Log Analytics를 사용하는 변경 내용 추적 및 인벤토리에서 Azure 모니터링 에이전트 버전을 사용하는 변경 내용 추적 및 인벤토리로의 마이그레이션 지침

적용 대상: ✔️ Windows VM ✔️ Linux VM ✔️ Azure Arc 사용 서버.

이 문서에서는 LA(Log Analytics) 버전을 사용하는 변경 내용 추적 및 인벤토리에서 AMA(Azure Monitoring Agent) 버전으로 이동하는 지침을 제공합니다.

Azure Portal을 사용하여 LA 에이전트가 있는 변경 내용 추적 및 인벤토리에서 AMA가 있는 변경 내용 추적 및 인벤토리로 마이그레이션할 수 있으며, 다음 두 가지 방법으로 마이그레이션할 수 있습니다.

• Virtual Machines 페이지에서 단일/여러 VM을 마이그레이션합니다.
• 특정 Automation 계정 내에서 LA 버전 솔루션의 여러 VM을 마이그레이션합니다.

참고 항목

MDE(엔드포인트용 Microsoft Defender)를 사용한 FIM(파일 무결성 모니터링)이 현재 사용 가능합니다. 다음 지침에 따라 마이그레이션합니다.

• AMA를 사용한 변경 내용 추적 및 인벤토리를 갖춘 FIM
• MMA를 사용한 변경 내용 추적 및 인벤토리를 갖춘 FIM

Azure Monitoring Agent를 사용한 변경 내용 추적 및 인벤토리 온보딩

단일 Azure VM - Azure Portal

Azure Portal을 통해 온보딩하려면 다음 단계를 따릅니다.

1. Azure Portal에 로그인하고 가상 머신을 선택합니다.

2. 작업에서 변경 내용 추적을 선택합니다.

3. AMA를 사용하여 구성을 선택하고, Azure Monitor 에이전트를 사용하여 구성에서 Log Analytics 작업 영역을 제공하고 마이그레이션을 선택하여 배포를 시작합니다.

   

4. AMA를 사용하여 CT&I로 전환을 선택하여 LA 에이전트 및 AMA 버전에서 들어오는 이벤트와 로그를 평가합니다.

   

Automation 계정 - Azure Portal

1. Azure Portal에 로그인하고 Automation 계정을 선택합니다.

2. 구성 관리아래에서 변경 내용 추적을 선택한 다음, AMA를 사용하여 구성을 선택합니다.

   

3. Azure 모니터링을 사용하여 변경 내용 추적 온보딩 페이지에서 현재 Log Analytics에 있으며 변경 내용 추적 및 인벤토리의 Azure Monitoring Agent에 온보딩할 준비가 된 Azure 및 Azure Arc 컴퓨터의 자동화 계정 및 목록을 볼 수 있습니다.

   

4. 가상 머신 평가 탭에서 머신을 선택한 후 다음을 선택합니다.

5. 작업 영역 할당 탭에서 AMA 기반 솔루션의 설정을 저장할 새 Log Analytics 작업 영역 리소스 ID를 할당하고 다음을 선택합니다.

   

6. 검토 탭에서 온보딩 중인 컴퓨터와 새 작업 영역을 검토할 수 있습니다.

7. 마이그레이션을 선택하여 배포를 시작합니다.

8. 마이그레이션이 성공적으로 완료되면 AMA를 사용하여 CT&I로 전환을 선택하여 LA 환경과 AMA 환경을 모두 비교합니다.

   

단일 Azure Arc VM - Azure Portal

1. Azure Portal에 로그인합니다. Machines-Azure Arc를 검색하여 선택합니다.

   

2. 변경 내용 추적 V2로 마이그레이션해야 하는 변경 내용 추적 V1이 활성화된 특정 Arc 머신을 선택합니다.

3. AMA를 사용하여 변경 내용 추적 마이그레이션을 선택하고 Azure Monitor 에이전트를 사용하여 구성에서 Log Analytics 작업 영역에서 리소스 ID를 제공하고 마이그레이션을 선택하여 배포를 시작합니다.

   

4. 활동 로그 연결 관리를 선택하여 LA 에이전트 및 AMA 버전에서 들어오는 이벤트 및 로그를 평가합니다.

