격 책정을 사용하여 수집된 볼륨을 결합할 수 있습니다. 약정 계층에 대한 자세한 내용과 사용 수준에 가장 적합한 항목을 결정하기 위한 지침은 Azure Monitor 로그 비용 계산 및 옵션을 참조하세요. 다른 가격 책정 계층에서 사용량에 대한 예상 비용을 보려면 사용량 및 예상 비용을 참조하세요. |
| 대화형 및 장기 데이터 보존을 구성합니다. | 기본값인 31일(Sentinel이 작업 영역에서 사용하도록 설정된 경우 90일, Application Insights 데이터의 경우 90일)을 초과하여 Log Analytics 작업 영역에 데이터를 보존하는 데는 요금이 부과됩니다. 로그 쿼리에서 데이터를 쉽게 사용할 수 있도록 하는 특정 요구 사항을 고려합니다. 장기 보존을 구성하여 최대 12년 동안 데이터를 보존하고 검색 작업을 사용하거나 작업 영역에 데이터 집합을 복원하여 때때로 액세스할 수 있도록 하여 비용을 크게 줄일 수 있습니다. |
| 디버깅, 문제 해결 및 감사에 사용되는 테이블을 기본 로그로 구성합니다. | 기본 로그용으로 구성된 Log Analytics 작업 영역의 테이블은 제한된 기능과 로그 쿼리에 대한 요금 대신 수집 요금이 낮습니다. 이러한 테이블을 자주 쿼리하지 않고 경고에 사용하지 않는 경우 이 쿼리 비용은 감소된 수집 비용에 따른 상쇄 비용보다 더 클 수 있습니다. |
| 작업 영역의 데이터 원본에서 데이터 수집을 제한합니다. | Azure Monitor 비용의 주요 요소는 Log Analytics 작업 영역에서 수집하는 데이터의 양이므로 서비스 및 애플리케이션의 상태 및 성능을 평가하는 데 필요한 데이터를 더 이상 수집하지 않도록 해야 합니다. 환경이 다른 핵심 요소의 기준과 균형을 맞추는 데 대한 자세한 내용은 Log Analytics 작업 영역 아키텍처 디자인을 참조하세요. 절충: 비용과 모니터링 요구 사항 간에 절충이 있을 수 있습니다. 예를 들어 높은 샘플링 속도를 사용하면 성능 문제를 더 빠르게 감지할 수 있지만 비용 절감을 위해 더 낮은 샘플링 속도를 원할 수 있습니다. 대부분의 환경에는 다양한 형식의 컬렉션이 있는 여러 데이터 원본이 있으므로 특정 요구 사항과 각 비용 대상의 균형을 맞춰야 합니다. 다양한 데이터 원본에 대한 컬렉션 구성에 대한 권장 사항은 Azure Monitor의 비용 최적화를 참조하세요. |
| 수집된 데이터를 정기적으로 분석하여 추세 및 변칙을 식별합니다. | Log Analytics 작업 영역 인사이트를 사용하여 작업 영역에서 수집된 데이터의 양을 주기적으로 검토합니다. 다양한 원본에서 수집한 데이터의 양을 이해하는 데 도움이 될 뿐만 아니라 초과 비용을 초래할 수 있는 데이터 수집의 변칙 및 상향 추세를 식별합니다. Log Analytics 작업 영역에서 사용량 분석의 방법을 사용하여 데이터 수집을 추가로 분석하여 사용량을 더 줄일 수 있는 추가 구성이 있는지 확인합니다. 이는 새 가상 머신 세트 또는 새 서비스 온보딩과 같은 새 데이터 원본 집합을 추가할 때 특히 중요합니다. |
| 데이터 수집량이 많을 때는 경고를 만듭니다. | 예기치 않은 청구를 방지하려면 과도한 사용량이 발생할 때마다 사전에 알림을 받아야 합니다. 알림을 사용하면 청구 기간이 끝나기 전에 잠재적인 변칙을 해결할 수 있습니다. |
| 특정 예산을 초과하지 않도록 일별 한도를 예방 측정값으로 고려합니다. | 일일 상한은 구성된 제한에 도달하면 그 날의 남은 시간 동안 Log Analytics 작업 영역에서 데이터 수집을 사용하지 않도록 설정합니다. 이는 일별 한도를 사용하는 경우에 설명된 대로 비용을 줄이기 위한 방법으로 사용되어서는 안 됩니다. 일일 상한을 설정하는 경우 상한에 도달할 때 경고를 만드는 것 외에도 일부 백분율에 도달했을 때 알림을 받을 경고 규칙도 만들어야 합니다(예: 90%). 이렇게 하면 한도가 데이터 수집을 종료하기 전에 증가된 데이터의 원인을 조사하고 해결할 수 있는 기회를 얻을 수 있습니다. |
| Log Analytics 작업 영역에 대한 Azure Advisor 비용 권장 사항에 대한 경고를 설정합니다. | Log Analytics 작업 영역에 대한 Azure Advisor 권장 사항은 비용을 최적화할 기회가 있을 때 적극적으로 경고합니다. 다음 비용 권장 사항에 대한 Azure Advisor 경고를 만듭니다.
|
운영 우수성
운영 우수성은 프로덕션에서 서비스를 안정적으로 실행하는 데 필요한 운영 프로세스를 의미합니다. 다음 정보를 사용하여 Log Analytics 작업 영역을 지원하기 위한 운영 요구 사항을 최소화합니다.
