Azure Virtual Network Manager의 이벤트 로그 옵션
Azure Virtual Network Manager는 다른 많은 Azure 서비스와 마찬가지로 데이터 수집 및 분석에 Azure Monitor를 사용합니다. Azure Virtual Network Manager는 각 네트워크 관리자에 대한 이벤트 로그를 제공합니다. Azure Portal에서 Azure Monitor의 Log Analytics 도구를 사용하고 스토리지 계정을 통해 이벤트 로그를 저장하고 볼 수 있습니다. 이러한 로그를 이벤트 허브 또는 파트너 솔루션으로 보낼 수도 있습니다.
지원되는 로그 범주
Azure Virtual Network Manager는 현재 다음과 같은 로그 범주를 제공합니다.
- 네트워크 그룹 멤버 자격 변경
- 특정 가상 네트워크의 네트워크 그룹 멤버 자격이 수정되는 시기를 추적합니다. 다시 말해서, 네트워크 그룹에 가상 네트워크가 추가되거나 제거되면 로그가 발생합니다. 이것은 시간 경과에 따른 네트워크 그룹 멤버 자격 변경 내용을 추적하고 특정 가상 네트워크의 네트워크 그룹 멤버 자격에 대한 스냅샷을 캡처하는 데 사용할 수 있습니다.
- 규칙 컬렉션 변경
- 특정 가상 네트워크에 적용된 보안 관리자 규칙 컬렉션 집합이 변경되는 시기를 추적합니다. 규칙 컬렉션이 대상으로 하는 네트워크 그룹을 통해 가상 네트워크에 배포된 모든 규칙 컬렉션에 대한 로그가 발생합니다. 배포 프로세스를 통해 네트워크 그룹에서 규칙 컬렉션을 제거하면 영향을 받는 각 가상 네트워크에 대한 로그도 생성됩니다. 이 스키마를 사용하여 시간 경과에 따라 특정 가상 네트워크에 배포된 규칙 컬렉션을 추적할 수 있습니다.
- 가상 네트워크가 여러 네트워크 관리자로부터 보안 관리자 규칙 컬렉션을 수신하는 경우 각 네트워크 관리자에 대한 로그는 해당 규칙 컬렉션 변경에 대해 별도로 발생합니다.
- 이미 규칙 컬렉션이 배포된 네트워크 그룹에 가상 네트워크가 추가되거나 제거된 경우 적용된 규칙 컬렉션의 상태를 보여주는 해당 가상 네트워크에 대한 로그가 발생합니다.
- 연결 구성 변경
- 특정 가상 네트워크의 적용된 연결 구성이 변경되는 시기를 추적합니다. 구성이 대상으로 하는 네트워크 그룹을 통해 가상 네트워크에 배포된 모든 연결 구성에 대해 로그가 발생합니다. 배포 프로세스를 통해 네트워크 그룹에서 연결 구성을 제거하거나 그 반대의 경우에도 영향을 받는 각 가상 네트워크에 대한 로그가 생성됩니다. 이 스키마를 사용하여 시간 경과에 따라 특정 가상 네트워크에 배포된 연결 구성 및 해당 토폴로지 유형을 추적할 수 있습니다.
- 가상 네트워크가 여러 네트워크 관리자로부터 연결 구성을 수신하는 경우 각 네트워크 관리자의 각 구성 변경에 대해 로그가 별도로 발생합니다.
- 이미 연결 구성이 배포된 네트워크 그룹에 가상 네트워크가 추가되거나 제거된 경우 적용된 연결 구성의 상태를 보여주는 해당 가상 네트워크에 대한 로그가 발생합니다.
네트워크 그룹 멤버 자격 변경 특성
이 범주는 네트워크 그룹 멤버 자격 변경당 하나의 로그를 내보냅니다. 따라서 네트워크 그룹에 가상 네트워크를 추가하거나 제거하면 해당 특정 가상 네트워크에 대한 단일 추가 또는 제거와 상관 관계가 있는 로그가 발생합니다. 다음 특성은 스토리지 계정으로 전송되는 로그에 해당합니다. Log Analytics 로그에는 약간 다른 특성이 있습니다.
| attribute | 설명 |
|---|---|
| time | 이벤트가 기록된 날짜/시간입니다. |
| resourceId | 네트워크 관리자의 리소스 ID입니다. |
| location | 가상 네트워크 리소스의 위치입니다. |
| operationName | 가상 네트워크가 추가되거나 제거되는 작업입니다. 항상 Microsoft.Network/virtualNetworks/networkGroupMembership/write 작업입니다. |
| category | 이 로그의 범주입니다. 항상 NetworkGroupMembershipChange입니다. |
| resultType | 작업의 성공 또는 실패를 나타냅니다. |
| correlationId | 로그를 연결하거나 디버그하는 데 도움이 되는 GUID입니다. |
| level | 항상 Info입니다. |
| 속성 | 로그의 속성 컬렉션입니다. |
properties 특성 내에는 다음과 같은 몇 가지 중첩된 특성이 있습니다.
