Log Analytics 작업 영역 개요
Log Analytics 작업 영역은 모든 Azure 및 비 Azure 리소스와 애플리케이션에서 모든 형식의 로그 데이터를 수집할 수 있는 데이터 저장소입니다. 작업 영역 구성 옵션을 사용하면 하나의 작업 영역에서 모든 로그 데이터를 관리하여 다음을 통해 조직 내 다양한 가상 사용자의 운영, 분석 및 감사 요구 사항을 충족할 수 있습니다.
- 기본 제공된 인사이트 환경, 경고 및 자동 작업과 같은 Azure Monitor 기능
- Microsoft Sentinel, 클라우드용 Microsoft Defender 및 Logic Apps와 같은 기타 Azure 서비스
- Power BI 및 Excel과 같은 Microsoft 도구
- 사용자 지정 및 타사 애플리케이션과 통합
이 문서에서는 Log Analytics 작업 영역과 관련된 개념에 대해 간략하게 설명합니다.
Important
Microsoft Sentinel 설명서에서는 Microsoft Sentinel 작업 영역이라는 용어를 사용합니다. 이 작업 영역은 이 문서에서 설명한 것과 동일한 Log Analytics 작업 영역이지만 Microsoft Sentinel에 대해 사용하도록 설정됩니다. 작업 영역의 모든 데이터에는 Microsoft Sentinel 가격 책정이 적용됩니다.
로그 테이블
각 Log Analytics 작업 영역에는 Azure Monitor 로그가 수집한 데이터를 저장하는 여러 테이블이 포함되어 있습니다.
Azure Monitor 로그는 Azure 환경에서 수집한 모니터링 데이터를 저장하는 데 필요한 테이블을 자동으로 만듭니다. 수집하는 로그 데이터의 데이터 모델과 데이터 저장 및 사용 방법을 기반으로 Azure 이외의 리소스 및 애플리케이션에서 수집한 데이터를 저장하기 위해 사용자 지정 테이블을 만듭니다.
테이블 관리 설정을 사용하면 특정 테이블에 대한 액세스를 제어하고 각 테이블의 데이터 모델, 보존 및 데이터 비용을 관리할 수 있습니다. 자세한 내용은 Log Analytics 작업 영역에서 테이블 관리를 참조하세요.
데이터 보존
Log Analytics 작업 영역은 대화형 보존과 장기 보존이라는 두 가지 상태로 데이터를 보존합니다.
대화형 보존 기간 동안 쿼리를 통해 테이블에서 데이터를 검색하고 테이블 계획에 따라 시각화, 경고, 기타 기능 및 서비스에 데이터를 사용할 수 있습니다.
Log Analytics 작업 영역의 각 테이블을 사용하면 저렴한 비용으로 장기 보존하여 최대 12년까지 데이터를 보존할 수 있습니다. 검색 작업을 사용하여 장기 보존부터 대화형 보존까지 필요한 특정 데이터를 검색합니다. 즉, 데이터를 외부 스토리지로 이동하지 않고도 한 곳에서 로그 데이터를 관리하고 필요할 때 이전 데이터에 대한 Azure Monitor의 전체 분석 기능을 가져올 수 있습니다.
자세한 내용은 Log Analytics 작업 영역에서 데이터 보존 관리를 참조하세요.
데이터 액세스
Log Analytics 작업 영역의 데이터에 액세스할 수 있는 권한은 각 작업 영역의 액세스 제어 모드 설정에 따라 정의됩니다. 기본 제공 또는 사용자 지정 역할을 사용하여 사용자에게 작업 영역에 대한 명시적 액세스 권한을 부여할 수 있습니다. 또는 Azure 리소스에 대해 수집된 데이터에 대한 액세스를 해당 리소스에 대한 액세스 권한을 가진 사용자에게 허용할 수 있습니다.
자세한 내용은 Azure Monitor에서 로그 데이터 및 작업 영역에 대한 액세스 관리를 참조하세요.
Log Analytics 작업 영역 인사이트 보기
Log Analytics 작업 영역 인사이트은 작업 영역 사용량, 성능, 상태, 수집, 쿼리 및 변경 로그에 대한 포괄적인 보기를 통해 Log Analytics 작업 영역을 관리하고 최적화하는 데 도움이 됩니다.
수집한 데이터를 Log Analytics 작업 영역으로 변환
Azure Monitor로 들어오는 데이터를 정의하는 DCR(데이터 수집 규칙)에는 데이터를 작업 영역으로 수집하기 전에 필터링하고 변환할 수 있는 변환이 포함될 수 있습니다. 모든 데이터 소스가 아직 DCR을 지원하지 않으므로 각 작업 영역에는 작업 영역 변환 DCR이 있을 수 있습니다.
작업 영역 변환 DCR의 변환은 작업 영역의 각 테이블에 대해 정의되며, 여러 소스에서 전송된 경우에도 해당 테이블로 전송된 모든 데이터에 적용됩니다. 이러한 변환은 DCR을 아직 사용하지 않는 워크플로에만 적용됩니다. 예를 들어 Azure Monitor 에이전트는 DCR을 사용하여 가상 머신에서 수집된 데이터를 정의합니다. 이 데이터는 작업 영역에 정의된 수집 시간 변환의 적용을 받지 않습니다.
예를 들어 여러 Azure 리소스에 대한 리소스 로그를 작업 영역으로 보내는 진단 설정이 있을 수 있습니다. 원하는 레코드에 대해서만 이 데이터를 필터링하는 리소스 로그를 수집하는 테이블에 대한 변환을 만들 수 있습니다. 이 메서드는 필요하지 않은 레코드에 대한 수집 비용을 절약합니다. 또한 특정 열에서 중요한 데이터를 추출하고 작업 영역의 다른 열에 저장하여 더 간단한 쿼리를 지원할 수도 있습니다.
비용
작업 영역을 만들거나 유지 관리하는 데 드는 직접적인 비용은 없습니다. 각 테이블의 테이블 계획에 따라 작업 영역에 수집한 데이터와 데이터 보존에 대한 요금이 부과됩니다.
가격 책정에 대한 자세한 내용은 Azure Monitor 가격 책정을 참조하세요. 비용을 절감하는 방법에 대한 지침은 Azure Monitor 모범 사례 - 비용 관리를 참조하세요. Azure Monitor 이외의 서비스에서 Log Analytics 작업 영역을 사용하는 경우 가격 책정 정보는 해당 서비스에 대한 설명서를 참조하세요.
특정 비즈니스 요구 사항을 해결하기 위해 Log Analytics 작업 영역 아키텍처 설계
모든 데이터 컬렉션에 대해 단일 작업 영역을 사용할 수 있습니다. 그러나 규정 또는 규정 준수 요구 사항과 같은 특정 비즈니스 요구 사항을 기반으로 여러 작업 영역을 만들어 특정 위치에 데이터를 저장하고 청구 분할 및 복원력을 높일 수도 있습니다.
여러 작업 영역 만들기와 관련된 고려 사항은 Log Analytics 작업 영역 구성 디자인을 참조하세요.
다음 단계
- 새 Log Analytics 작업 영역을 만듭니다.
- 여러 작업 영역을 만드는 방법에 대한 고려 사항은 Log Analytics 작업 영역 구성 디자인을 참조하세요.
- Log Analytics 작업 영역에서 데이터를 검색하고 분석하는 로그 쿼리에 대해 알아봅니다.