Log Analytics 에이전트에서 Azure Monitor 에이전트로 마이그레이션

AMA(Azure Monitor 에이전트)는 온-프레미스 및 타사를 포함한 Azure 및 비 Azure 환경에서 Windows 및 Linux 컴퓨터에 대한 Log Analytics 에이전트(MMA(Microsoft Monitor Agent) 및 OMS라고도 함)를 바꿉니다. 에이전트는 DCR(데이터 수집 규칙)을 사용하여 컬렉션을 구성하는 간단하고 유연한 방법을 소개합니다. 이 문서에서는 Log Analytics 에이전트에서 Azure Monitor 에이전트로 마이그레이션을 제대로 구현하는 방법에 대한 지침을 제공합니다.

현재 Azure Monitor 또는 기타 지원되는 기능 및 서비스와 함께 Log Analytics 에이전트를 사용하는 경우 이 문서의 정보를 사용하여 Azure Monitor 에이전트로의 마이그레이션 계획을 시작합니다. SCOM에 대한 Log Analytics 에이전트를 사용하는 경우 SCOM 에이전트로 마이그레이션해야 합니다.

Log Analytics 에이전트는 2024년 8월 31일에 사용 중지됩니다. 이 날짜 이후에 MMA 또는 OMS 에이전트를 사용하는 경우 다음을 예상할 수 있습니다.

• 데이터 업로드: 데이터를 계속 업로드할 수 있습니다. 주요 고객이 마이그레이션을 완료하고 데이터 볼륨이 크게 감소하면 업로드가 일시 중단됩니다. 이 작업은 6~9개월 이상 걸릴 것으로 예상할 수 있습니다. 일시 중단에 대한 호환성이 손상되는 변경 알림은 수신되지 않습니다.
• 설치 또는 다시 설치: 레거시 에이전트를 설치 및 다시 설치할 수 있습니다. 설치 또는 다시 설치 문제에 대한 지원은 받을 수 없습니다.
• 고객 지원: 보안 문제에 대한 MMA/OMS 지원은 받을 수 있습니다.

이점

Azure Monitor 에이전트는 레거시 Log Analytics 에이전트를 통합하고 개선하는 것 외에도 비용 절감, 간소화된 관리 환경, 향상된 보안 및 성능 등 다양한 즉각적인 이점을 제공합니다.

마이그레이션 지침

Log Analytics 에이전트에서 Azure Monitor 에이전트로 마이그레이션을 시작하기 전에 검사 목록을 검토합니다.

시작하기 전에

• Azure Monitor 에이전트를 설치하기 위한 필수 구성 요소 를 확인합니다.
  Azure를 사용하지 않는 서버 및 온-프레미스 서버를 모니터링하려면 Azure Arc 에이전트를 설치해야 합니다. Arc 에이전트는 온-프레미스 서버를 대상으로 삼을 수 있는 리소스로 Azure에 표시합니다. Azure Arc 에이전트 설치에 대한 추가 비용은 발생하지 않습니다.
• 현재 요구 사항을 파악합니다.
  AMA 마이그레이션 도우미의 작업 영역 개요 탭을 사용하여 Log Analytics 작업 영역 중에 설루션별 마이그레이션 권장 사항을 비롯한 레거시 에이전트를 사용하는 것들에 연결된 에이전트를 확인하고 사용하도록 설정된 솔루션을 검색합니다.
• Azure Monitor 에이전트가 모든 요구 사항을 해결할 수 있는지 확인합니다.
  Azure Monitor 에이전트는 데이터 수집을 위한 GA(일반 공급)이며 다양한 Azure Monitor 기능 및 기타 Azure 서비스의 데이터 수집에 사용됩니다. 지원하는 서비스와 기능에서 자세한 내용을 참조하세요.
• 전환 기간 중에 레거시 에이전트와 함께 Azure Monitor 에이전트를 설치하는 것이 좋습니다.
  Azure Monitor 에이전트는 동일한 컴퓨터에서 레거시 Log Analytics 에이전트와 함께 실행할 수 있으므로 평가 또는 마이그레이션 중에 기존 기능을 계속 사용할 수 있습니다. 동일한 머신에서 두 개의 에이전트를 실행하면 CPU, 메모리, 스토리지 공간, 네트워크 대역폭 등의 리소스 사용량이 두 배로 증가합니다.
  
  • 배포 스크립트 및 온보딩 템플릿과 같은 리소스를 사용하여 새 환경을 설정하는 경우 나중에 마이그레이션 작업을 줄이기 위해 새 환경에서 레거시 에이전트와 함께 Azure Monitor 에이전트를 설치합니다.
  • 동일한 컴퓨터에 두 개의 에이전트가 있는 경우 중복 데이터를 수집하는 상황은 피해야 합니다.
    동일한 컴퓨터에서 중복 데이터를 수집하면 쿼리 결과가 왜곡되고 경고, 대시보드, 통합 문서와 같은 다운스트림 기능에 영향을 미치며 데이터 수집 및 보존 관련 추가 요금이 발생할 수 있습니다.
    데이터 중복을 방지하려면 다음을 수행합니다.
    • 데이터를 다른 작업 영역이나 동일 작업 영역 내의 다른 테이블로 보내도록 에이전트를 구성합니다.
    • 작업 영역 구성을 제거하여 레거시 에이전트에서 중복 데이터 수집을 사용하지 않도록 설정합니다.
    • 클라우드용 Defender는 두 에이전트를 모두 사용할 때 기본적으로 데이터를 중복 제거하며 에이전트를 나란히 실행할 때 컴퓨터당 한 번 요금이 청구됩니다.
    • Sentinel의 경우 쉽게 레거시 커넥터를 사용하지 않도록 설정하여 레거시 에이전트의 로그 수집을 중지할 수 있습니다.