Arc 지원 VM - PowerShell 스크립트

Arc 지원 VM을 온보딩하려면 다음 단계를 따릅니다.

필수 조건

• PowerShell이 설치되어 있어야 합니다. 최신 버전의 PowerShell 7 이상을 사용하는 것이 좋습니다. 단계를 따라 Windows, Linux 및 macOS에 PowerShell을 설치합니다.
• 지정된 작업 영역 리소스에 대한 읽기 권한을 얻습니다.
• 최신 버전의 Az PowerShell 모듈을 설치합니다. 작업 영역 에이전트 구성 정보를 끌어오려면 Az.Accounts 및 Az.OperationalInsights 모듈이 필요합니다.
• 스크립트의 컨텍스트를 설정하는 Connect-AzAccount 및 Select-AzContext를 실행하려면 Azure 자격 증명이 있어야 합니다. 스크립트를 사용하여 마이그레이션하려면 다음 단계를 수행합니다.

마이그레이션 지침

1. 스크립트를 설치하고 실행하여 마이그레이션을 수행합니다. 이 스크립트는 다음을 수행합니다.

   1. 새 작업 영역 리소스 ID가 LA 버전을 사용하는 변경 내용 추적 및 인벤토리와 연결된 ID와 다른지 확인합니다.

   2. 다음 데이터 형식에 대한 설정을 마이그레이션합니다.

      • Windows 서비스
      • Linux 파일
      • Windows 파일
      • Windows 레지스트리
      • Linux 데몬

   3. 스크립트는 사용자의 입력이 필요한 다음 매개 변수로 구성됩니다.

   매개 변수	Required	설명
   InputWorkspaceResourceId	예	Log Analytics를 사용하는 변경 내용 추적 및 인벤토리와 연결된 작업 영역의 리소스 ID입니다.
   OutputWorkspaceResourceId	예	Azure Monitoring Agent를 사용하는 변경 내용 추적 및 인벤토리와 연결된 작업 영역의 리소스 ID입니다.
   OutputDCRName	예	만든 새 DCR의 사용자 지정 이름입니다.
   OutputDCRLocation	예	출력 작업 영역 ID의 Azure 위치입니다.
   OutputDCRTemplateFolderPath	예	DCR 템플릿이 만들어지는 폴더 경로입니다.

2. 위 스크립트를 실행하면 DCR 템플릿이 생성되며 해당 템플릿은 OutputDCRTemplateFolderPath에서 사용할 수 있습니다. AMA를 사용하여 변경 내용 추적 및 인벤토리에 설정을 전송하려면 새 DCR을 연결해야 합니다.

   1. Azure Portal에 로그인하고 모니터로 이동한 후 설정에서 데이터 수집 규칙을 선택합니다.
   2. 목록 페이지에서 1단계에서 만든 데이터 수집 규칙을 선택합니다.
   3. 데이터 수집 규칙 페이지의 구성에서 리소스를 선택한 다음, 추가를 선택합니다.
   4. 범위 선택의 리소스 종류에서 구독에 연결된 Machines-Azure Arc를 선택한 다음, 적용을 선택하여 1단계에서 만든 ctdcr을 Arc 지원 머신에 연결하면 Azure Monitoring Agent 확장도 설치됩니다. 자세한 내용은 변경 내용 추적 및 인벤토리 사용 - Arc 지원 VM의 경우 - 포털/CLI 사용을 참조하세요.

   Arc 지원 VM의 OS 유형에 따라 변경 내용 추적 확장을 설치합니다.

   Linux

   az connectedmachine extension create  --name ChangeTracking-Linux  --publisher Microsoft.Azure.ChangeTrackingAndInventory --type-handler-version 2.20  --type ChangeTracking-Linux  --machine-name XYZ --resource-group XYZ-RG  --location X --enable-auto-upgrade
   

   Windows

   az connectedmachine extension create  --name ChangeTracking-Windows  --publisher Microsoft.Azure.ChangeTrackingAndInventory --type-handler-version 2.20  --type ChangeTracking-Windows  --machine-name XYZ --resource-group XYZ-RG  --location X --enable-auto-upgrade
   

   CT 로그 테이블 스키마가 없으면 1단계에서 언급한 스크립트가 실패합니다. 문제를 해결하려면 다음 스크립트를 실행합니다.

