Azure Monitor 로그에서 고객 관리형 스토리지 계정 사용

Azure Monitor 로그는 다양한 시나리오에서 Azure Storage를 사용합니다. Azure Monitor는 일반적으로 이러한 유형의 스토리지를 자동으로 관리하지만, 경우에 따라 고객 관리형 스토리지 계정이라고도 하는 고유한 스토리지 계정을 제공하고 관리해야 합니다. 이 문서에서는 Azure Monitor 로그에 대한 고객 관리형 스토리지를 설정하기 위한 사용 사례 및 요구 사항을 설명하고 스토리지 계정을 Log Analytics 작업 영역에 연결하는 방법을 설명합니다.

참고 항목

형식 및 콘텐츠가 변경될 수 있으므로 Azure Monitor 로그가 고객 관리 스토리지에 업로드하는 콘텐츠에 의존하지 않는 것이 좋습니다.

Private Link

고객 관리형 스토리지 계정은 프라이빗 링크를 사용하여 Azure Monitor 리소스에 연결할 때 사용자 지정 로그를 수집하는 데 사용됩니다. 이러한 데이터 형식의 수집 프로세스는 먼저 로그를 중간 Azure Storage 계정에 업로드한 다음, 작업 영역에 수집하기만 합니다.

작업 영역 요구 사항

프라이빗 링크를 통해 Azure Monitor에 연결할 때 Azure Monitor 에이전트는 프라이빗 링크를 통해 액세스할 수 있는 작업 영역에만 로그를 보낼 수 있습니다. 이 요구 사항은 다음을 수행해야 한다는 것을 의미합니다.

• AMPLS(Azure Monitor 프라이빗 링크 범위) 개체를 구성합니다.
• 작업 영역에 연결합니다.
• 프라이빗 링크를 통해 AMPLS를 네트워크에 연결.

AMPLS 구성 절차에 대한 자세한 내용은 Azure Private Link를 사용하여 네트워크를 Azure Monitor에 안전하게 연결을 참조하세요.

스토리지 계정 요구 사항

스토리지 계정이 프라이빗 링크에 연결되려면 다음을 수행해야 합니다.

• 가상 네트워크 또는 피어링된 네트워크에 있고 프라이빗 링크를 통해 가상 네트워크에 연결되어 있어야 합니다.

• 연결된 작업 영역과 동일한 지역에 있어야 합니다.

• Azure Monitor에서 스토리지 계정에 액세스할 수 있도록 허용합니다. 특정 네트워크만 스토리지 계정에 액세스할 수 있도록 허용하려면 신뢰할 수 있는 Microsoft 서비스가 이 스토리지 계정에 액세스하도록 허용 예외를 선택해야 합니다.

  

작업 영역이 다른 네트워크의 트래픽을 처리하는 경우 스토리지 계정을 구성하여 관련 네트워크/인터넷에서 들어오는 트래픽을 허용하도록 합니다.

에이전트와 스토리지 계정 간에 TLS 버전을 조정합니다. TLS 1.2 이상을 사용하여 Azure Monitor 로그에 데이터를 보내는 것이 좋습니다. 플랫폼별 지침을 검토합니다. 필요한 경우 TLS를 사용하도록 에이전트를 구성합니다. 가능하지 않은 경우 TLS 1.0을 수락하도록 스토리지 계정을 구성합니다.

고객 관리형 키 데이터 암호화

Azure Storage는 스토리지 계정의 모든 미사용 데이터를 암호화합니다. 기본적으로 MMK(Microsoft 관리형 키)를 사용하여 데이터를 암호화합니다. 그러나 Azure Storage를 사용하면 Azure Key Vault의 CMK(고객 관리형 키)를 사용하여 스토리지 데이터를 암호화할 수도 있습니다. 자체 키를 Key Vault로 가져오거나 Key Vault API를 사용하여 키를 생성할 수 있습니다.

고객 관리형 스토리지 계정이 필요한 CMK 시나리오

다음에 대한 고객 관리형 스토리지 계정이 필요합니다.

• 로그 암호화 - CMK를 사용하여 경고 쿼리.
• CMK를 사용하여 저장된 쿼리 암호화.

고객 관리형 스토리지 계정에 CMK 적용

고객 관리형 스토리지 계정에 CMK를 적용하려면 이 지침을 따릅니다.

스토리지 계정 요구 사항

스토리지 계정 및 키 자격 증명 모음은 동일한 지역에 있어야 하지만 서로 다른 구독에 있을 수도 있습니다. Azure Storage 암호화 및 키 관리에 대한 자세한 내용은 미사용 데이터에 대한 Azure Storage 서비스 암호화를 참조하세요.

스토리지 계정에 CMK 적용

Key Vault에서 CMK를 사용하도록 Azure Storage 계정을 구성하려면 Azure Portal, PowerShell 또는 Azure CLI를 사용합니다.