마이그레이션 서비스 및 기능

1. DCR 생성기를 사용하여 레거시 에이전트 구성을 데이터 수집 규칙으로 자동 변환할 수 있습니다.¹

   생성된 규칙을 만들기 전에 검토하고 필터링, 세분화된 대상 지정(컴퓨터별) 및 기타 최적화와 같은 고급 옵션을 활용합니다. MMA 사용자 지정 로그를 AMA 사용자 지정 로그로 마이그레이션하는 데 특별히 필요한 단계가 있습니다.

2. 프로덕션이 아닌 일부 컴퓨터에서 새 에이전트와 데이터 수집 규칙을 테스트합니다.

   1. DCR 구성 생성기 설치 및 사용에서 설명하고 있는 내용과 같이, 생성한 데이터 수집 규칙을 컴퓨터 몇 대에 배포하여 연결합니다.

      중복 수집을 피하려면 레거시 에이전트 관련 작업 영역 구성을 제거하여 에이전트를 제거하는 일 없이 테스트 단계에서 레거시 에이전트가 데이터 수집을 사용하지 않도록 설정하면 됩니다.

   2. 차이가 없는지 확인하고 레거시 에이전트 데이터로 수집된 데이터를 Azure Monitor 에이전트와 비교합니다. 조인 연산자를 사용하여 Heartbeat 테이블의 Category 열을 추가하면 모든 테이블에서 비교할 수 있습니다. 이는 Azure Monitor 에이전트에서 수집한 데이터에 대해 Azure Monitor Agent를 나타냅니다.

      예를 들어 이 쿼리는 Heartbeat 테이블의 Category 열을 Event 테이블에서 검색한 데이터에 추가합니다.

      Heartbeat
      | distinct Computer, SourceComputerId, Category
      | join kind=inner (
          Event
      | extend d=parse_xml(EventData)
          | extend sourceHealthServiceId = tostring(d.DataItem.["@sourceHealthServiceId"])
          | project-reorder TimeGenerated, Computer, EventID, sourceHealthServiceId, ParameterXml, EventData
          ) on $left.SourceComputerId==$right.sourceHealthServiceId
      | project TimeGenerated, Computer, Category, EventID, sourceHealthServiceId, ParameterXml, EventData
      

3. 기본 제공 정책을 사용하여 대규모로 확장과 DCR 연결을 배포합니다. 또한, 정책을 사용하면 새로운 컴퓨터에 자동으로 확실하게 확장과 DCR 연결을 배포할 수도 있습니다.³

   AMA 마이그레이션 도우미를 사용하여 컴퓨터 간의 대규모 마이그레이션 모니터링을 실행합니다.

4. Azure Monitor 에이전트에서 예상대로 데이터를 수집하고 모든 다운스트림 종속성(예: 대시보드, 경고 및 통합 문서)이 제대로 작동하는지 확인합니다.

   1. 마이그레이션 후 수집 속도가 급증하거나 감소하는 경우 Log Analytics 작업 영역 인사이트의 개요와 사용량 탭을 확인합니다. 전체 작업 영역 수집과 테이블 수준 수집 속도를 모두 확인합니다.
   2. 마이그레이션 후 일반적인 동작 가변성에 대한 통합 문서, 대시보드 및 경고를 확인합니다.

5. 정리하면, Azure Monitor 에이전트에서 데이터를 제대로 수집하고 있는지 확인한 후 레거시 Log Analytics 에이전트를 사용하지 않도록 설정하거나 제거합니다.

   • 모든 요구 사항에 맞게 Azure Monitor 에이전트가 설치되면 모니터링되는 리소스에서 Log Analytics 에이전트를 제거합니다. 이전에 Log Analytics 에이전트에서 사용한 구성 파일, 작업 영역 키 또는 인증서를 정리합니다. Azure Monitor 에이전트가 지원하지 않는 기능 및 솔루션에 레거시 Log Analytics를 계속 사용합니다.

     MMA 제거 도구를 사용하여 테넌트 내의 모든 컴퓨터에서 Log Analytics 에이전트 확장을 검색하고 제거합니다.

   • 데이터를 System Center Operations Manager에 업로드하는 데 필요하다면 레거시 에이전트를 제거하지 않습니다.