| 속성 특성 | 설명 |
|---|---|
| 메시지 | 네트워크 그룹 멤버 자격 변경이 성공 또는 실패했는지 알려주는 정적 메시지입니다. |
| MembershipId | 가상 네트워크의 기본 멤버 자격 ID입니다. |
| GroupMemberships | 가상 네트워크가 속한 네트워크 그룹의 컬렉션입니다. 가상 네트워크가 동시에 여러 네트워크 그룹에 속할 수 있으므로 이 속성 내에 여러 NetworkGroupId 및 Sources가 나열될 수 있습니다. |
| MemberResourceIds | 네트워크 그룹에 추가되거나 네트워크 그룹에서 제거된 가상 네트워크의 리소스 ID입니다. |
GroupMemberships 특성 내에는 다음과 같은 몇 가지 중첩된 특성이 있습니다.
| GroupMemberships 특성 | 설명 |
|---|---|
| NetworkGroupId | 가상 네트워크가 속한 네트워크 그룹의 ID입니다. |
| 원본 | 가상 네트워크가 네트워크 그룹의 멤버가 되는 방식의 컬렉션입니다. |
Sources 특성 내에는 다음과 같은 몇 가지 중첩된 특성이 있습니다.
| 원본 특성 | 설명 |
|---|---|
| Type | 가상 네트워크가 수동으로 추가되었는지(StaticMembership) 또는 Azure Policy(Policy)를 통해 조건부로 추가되었는지 나타냅니다. |
| StaticMemberId | Type 값이 StaticMembership이면 이 속성이 나타납니다. |
| PolicyAssignmentId | Type 값이 Policy이면 이 속성이 나타납니다. Azure Policy 정의를 네트워크 그룹에 연결하는 Azure Policy 할당의 ID입니다. |
| PolicyDefinitionId | Type 값이 Policy이면 이 속성이 나타납니다. 네트워크 그룹의 멤버 자격 조건이 포함된 Azure Policy 정의의 ID입니다. |
규칙 컬렉션 변경 특성
이 범주는 가상 네트워크당 보안 관리자 규칙 컬렉션 변경마다 하나의 로그를 내보냅니다. 따라서 보안 관리자 규칙 컬렉션이 네트워크 그룹을 통해 가상 네트워크에 적용되거나 제거되면 해당 특정 가상 네트워크에 대한 규칙 컬렉션의 변경 내용과 상관 관계가 있는 로그가 발생합니다. 다음 특성은 스토리지 계정으로 전송되는 로그에 해당합니다. Log Analytics 로그에는 약간 다른 특성이 있습니다.
| attribute | 설명 |
|---|---|
| time | 이벤트가 기록된 날짜/시간입니다. |
| resourceId | 네트워크 관리자의 리소스 ID입니다. |
| location | 가상 네트워크 리소스의 위치입니다. |
| operationName | 가상 네트워크가 추가되거나 제거되는 작업입니다. 항상 Microsoft.Network/networkManagers/securityAdminRuleCollections/write 작업입니다. |
| category | 이 로그의 범주입니다. 항상 RuleCollectionChange입니다. |
| resultType | 작업의 성공 또는 실패를 나타냅니다. |
| correlationId | 로그를 연결하거나 디버그하는 데 도움이 되는 GUID입니다. |
| level | 항상 Info입니다. |
| 속성 | 로그의 속성 컬렉션입니다. |
properties 특성 내에는 다음과 같은 몇 가지 중첩된 특성이 있습니다.
| 속성 특성 | 설명 |
|---|---|
| TargetResourceIds | 규칙 컬렉션 애플리케이션이 변경된 가상 네트워크의 리소스 ID입니다. |
| 메시지 | 규칙 컬렉션 변경이 성공 또는 실패했는지 여부를 나타내는 정적 메시지입니다. |
| AppliedRuleCollectionIds | 로그가 발생한 시점에 가상 네트워크에 적용된 보안 관리자 규칙 컬렉션의 컬렉션입니다. 가상 네트워크가 여러 네트워크 그룹에 속할 수 있고 동시에 여러 규칙 컬렉션이 적용될 수 있으므로 여러 규칙 컬렉션 ID가 나열될 수 있습니다. |
연결 구성 변경 특성
이 범주는 가상 네트워크당 연결 구성 변경 내용마다 하나의 로그를 내보냅니다. 따라서 연결 구성이 네트워크 그룹을 통해 가상 네트워크에 적용되거나 제거되면 해당 특정 가상 네트워크에 대해 설정된 연결 구성의 변경 내용과 상관 관계가 있는 로그가 발생합니다. 다음 특성은 스토리지 계정으로 전송되는 로그에 해당합니다. Log Analytics 로그에는 약간 다른 특성이 있습니다.