참고 항목

• 쿼리를 위해 스토리지 계정을 연결할 때 작업 영역의 저장된 기존 쿼리는 개인 정보 보호를 위해 영구적으로 삭제됩니다. PowerShell을 사용하여 스토리지 링크 전에 기존의 저장된 쿼리를 복사할 수 있습니다.
• 쿼리 팩에 저장된 쿼리는 고객 관리형 키로 암호화되지 않습니다. 대신 쿼리를 저장할 때 레거시 쿼리로 저장을 선택하여 고객 관리형 키로 보호합니다.
• 저장된 쿼리는 스토리지 계정을 만들 때 암호화가 구성되면 테이블 스토리지에 저장되고 고객 관리형 키로 암호화됩니다.
• 로그 검색 경고는 고객 관리형 키 암호화의 구성이 스토리지 계정 생성 이상일 수 있는 Blob Storage에 저장됩니다.
• 모든 용도, 쿼리, 경고, 사용자 지정 로그 및 IIS 로그에 단일 스토리지 계정을 사용할 수 있습니다. 사용자 지정 로그 및 IIS 로그를 위해 스토리지를 연결하려면 수집 속도 및 스토리지 제한에 따라 더 많은 스토리지 계정이 대규모로 필요할 수 있습니다. 최대 5개의 스토리지 계정을 하나의 작업 영역에 연결할 수 있습니다.

Log Analytics 작업 영역에 스토리지 계정 연결

Azure Portal 사용

Azure Portal에서 작업 영역 메뉴를 열고 연결된 스토리지 계정을 선택합니다. 이전에 언급한 사용 사례(Private Link를 통한 수집, 저장된 쿼리 또는 경고에 CMK 적용)별로 연결된 스토리지 계정이 창에 표시됩니다.

테이블에서 항목을 선택하면 스토리지 계정 세부 정보가 열리고 이 형식에 대해 연결된 스토리지 계정을 설정하거나 업데이트할 수 있습니다.

원하는 경우 다른 사용 사례에 동일한 계정을 사용할 수 있습니다.

Azure CLI 또는 REST API 사용

Azure CLI 또는 REST API를 통해 스토리지 계정을 작업 영역에 연결할 수도 있습니다.

적용 가능한 dataSourceType 값은 다음과 같습니다.

• CustomLogs: 사용자 지정 로그 및 IIS 로그 수집에 스토리지 계정을 사용합니다.
• Query: 스토리지 계정을 사용하여 저장된 쿼리를 저장합니다(CMK 암호화에 필요).
• Alerts: 스토리지 계정을 사용하여 로그 기반 경고를 저장합니다(CMK 암호화에 필요).

연결된 스토리지 계정 관리

연결된 스토리지 계정을 관리하려면 이 지침을 따릅니다.

링크 만들기 또는 수정

스토리지 계정을 작업 영역에 연결하면 Azure Monitor 로그는 서비스에서 소유하는 스토리지 계정 대신 해당 계정을 사용합니다. 마케팅 목록의 구성원을 관리할 수 있습니다.

• 여러 스토리지 계정을 등록하여 로그의 부하를 분산합니다.
• 여러 작업 영역에 동일한 스토리지 계정을 다시 사용합니다.

스토리지 계정 연결 해제

스토리지 계정 사용을 중지하려면 작업 영역에서 스토리지의 연결을 해제합니다. 작업 영역에서 모든 스토리지 계정의 연결을 해제하면 Azure Monitor 로그는 서비스 관리형 스토리지 계정을 사용합니다. 네트워크에 인터넷 액세스가 제한된 경우 이러한 스토리지 계정을 사용할 수 없으며 스토리지에 의존하는 모든 시나리오가 실패합니다.

스토리지 계정 교체

수집에 사용되는 스토리지 계정을 바꾸려면:

1. 새 스토리지 계정에 대한 링크를 만듭니다. 로깅 에이전트는 업데이트된 구성을 가져오고 새 스토리지로 데이터 전송이 시작합니다. 이 프로세스에 몇 분 정도 걸릴 수 있습니다.
2. 에이전트가 제거된 계정에 쓰기를 중지하도록 이전 스토리지 계정의 연결을 해제합니다. 수집 프로세스는 모두 수집될 때까지 이 계정의 데이터를 계속 읽습니다. 모든 로그가 수집되었음을 확인할 때까지 스토리지 계정을 삭제하지 마세요.

스토리지 계정 유지

스토리지 계정을 유지하려면 이 지침을 따릅니다.

로그 보존 관리

자체 스토리지 계정을 사용하는 경우 보존은 사용자의 몫입니다. Azure Monitor 로그는 프라이빗 스토리지에 저장된 로그를 삭제하지 않습니다. 대신, 기본 설정에 따라 부하를 처리하는 정책을 설정해야 합니다.

부하 고려

스토리지 계정은 제한 요청을 시작하기 전에 특정 로드의 읽기 및 쓰기 요청을 처리할 수 있습니다. 자세한 내용은 Azure Blob Storage의 확장성 및 성능 대상을 참조하세요.

제한은 로그를 수집하는 데 걸리는 시간에 영향을 줍니다. 스토리지 계정이 오버로드된 경우 다른 스토리지 계정을 등록하여 계정 간에 로드를 분산합니다. 스토리지 계정의 용량 및 성능을 모니터링하려면 Azure Portal의 인사이트를 검토하세요.

관련 요금

스토리지 계정의 경우 저장된 데이터의 볼륨, 스토리지 유형 및 중복 유형에 따라 요금이 청구됩니다. 자세한 내용은 블록 Blob 가격 책정 및 Azure Table Storage 가격 책정을 참조하세요.

다음 단계

• Private Link를 사용하여 네트워크를 Azure Monitor에 안전하게 연결하는 방법에 대해 알아봅니다.
• Azure Monitor 고객 관리형 키에 대해 자세히 알아봅니다.