Azure Monitor는 Azure 및 Arc 지원 가상 머신에서 호스트 메트릭 및 활동 로그를 자동으로 수집합니다. 하지만 클라이언트 운영 체제 및 해당 워크로드에서 메트릭과 로그를 수집하려면 수집하려는 항목과 보낼 위치를 지정하는 DCR(데이터 수집 규칙) 을 만들어야 합니다. 이 문서에서는 Azure Portal을 사용하여 VM 클라이언트에서 다양한 유형의 공통 데이터를 수집하는 DCR을 만드는 방법을 설명합니다.
비고
기본 데이터 수집 요구 사항이 있는 경우 이 문서의 지침과 각 데이터 원본의 관련 문서를 사용하여 모든 요구 사항을 충족할 수 있어야 합니다. Azure Portal을 사용하여 DCR을 만들고 편집할 수 있으며, Azure Monitor 에이전트 는 아직 없는 각 VM에 자동으로 설치됩니다.
변환과 같은 고급 기능을 활용하거나 Azure CLI 또는 Azure Policy와 같은 다른 방법을 사용하여 DCR을 만들고 할당하려면 Azure Monitor 에이전트 설치 및 관리 및 Azure Monitor에서 DCR 만들기를 참조하세요. Azure Monitor의 VM에 대한 DCR(데이터 수집 규칙) 샘플에서 이 프로세스에서 만든 샘플 DCR을 볼 수도 있습니다.
필수 조건
- 구성하는 데이터를 수집하기 위한 최소 기여자 권한이 있는 Log Analytics 작업 영역입니다. 사용할 수 있는 작업 영역이 아직 없는 경우 Log Analytics 작업 영역 만들기를 참조하세요.
- 작업 영역에서 DCR 개체를 만들 수 있는 권한입니다.
- 테넌트 간에 데이터를 보내려면 먼저 Azure Lighthouse를 사용하도록 설정해야 합니다.
- 추가 필수 구성 요소는 각 데이터 원본 에 대한 자세한 문서를 참조하세요.
중요합니다
Log Analytics 작업 영역이 네트워크 보안 경계와 연결된 경우 Log Analytics 작업 영역을 구성하도록 네트워크 보안 경계를 사용하여 Azure Monitor 구성 을 참조하세요.
데이터 수집 규칙을 만듭니다.
Azure Portal의 모니터 메뉴에서 데이터 수집 규칙>만들기를 선택하여 DCR 만들기 창을 엽니다.
기본 탭에는 DCR에 대한 기본 정보가 포함되어 있습니다.
| 설정 | 설명 |
|---|---|
| 규칙 이름 | DCR의 이름입니다. 이름은 규칙을 식별하는 데 도움이 되는 설명적인 이름이어야 합니다. |
| 구독 | DCR을 저장할 구독입니다. 구독은 가상 머신과 동일한 구독일 필요는 없습니다. |
| 리소스 | DCR을 저장할 리소스 그룹입니다. 리소스 그룹은 가상 머신과 동일한 리소스 그룹일 필요는 없습니다. |
| 지역 | DCR을 저장할 Azure 지역. 해당 지역은 DCR 대상에서 사용되는 Log Analytics 작업 영역 또는 Azure Monitor 작업 영역과 동일해야 합니다. 여러 지역에 작업 영역이 있는 경우 동일한 컴퓨터 집합과 연결할 여러 DCR을 만듭니다. |
| 플랫폼 유형 | DCR에 사용할 수 있는 데이터 원본 형식을 Windows 또는 Linux로 지정합니다. 없음은 두 가지 모두에 사용할 수 있습니다. 1 |
| 데이터 컬렉션 엔드포인트 | 데이터를 수집하는 데 사용되는 DCE(데이터 수집 엔드포인트)를 지정합니다. DCE는 필요한 데이터 원본을 사용하는 경우에만 필요합니다. DCE를 선택하지 않으면 데이터 원본 추가 탭에서 이러한 데이터 원본 이 회색으로 표시됩니다. 대부분의 구현에서는 각 Log Analytics 작업 영역에 단일 DCE를 사용할 수 있습니다. DCE를 만드는 방법에 대한 자세한 내용은 데이터 컬렉션 엔드포인트 만들기 를 참조하세요. |
1 이 옵션은 DCR의 kind 특성을 설정합니다. 이 특성에 대해 다른 값을 설정할 수 있지만, 포털에서 해당 값을 선택할 수는 없습니다.
