Azure Monitor 에이전트를 사용하여 데이터 수집
AMA(Azure Monitor 에이전트)는 Azure 가상 머신, Virtual Machine Scale Sets 및 Arc 지원 서버에서 데이터를 수집하는 데 사용됩니다. DCR(데이터 수집 규칙)은 에이전트에서 수집할 데이터와 해당 데이터를 전송해야 하는 위치를 정의합니다. 이 문서에서는 Azure Portal에서 DCR을 만들어 다양한 유형의 데이터를 수집하고 필요한 모든 컴퓨터에 에이전트를 설치하는 방법을 설명합니다.
Azure Monitor를 처음 사용하거나 기본 데이터 수집 요구 사항이 있는 경우 Azure Portal 및 이 문서의 지침을 사용하여 모든 요구 사항을 충족할 수 있습니다. 변환과 같은 추가 DCR 기능을 활용하려면 다른 방법을 사용하여 DCR을 만들거나 포털에서 만든 후 편집해야 할 수 있습니다. CLI, PowerShell, ARM 템플릿 또는 Azure Policy를 사용하여 배포하려는 경우 다른 방법을 사용하여 DCR을 관리하고 연결을 만들 수도 있습니다.
참고 항목
테넌트 간에 데이터를 보내려면 먼저 Azure Lighthouse를 사용하도록 설정해야 합니다.
Warning
다음 경우에서는 중복 데이터를 수집하여 추가 요금이 발생할 수 있습니다.
- 동일한 데이터 원본을 사용하여 여러 DCR을 만들고 동일한 에이전트에 연결. 각각 고유한 데이터를 수집하도록 DCR에서 데이터를 필터링하고 있는지 확인합니다.
- 보안 로그를 수집하는 DCR을 만들고 동일한 에이전트에 대해 Sentinel을 사용하도록 설정. 이 경우 Event 테이블과 SecurityEvent 테이블에서 동일한 이벤트를 수집할 수 있습니다.
- 동일한 컴퓨터에서 Azure Monitor 에이전트와 레거시 Log Analytics 에이전트를 모두 사용합니다. 중복 이벤트는 한 에이전트에서 다른 에이전트로 전환하는 동안으로만 제한해야 합니다.
데이터 원본
아래 표에는 현재 Azure Monitor 에이전트를 사용하여 수집할 수 있는 데이터 형식과 해당 데이터를 보낼 수 있는 위치가 나와 있습니다. 각각의 링크는 해당 데이터 원본을 구성하는 방법에 대한 세부 정보를 설명하는 문서에 대한 링크입니다. 이 문서에 따라 DCR을 만들고 리소스에 할당한 다음, 연결된 문서에 따라 데이터 원본을 구성합니다.
| 데이터 원본 | 설명 | 클라이언트 OS | 도착지 |
|---|---|---|---|
| Windows 이벤트 | sysmon 이벤트를 포함하여 Windows 이벤트 로깅 시스템으로 전송된 정보입니다. | Windows | Log Analytics 작업 영역 |
| 성능 카운터 | 운영 체제 및 워크로드의 여러 측면에서 성능을 측정하는 숫자 값입니다. | Windows Linux |
Azure Monitor 메트릭(미리 보기) Log Analytics 작업 영역 |
| Syslog | Linux 이벤트 로깅 시스템으로 전송되는 정보입니다. | Linux | Log Analytics 작업 영역 |
| 텍스트 로그 | 로컬 디스크의 텍스트 로그 파일로 전송되는 정보입니다. | Windows Linux |
Log Analytics 작업 영역 |
| JSON 로그 | 로컬 디스크의 JSON 로그 파일로 전송되는 정보입니다. | Windows Linux |
Log Analytics 작업 영역 |
| IIS 로그 | Windows 컴퓨터의 로컬 디스크에 있는 IIS(인터넷 정보 서비스) 로그 | Windows | Log Analytics 작업 영역 |
참고 항목
Azure Monitor 에이전트는 현재 일반 공급되는 Azure 서비스 SQL 모범 사례 평가도 지원합니다. 자세한 내용은 Azure Monitor 에이전트를 사용하여 모범 사례 평가 구성을 참조하세요.