¹ DCR 생성기는 Windows 이벤트 로그, Linux syslog 및 성능 카운터에 대한 구성만 변환합니다. 추가 기능 및 솔루션에 대한 지원이 곧 제공될 예정입니다.
² Azure Monitor 에이전트 확장에 추가적으로 솔루션에 따라 필요한 확장을 배포해야 할 수도 있습니다.

추가 서비스 및 기능 마이그레이션

Azure Monitor 에이전트는 데이터 수집을 위한 GA입니다. 데이터 수집에 Log Analytics 에이전트를 사용한 대부분의 서비스는 Azure Monitor 에이전트로 마이그레이션되었습니다.

이제 다음 기능 및 서비스에는 및 Azure Monitor 에이전트 버전이 있습니다(일부는 아직 공개 미리 보기로 제공됨). 즉, 기능 또는 서비스를 사용하도록 설정할 때 이미 Azure Monitor 에이전트를 사용하여 데이터를 수집하도록 선택할 수 있습니다.

서비스 또는 기능	마이그레이션 권장 사항	현재 상태	자세한 정보
VM insights, 서비스 맵 및 종속성 에이전트	Azure Monitor 에이전트로 마이그레이션	GA	VM Insights 사용
Microsoft Sentinel	Azure Monitor 에이전트로 마이그레이션	공개 미리 보기	Microsoft Sentinel에 대한 AMA 마이그레이션
변경 내용 추적 및 인벤토리	Azure Monitor 에이전트로 마이그레이션	GA	변경 내용 추적 및 인벤토리를 위한 마이그레이션
Network Watcher	Azure Monitor 에이전트가 있는 연결 모니터라는 새 서비스로 마이그레이션	GA	연결 모니터를 사용하여 네트워크 연결 모니터링
Azure Stack HCI Insights	Azure Monitor 에이전트로 마이그레이션	GA	Insights를 사용하여 Azure Stack HCI 모니터링
AVD(Azure Virtual Desktop) Insights	Azure Monitor 에이전트로 마이그레이션	GA	Azure Virtual Desktop Insights
컨테이너 모니터링 솔루션	Azure Monitor 에이전트가 있는 Container Insights라는 새 서비스로 마이그레이션	GA	Container Insights 사용
DNS 수집기	새 Sentinel 커넥터 사용	GA	DNS 커넥터 사용

현재 Log Analytics 에이전트를 사용하는 다음 서비스를 각각에 대한 교체 버전(v2)으로 마이그레이션하려고 하는 경우에 더 이상은 다음의 모니터링 에이전트가 필요 없습니다.

서비스	마이그레이션 권장 사항	현재 상태	자세한 정보
클라우드용 Microsoft Defender, 서버, SQL 및 엔드포인트	클라우드용 Microsoft Defender로 마이그레이션(Log Analytics 에이전트 또는 Azure Monitor 에이전트에 대한 종속성 없음)	GA	Log Analytics 에이전트 사용 중단을 위한 클라우드용 Defender 플랜
업데이트 관리	Azure 업데이트 관리자로 마이그레이션(Log Analytics 에이전트 또는 Azure Monitor 에이전트에 대한 종속성 없음)	GA	업데이트 관리자 설명서
Automation Hybrid Runbook Worker 개요	Automation Hybrid Worker 확장(Log Analytics 에이전트 또는 Azure Monitor 에이전트에 대한 종속성 없음)	GA	확장 기반 Hybrid Worker로 마이그레이션

마이그레이션에 영향을 미칠 수 있는 솔루션의 알려진 패리티 간격

• Sentinel: Windows 방화벽 로그는 아직 GA되지 않았습니다.

• SQL 평가 솔루션: 이제 이는 SQL 모범 사례 평가의 일부입니다. 배포 정책에는 구독당 하나의 Log Analytics 작업 영역이 필요하며 이는 AMA 팀에서 권장하는 모범 사례가 아닙니다.

• 클라우드용 Microsoft Defender: 새로운 에이전트 없는 솔루션의 일부 기능이 개발 중입니다. FIM(파일 통합 모니터링), Endpoint Protection 검색 권장 사항, 잘못된 OS 구성(ASB(Azure Security Benchmark) 권장 사항) 및 적응형 애플리케이션 제어를 사용하는 경우 마이그레이션이 영향을 받을 수 있습니다.

• Container Insights: Windows 버전은 공개 미리 보기 상태입니다.

자주 묻는 질문

이 섹션에서는 일반적인 질문에 대한 답변을 제공합니다.

Azure Monitor 에이전트와 Log Analytics 에이전트가 나란히 존재할 수 있나요?

예. Azure Monitor 에이전트로 마이그레이션하는 경우 전환 기간 동안 레거시 에이전트와 함께 Azure Monitor 에이전트를 설치하는 것을 고려할 수 있지만 몇 가지 고려 사항이 있습니다. Azure Monitor 에이전트 마이그레이션 지침에서 에이전트 공존 고려 사항에 대해 자세히 알아보세요.

다음 단계

자세한 내용은 다음을 참조하세요.

• Azure Monitor 에이전트 개요
• Microsoft Sentinel용 Azure Monitor 에이전트 마이그레이션
• Azure Monitor 에이전트에 대한 FAQ