리소스 추가
리소스 창에서 리소스 추가를 선택하여 DCR을 사용할 VM을 추가합니다. 만든 후 DCR을 업데이트하고 리소스를 추가/제거할 수 있으므로 아직 VM을 추가할 필요가 없습니다. 리소스 탭에서 데이터 수집 엔드포인트 사용을 선택하는 경우 각 VM에 대해 DCE를 선택할 수 있습니다. 이는 Azure Monitor Private Links를 사용하는 경우에만 필요합니다. 그렇지 않으면 이 옵션을 선택하지 마세요.
비고
유연한 오케스트레이션을 사용하는 VMSS(가상 머신 확장 집합)를 DCR의 리소스로 추가할 수 없습니다. 대신 VMSS에 포함된 각 VM을 추가합니다.
중요합니다
리소스가 DCR에 추가되면 Azure Portal의 기본 옵션은 리소스에 대해 시스템이 할당한 관리 ID를 사용하도록 설정하는 것입니다. 기존 애플리케이션의 경우 사용자가 할당한 관리 ID가 이미 설정되어 있고 포털을 사용하여 DCR에 리소스를 추가할 때 사용자가 할당한 ID를 지정하지 않으면 해당 컴퓨터는 기본적으로 DCR에서 적용하는 시스템이 할당한 ID를 사용합니다.
데이터 원본 추가
수집 및 배달 창에서 데이터 원본 추가를 클릭하여 DCR에 대한 데이터 원본 및 대상을 추가하고 구성합니다. 동일한 DCR에 여러 데이터 원본을 추가하거나 다른 데이터 원본을 사용하여 여러 DCR을 만들도록 선택할 수 있습니다. DCR에는 최대 10개의 데이터 원본이 있을 수 있으며 VM은 임의의 수의 DCR을 사용할 수 있습니다.
| 설정 | 설명 |
|---|---|
| 데이터 원본 | 데이터 원본 형식을 선택하고 선택한 데이터 원본 형식에 따라 필드에 대한 값을 제공합니다. 각 데이터 원본 유형 구성에 대한 자세한 내용은 아래 표를 참조하세요. |
| 목적지 | 각 데이터 원본에 대해 하나 이상의 대상을 추가합니다. 일부 데이터 원본은 단일 데이터 원본만 허용합니다. 여러 개 필요한 경우 다른 DCR을 만들 수 있습니다. 일부 데이터 원본에 대해 동일한 형식의 여러 대상을 선택할 수 있지만, 이로 인해 중복된 데이터가 각각에 전송되므로 추가 비용이 발생합니다. 지원하는 다양한 대상에 대해서는 각 데이터 형식의 세부 정보를 참조하세요. |
다음 표에서는 Azure Monitor를 사용하여 VM 클라이언트에서 수집할 수 있는 데이터 형식과 해당 데이터를 보낼 수 있는 위치를 나열합니다. 해당 데이터 원본을 구성하는 방법을 알아보려면 각각에 대한 연결된 문서를 참조하세요.