필수 조건
- 작업 영역에서 데이터 컬렉션 규칙 개체를 만들 수 있는 권한입니다.
- 추가 필수 구성 요소에 대한 각 데이터 원본을 설명하는 문서를 참조하세요.
개요
Azure Portal에서 DCR을 만들 때 지정한 컴퓨터에서 데이터를 수집하는 데 필요한 정보를 제공하는 일련의 페이지를 살펴봅니다. 다음 표에서는 각 페이지에서 제공해야 하는 정보를 설명합니다.
| 섹션 | 설명 |
|---|---|
| 리소스 | DCR을 사용할 컴퓨터입니다. DCR에 컴퓨터를 추가하면 컴퓨터와 DCR 간에 DCRA(데이터 수집 규칙 연결)가 만들어집니다. DCR을 만든 후 편집하여 컴퓨터를 추가하거나 제거할 수 있습니다. |
| 데이터 원본 | 컴퓨터에서 수집할 데이터의 형식입니다. 사용 가능한 데이터 원본 목록은 위에 데이터 원본에 나열되어 있습니다. 각 데이터 원본에는 고유한 구성 설정과 잠재적으로 필수 구성 요소가 있으므로 각 문서에 대한 개별 문서에서 자세한 내용을 참조하세요. |
| 대상 | 데이터 원본에서 수집된 데이터를 전송해야 하는 대상입니다. DCR에 여러 데이터 원본이 있는 경우 별도의 대상으로 보낼 수 있으며 단일 데이터 원본의 데이터를 여러 대상으로 보낼 수 있습니다. Log Analytics 작업 영역의 테이블과 같은 대상에 대한 자세한 내용은 각 데이터 원본에 대한 문서를 참조하세요. |
Azure Portal을 사용하여 DCR을 만드는 방법에 대한 자세한 단계는 데이터 수집 규칙 만들기를 참조하세요.
작업 확인
DCR을 만들고 컴퓨터와 연결한 후에는 에이전트가 작동하는지와 Log Analytics 작업 영역에서 쿼리를 실행하여 데이터가 수집되고 있는지 확인할 수 있습니다.
에이전트 작업 확인
Log Analytics에서 다음 쿼리를 실행하여 에이전트가 작동하며 적절히 통신하고 있는지 확인하여 하트비트 테이블에 레코드가 있는지 알아봅니다. 각 에이전트에서 1분마다 레코드를 이 테이블로 보내야 합니다.
Heartbeat
| where TimeGenerated > ago(24h)
| where Computer has "<computer name>"
| project TimeGenerated, Category, Version
| order by TimeGenerated desc
레코드가 수신되고 있는지 확인
에이전트를 설치하고 새 DCR 또는 수정된 DCR 실행을 시작하는 데 몇 분 정도 걸립니다. 그런 다음, Log Analytics 작업 영역에 쓰는 테이블을 확인하여 각 데이터 원본에서 레코드가 수신되고 있는지 확인할 수 있습니다. 예를 들어 다음 쿼리는 이벤트 테이블의 Windows 이벤트를 확인합니다.
Event
| where TimeGenerated > ago(48h)
| order by TimeGenerated desc
문제 해결
필요한 데이터가 수집되지 않는 경우 다음 단계를 수행합니다.
- 에이전트가 컴퓨터에 설치되어 있고 실행 중인지 확인합니다.
- 문제가 있는 데이터 원본에 대한 문서의 문제 해결 섹션을 참조하세요.
- DCR에 대한 모니터링을 사용하도록 설정하려면 Azure Monitor에서 DCR 데이터 수집 모니터링 및 문제 해결을 참조하세요.
- 메트릭을 확인하여 데이터가 수집되고 있는지, 행이 삭제되는지를 확인합니다.
- 로그를 보고 데이터 수집에서 발생한 오류를 식별합니다.
다음 단계
- Azure Monitor 에이전트를 사용하여 텍스트 로그를 수집합니다.
- Azure Monitor 에이전트에 대해 자세히 알아보세요.
- 데이터 수집 규칙에 대해 자세히 알아봅니다.