디자인 검사 목록
- 비즈니스 요구 사항을 충족하기 위해 최소한의 작업 영역으로 작업 영역 아키텍처를 디자인합니다.
- 여러 작업 영역을 관리할 때 IaC(Infrastructure as Code)를 사용합니다.
- Log Analytics 작업 영역 인사이트를 사용하여 Log Analytics 작업 영역의 상태와 성능을 추적합니다.
- 작업 영역의 운영 문제를 사전에 알리는 경고 규칙을 만듭니다.
- 데이터 분리를 위해 잘 정의된 운영 프로세스가 있는지 확인합니다.
구성 권장 사항
| 권장 | 장점 |
|---|---|
| 비즈니스 요구 사항을 충족하도록 작업 영역 전략을 설계합니다. | 만들 수와 배치할 위치를 포함하여 Log Analytics 작업 영역에 대한 전략을 설계하는 방법에 대한 지침은 Log Analytics 작업 영역 아키텍처 설계를 참조하세요. 단일 또는 최소 수의 작업 영역은 운영 및 보안 데이터의 배포를 제한하고, 잠재적인 문제에 대한 가시성을 높이고, 패턴을 보다 쉽게 식별하고, 유지 관리 요구 사항을 최소화하므로 운영 효율성을 최대화합니다. 여러 테넌트와 같은 여러 작업 영역에 대한 요구 사항이 있거나 가용성 요구 사항을 지원하기 위해 여러 지역의 작업 영역이 필요할 수 있습니다. 이러한 경우 증가된 복잡성을 관리하기 위한 적절한 프로세스가 있는지 확인합니다. |
| 여러 작업 영역을 관리할 때 IaC(Infrastructure as Code)를 사용합니다. | IaC(Infrastructure as Code)를 사용하여 ARM, BICEP 또는 Terraform에서 작업 영역의 세부 정보를 정의합니다. 이렇게 하면 기존 DevOps 프로세스를 활용하여 새 작업 영역 및 Azure Policy를 배포하고 해당 구성을 적용할 수 있습니다. |
| Log Analytics 작업 영역 인사이트를 사용하여 Log Analytics 작업 영역의 상태와 성능을 추적합니다. | Log Analytics 작업 영역 인사이트는 모든 작업 영역의 사용량, 성능, 상태, 에이전트, 쿼리 및 변경 로그에 대한 통합 보기를 제공합니다. 이 정보를 정기적으로 검토하여 각 작업 영역의 상태 및 작업을 추적합니다. |
| 작업 영역의 운영 문제를 사전에 알리는 경고 규칙을 만듭니다. | 각 작업 영역에는 작업 영역에 영향을 주는 중요한 활동을 기록하는 작업 테이블이 있습니다. 운영 문제가 발생할 때 사전에 알림을 받을 수 있도록 이 테이블을 기반으로 경고 규칙을 만듭니다. 작업 영역에 대한 권장 경고를 사용하여 가장 중요한 경고 규칙 생성을 간소화할 수 있습니다. |
| 데이터 분리를 위해 잘 정의된 운영 프로세스가 있는지 확인합니다. | 작업 영역에 저장된 다양한 유형의 데이터에 따라 다른 요구 사항이 있을 수 있습니다. 작업 영역 전략을 디자인하고 권한 및 장기 보존과 같은 설정을 구성할 때 데이터 보존 및 보안과 같은 요구 사항을 명확하게 이해해야 합니다. 또한 실수로 수집된 개인 정보가 포함된 데이터를 제거하는 프로세스가 명확하게 정의되어 있어야 합니다. |
성능 효율성
성능 효율성은 사용자가 배치된 요구 사항을 효율적인 방식으로 충족하기 위해 워크로드의 크기를 조정할 수 있는 기능입니다. 다음 정보를 사용하여 Log Analytics 작업 영역 및 로그 쿼리가 최대 성능을 위해 구성되었는지 확인합니다.
디자인 검사 목록
- 로그 쿼리 감사를 구성하고 Log Analytics 작업 영역 인사이트를 사용하여 느리고 비효율적인 쿼리를 식별합니다.
구성 권장 사항
| 권장 | 장점 |
|---|---|
| 로그 쿼리 감사를 구성하고 Log Analytics 작업 영역 인사이트를 사용하여 느리고 비효율적인 쿼리를 식별합니다. | 로그 쿼리 감사는 각 쿼리를 실행하는 데 필요한 컴퓨팅 시간과 결과가 반환될 때까지의 시간을 저장합니다. Log Analytics 작업 영역 인사이트는 이 데이터를 사용하여 작업 영역에서 잠재적으로 비효율적인 쿼리를 나열합니다. 이러한 쿼리를 다시 작성하여 성능을 향상시키는 것이 좋습니다. 로그 쿼리 최적화에 대한 지침은 Azure Monitor의 로그 쿼리 최적화를 참조하세요. |