| 데이터 원본 | 설명 | 클라이언트 운영 체제 | 목적지 |
|---|---|---|---|
| Windows 이벤트 | sysmon 이벤트를 포함하여 Windows 이벤트 로깅 시스템으로 전송된 정보입니다. | 윈도우즈 | Log Analytics 작업 영역 |
| 성능 카운터 | 운영 체제 및 워크로드의 다양한 측면의 성능을 측정하는 수치 값 | 윈도우즈 리눅스 |
Azure Monitor 메트릭(미리 보기) Log Analytics 작업 영역 |
| Syslog | Linux 이벤트 로깅 시스템으로 전송되는 정보 | 리눅스 | Log Analytics 작업 영역 |
| 텍스트 로그 | 로컬 디스크의 텍스트 로그 파일로 전송되는 정보. | 윈도우즈 리눅스 |
Log Analytics 작업 영역 |
| JSON 로그 | 로컬 디스크의 JSON 로그 파일로 전송되는 정보. | 윈도우즈 리눅스 |
Log Analytics 작업 영역 |
| IIS 로그 | Windows 컴퓨터의 로컬 디스크에 있는 IIS(인터넷 정보 서비스) 로그 | 윈도우즈 | Log Analytics 작업 영역 |
작업 확인
DCR을 만든 후 대상에 데이터를 보내는 데 최대 5분이 걸릴 수 있습니다. 에이전트가 작동하고 있고 Log Analytics 작업 영역의 데이터를 쿼리하여 데이터가 수집되고 있는지 확인할 수 있습니다.
에이전트 작업 확인
VM에 대한 하트비트를 확인하여 에이전트가 작동하고 Azure Monitor와 제대로 통신하는지 확인합니다. 에이전트가 Azure Monitor와 제대로 통신하는 경우 1분마다 하트비트 테이블에 레코드를 보냅니다.
Azure Portal의 가상 머신에서 로그를 선택한 다음 테이블 단추를 클릭합니다. 가상 머신 범주에서 하트비트 옆에 있는 실행을 클릭합니다. 에이전트가 올바르게 통신하는 경우 VM에 대한 하트비트 기록이 표시됩니다.
기록이 수신되었는지 확인
에이전트가 제대로 통신하고 있는지 확인한 후에는 예상한 데이터가 수집되고 있는지 확인합니다. 위와 동일한 프로세스를 사용하여 구성한 데이터 원본에 대한 테이블의 데이터를 볼 수 있습니다. 다음 표에서는 각 데이터 원본에 대한 범주와 테이블을 나열합니다.
| 데이터 원본 | 카테고리 | 테이블 / 표 |
|---|---|---|
| Windows 이벤트 | 가상 머신 | 이벤트 |
| 성능 카운터 | 가상 머신 | Perf |
| Syslog | 가상 머신 | 시스템 로그 (syslog) |
| IIS 로그 | 가상 머신 | W3CIISLog |
| 텍스트 로그 | 사용자 지정 로그 | <사용자 지정 테이블 이름> |
| JSON 로그 | 사용자 지정 로그 | <사용자 지정 테이블 이름> |
중복 데이터 경고
청구 요금이 증가하는 중복 데이터를 수집할 수 있는 다음 시나리오에 주의하세요.
- 동일한 데이터 원본이 있는 여러 DCR을 만들고 동일한 VM에 연결합니다. 동일한 데이터 원본을 가진 DCR이 있는 경우 고유한 데이터를 필터링하도록 구성해야 합니다.
- 보안 로그를 수집하는 DCR을 만들고 동일한 VM에 대해 Microsoft Sentinel 을 사용하도록 설정합니다. 이 경우 동일한 이벤트가 이벤트 테이블(Azure Monitor)과 SecurityEvent 테이블(Microsoft Sentinel)에 모두 전송됩니다.
- 동일한 컴퓨터에서 레거시 Log Analytics 에이전트 를 실행하는 VM에 대한 DCR을 만듭니다. 둘 다 동일한 데이터를 수집하고 동일한 테이블에 저장할 수 있습니다. Log Analytics 에이전트에서 Azure Monitor 에이전트로 마이그레이션의 지침에 따라 레거시 에이전트에서 마이그레이션합니다.
Azure Portal에서 VM과 연결된 DCR을 나열하려면 Azure Monitor의 데이터 수집 규칙 연결 관리를 참조하세요. 다음 PowerShell 명령을 사용하여 VM에 대한 모든 DCR을 나열할 수도 있습니다.
Get-AzDataCollectionRuleAssociation -resourceUri <vm-resource-id>
관련 콘텐츠
- Azure Monitor 에이전트에 대해 자세히 알아봅니다.
- 데이터 수집 규칙에 대해 자세히 알아봅니다.