| attribute | 설명 |
|---|---|
| time | 이벤트가 기록된 날짜/시간입니다. |
| resourceId | 네트워크 관리자의 리소스 ID입니다. |
| location | 가상 네트워크 리소스의 위치입니다. |
| operationName | 가상 네트워크가 추가되거나 제거되는 작업입니다. |
| category | 이 로그의 범주입니다. 항상 ConnectivityConfigurationChange입니다. |
| resultType | 작업의 성공 또는 실패를 나타냅니다. |
| correlationId | 로그를 연결하거나 디버그하는 데 도움이 되는 GUID입니다. |
| level | 정보 또는 경고입니다. |
| 속성 | 로그의 속성 컬렉션입니다. |
properties 특성 내에는 다음과 같은 몇 가지 중첩된 특성이 있습니다.
| 속성 특성 | 설명 |
|---|---|
| AppliedConnectivityConfigurations | 로그가 발생한 시점에 가상 네트워크에 적용되는 연결 구성의 컬렉션입니다. 여러 연결 구성이 나열될 수 있습니다. 네트워크 그룹에는 여러 연결 구성이 동시에 적용될 수 있고, 가상 네트워크는 여러 연결 구성이 동시에 적용된 여러 네트워크 그룹에 속할 수도 있기 때문입니다. |
| TargetResourceIds | 연결 구성 적용이 변경된 가상 네트워크의 리소스 ID입니다. |
| 메시지 | 연결 구성 변경이 성공 또는 실패했는지 여부를 나타내는 정적 메시지입니다. |
참고 항목
연결 구성을 사용하면 동일한 연결된 그룹 내에서 IP 공간이 겹치는 가상 네트워크를 허용하지만 겹치는 IP 주소에 대한 통신은 삭제됩니다. 또한 연결된 그룹의 VNet이 겹치는 주소 공간이 있는 외부 VNet(연결된 그룹에 없는 VNet)과 피어되는 경우 연결된 그룹 내에서 이러한 겹치는 주소 공간에 액세스할 수 없게 됩니다. 피어된 VNet에서 겹치는 주소 공간으로의 트래픽은 외부 VNet으로 라우팅되는 반면, 연결된 그룹의 다른 VNet에서 겹치는 주소 공간으로의 트래픽은 삭제됩니다. 로그는 주소 공간이 겹치는 VNet의 ID를 나타내는 필드와 message 겹치는 주소로 TargetResourceIds 인해 전체 또는 부분 주소 공간에 액세스할 수 없음을 나타내는 "경고" 수준을 표시합니다.
AppliedConnectivityConfigurations 특성 내에는 다음과 같은 몇 가지 중첩된 특성이 있습니다.
| AppliedConnectivityConfigurations 특성 | 설명 |
|---|---|
| ConfigurationId | 가상 네트워크에 적용된 연결 구성의 ID입니다. |
| 토폴로지 | 연결 구성이 적용되는 네트워크 그룹 간에 빌드하려는 토폴로지 유형입니다. Mesh 또는 HubAndSpoke일 수 있습니다. |
로그 액세스
로그 이벤트를 저장할 수 있도록 이벤트 로그를 사용하는 방법에 따라 Log Analytics 작업 영역이나 스토리지 계정을 설정해야 합니다.
- Log Analytics 작업 영역을 만드는 방법을 알아봅니다.
- 스토리지 계정을 만드는 방법을 알아봅니다.
Log Analytics 작업 영역 또는 스토리지 계정을 설정할 때 지역을 선택해야 합니다. 스토리지 계정을 사용하는 경우 로그에 액세스하는 가상 네트워크 관리자와 동일한 지역에 있어야 합니다. Log Analytics 작업 영역을 사용하는 경우 모든 지역에 있을 수 있습니다.
이벤트에 액세스하는 네트워크 관리자는 Log Analytics 작업 영역 또는 스토리지에 사용되는 스토리지 계정과 동일한 구독에 있을 필요가 없습니다. 다만 권한에 따라 여러 구독에서 로그에 액세스하는 기능이 제한될 수 있습니다.
참고 항목
로그를 생성하려면 하나 이상의 가상 네트워크가 위의 범주에 의해 캡처된 이벤트를 경험해야 합니다. 변경이 발생한 후 몇 분 후에 각 이벤트에 대한 로그가 생성됩니다.
다음 단계
- Azure Virtual Network Manager의 이벤트 로그를 시작하는 방법을 알아봅니다.
- Azure Portal을 사용하여 Azure Virtual Network Manager 인스턴스를 만드는 방법을 알아봅니다.
- Azure Virtual Network Manager의 네트워크 그룹에 대해 자세히 알아봅니다