   
   $psWorkspace = Get-AzOperationalInsightsWorkspace -ResourceGroupName $resourceGroup -Name $laws
     # Enabling CT solution on LA ws
     New-AzMonitorLogAnalyticsSolution -Type ChangeTracking -ResourceGroupName $resourceGroup -Location $psWorkspace.Location -WorkspaceResourceId $psWorkspace.ResourceId
   

Log Analytics 에이전트 및 Azure Monitoring Agent 버전 간 데이터 비교

AMA 버전을 사용하는 변경 내용 추적으로 온보딩을 완료한 후 방문 페이지에서 AMA를 사용하여 CT로 전환을 선택하여 두 버전 간에 전환하고 다음 이벤트를 비교합니다.

예를 들어 AMA 버전 서비스로의 온보딩이 11월 3일 오전 6:00 이후에 수행됩니다. 변경 형식, 시간 범위 같은 매개 변수 간에 일관된 필터를 유지하여 데이터를 비교할 수 있습니다. 변경 내용 섹션과 그래픽 섹션에서 들어오는 로그를 비교하여 데이터 일관성을 확인할 수 있습니다.

참고 항목

AMA 버전으로 온보딩이 완료된 후 들어오는 데이터와 로그를 비교해야 합니다.

Log Analytics 작업 영역 리소스 ID 얻기

Log Analytics 작업 영역 리소스 ID를 얻으려면 다음 단계를 수행합니다.

1. Azure Portal에 로그인합니다.

2. Log Analytics 작업 영역에서 특정 작업 영역을 선택하고 Json 보기를 선택합니다.

3. 리소스 ID를 복사합니다.

   

제한 사항

Azure Portal 사용

단일 VM 및 Automation 계정

1. 한 인스턴스에서 Automation 계정당 100개의 VM을 마이그레이션할 수 있습니다.
2. 포털을 통한 마이그레이션의 경우 레지스트리 설정당 > 100 파일이 있는 VM은 현재 지원되지 않습니다.
3. Arc VM 마이그레이션은 포털에서 지원되지 않습니다. PowerShell 스크립트 마이그레이션을 사용하는 것이 좋습니다.
4. 파일 콘텐츠 변경 내용 기반 설정의 경우 변경 내용 추적 및 인벤토리의 LA 버전에서 AMA 버전으로 수동으로 마이그레이션해야 합니다. 파일 콘텐츠 추적에 나열된 지침을 따릅니다.
5. Log Analytics 작업 영역을 사용하여 구성하는 경고는 수동으로 구성해야 합니다.

PowerShell 스크립트 사용

1. 파일 콘텐츠 변경 내용 기반 설정의 경우 변경 내용 추적 및 인벤토리의 LA 버전에서 AMA 버전으로 수동으로 마이그레이션해야 합니다. 파일 콘텐츠 추적에 나열된 지침을 따릅니다.
2. Azure Portal을 통한 마이그레이션에 대한 파일/레지스트리 설정이 100인 VM > 은 지원되지 않습니다.
3. Log Analytics 작업 영역을 사용하여 구성하는 경고는 수동으로 구성해야 합니다.

Log Analytics 에이전트를 사용한 변경 내용 추적 사용 안 함

Azure Monitoring 에이전트를 사용하여 변경 내용 추적 및 인벤토리를 사용하여 가상 머신 관리를 사용하도록 설정한 후 LA 에이전트 버전의 변경 내용 추적 및 인벤토리 사용을 중지하고 계정에서 구성을 제거하도록 결정할 수 있습니다.

disable 메서드는 다음을 통합합니다.

• Log Analytics 작업 영역 내에서 선택한 몇몇 VM의 LA 에이전트 포함 변경 내용 추적을 제거합니다.
• 전체 Log Analytics 작업 영역에서 LA 에이전트 포함 변경 내용 추적을 제거합니다.

다음 단계

• Azure Portal에서 사용하도록 설정하려면 Azure Portal에서 변경 내용 추적 및 인벤토리 사용을 참조하세요.