Azure Monitor 에이전트를 사용하여 데이터 수집
AMA(Azure Monitor 에이전트)는 Azure 가상 머신, Virtual Machine Scale Sets 및 Arc 지원 서버에서 데이터를 수집하는 데 사용됩니다. DCR(데이터 수집 규칙)은 에이전트에서 수집할 데이터와 해당 데이터를 전송해야 하는 위치를 정의합니다. 이 문서에서는 Azure Portal에서 DCR을 만들어 다양한 유형의 데이터를 수집하고 필요한 모든 컴퓨터에 에이전트를 설치하는 방법을 설명합니다.
Azure Monitor를 처음 사용하거나 기본 데이터 수집 요구 사항이 있는 경우 Azure Portal 및 이 문서의 지침을 사용하여 모든 요구 사항을 충족할 수 있습니다. 변환과 같은 추가 DCR 기능을 활용하려면 다른 방법을 사용하여 DCR을 만들거나 포털에서 만든 후 편집해야 할 수 있습니다. CLI, PowerShell, ARM 템플릿 또는 Azure Policy를 사용하여 배포하려는 경우 다른 방법을 사용하여 DCR을 관리하고 연결을 만들 수도 있습니다.
참고 항목
테넌트 간에 데이터를 보내려면 먼저 Azure Lighthouse를 사용하도록 설정해야 합니다.
Warning
다음 경우에서는 중복 데이터를 수집하여 추가 요금이 발생할 수 있습니다.
- 동일한 데이터 원본을 사용하여 여러 DCR을 만들고 동일한 에이전트에 연결. 각각 고유한 데이터를 수집하도록 DCR에서 데이터를 필터링하고 있는지 확인합니다.
- 보안 로그를 수집하는 DCR을 만들고 동일한 에이전트에 대해 Sentinel을 사용하도록 설정. 이 경우 Event 테이블과 SecurityEvent 테이블에서 동일한 이벤트를 수집할 수 있습니다.
- 동일한 컴퓨터에서 Azure Monitor 에이전트와 레거시 Log Analytics 에이전트를 모두 사용합니다. 중복 이벤트는 한 에이전트에서 다른 에이전트로 전환하는 동안으로만 제한해야 합니다.
데이터 원본
아래 표에는 현재 Azure Monitor 에이전트를 사용하여 수집할 수 있는 데이터 형식과 해당 데이터를 보낼 수 있는 위치가 나와 있습니다. 각각의 링크는 해당 데이터 원본을 구성하는 방법에 대한 세부 정보를 설명하는 문서에 대한 링크입니다. 이 문서에 따라 DCR을 만들고 리소스에 할당한 다음, 연결된 문서에 따라 데이터 원본을 구성합니다.
| 데이터 원본 | 설명 | 클라이언트 OS | 도착지 |
|---|---|---|---|
| Windows 이벤트 | sysmon 이벤트를 포함하여 Windows 이벤트 로깅 시스템으로 전송된 정보입니다. | Windows | Log Analytics 작업 영역 |
| 성능 카운터 | 운영 체제 및 워크로드의 여러 측면에서 성능을 측정하는 숫자 값입니다. | Windows Linux |
Azure Monitor 메트릭(미리 보기) Log Analytics 작업 영역 |
| Syslog | Linux 이벤트 로깅 시스템으로 전송되는 정보입니다. | Linux | Log Analytics 작업 영역 |
| 텍스트 로그 | 로컬 디스크의 텍스트 로그 파일로 전송되는 정보입니다. | Windows Linux |
Log Analytics 작업 영역 |
| JSON 로그 | 로컬 디스크의 JSON 로그 파일로 전송되는 정보입니다. | Windows Linux |
Log Analytics 작업 영역 |
| IIS 로그 | IIS(인터넷 정보 서비스)는 Windows 컴퓨터의 로컬 디스크에 기록함 | Windows | Log Analytics 작업 영역 |
참고 항목
Azure Monitor 에이전트는 현재 일반 공급되는 Azure 서비스 SQL 모범 사례 평가도 지원합니다. 자세한 내용은 Azure Monitor 에이전트를 사용하여 모범 사례 평가 구성을 참조하세요.
필수 조건
- 작업 영역에서 데이터 컬렉션 규칙 개체를 만들 수 있는 권한입니다.
- 추가 필수 구성 요소에 대한 각 데이터 원본을 설명하는 문서를 참조하세요.
개요
Azure Portal에서 DCR을 만들 때 지정한 컴퓨터에서 데이터를 수집하는 데 필요한 정보를 제공하는 일련의 페이지를 살펴봅니다. 다음 표에서는 각 페이지에서 제공해야 하는 정보를 설명합니다.
| 섹션 | 설명 |
|---|---|
| 리소스 | DCR을 사용할 컴퓨터입니다. DCR에 컴퓨터를 추가하면 컴퓨터와 DCR 간에 DCRA(데이터 수집 규칙 연결)가 만들어집니다. DCR을 만든 후 편집하여 컴퓨터를 추가하거나 제거할 수 있습니다. |
| 데이터 원본 | 컴퓨터에서 수집할 데이터의 형식입니다. 사용 가능한 데이터 원본 목록은 위에 데이터 원본에 나열되어 있습니다. 각 데이터 원본에는 고유한 구성 설정과 잠재적으로 필수 구성 요소가 있으므로 각 문서에 대한 개별 문서에서 자세한 내용을 참조하세요. |
| 대상 | 데이터 원본에서 수집된 데이터를 전송해야 하는 대상입니다. DCR에 여러 데이터 원본이 있는 경우 별도의 대상으로 보낼 수 있으며 단일 데이터 원본의 데이터를 여러 대상으로 보낼 수 있습니다. Log Analytics 작업 영역의 테이블과 같은 대상에 대한 자세한 내용은 각 데이터 원본에 대한 문서를 참조하세요. |
데이터 수집 규칙 만들기
모니터 메뉴에서 데이터 수집 규칙>만들기를 선택하여 DCR 만들기 페이지를 엽니다.
기본 페이지에는 DCR에 대한 기본 정보가 포함되어 있습니다.
| 설정 | 설명 |
|---|---|
| 규칙 이름 | DCR의 이름입니다. 규칙을 식별하는 데 도움이 되는 설명이 있어야 합니다. |
| 구독 | DCR을 저장할 구독입니다. 가상 머신과 동일한 구독일 필요는 없습니다. |
| Resource group | DCR을 저장할 리소스 그룹입니다. 가상 머신과 동일한 리소스 그룹일 필요는 없습니다. |
| 지역 | DCR을 저장할 지역입니다. DCR의 대상에서 사용되는 Log Analytics 작업 영역 또는 Azure Monitor 작업 영역과 동일한 지역이어야 합니다. 다른 지역에 작업 영역이 있는 경우 동일한 컴퓨터 집합과 연결된 여러 DCR을 만듭니다. |
| 플랫폼 유형 | DCR에 사용할 수 있는 데이터 원본의 형식(Windows 또는 Linux)을 지정합니다. 없음은 두 가지 모두에 사용할 수 있습니다. 1 |
| 데이터 컬렉션 엔드포인트 | 데이터를 수집하는 데 사용되는 DCE(데이터 수집 엔드포인트)를 지정합니다. Azure Monitor 프라이빗 링크를 사용하는 경우에만 필요합니다. 이 DCE는 DCR과 동일한 지역에 있어야 합니다. 자세한 내용은 배포에 따라 데이터 수집 엔드포인트를 설정하는 방법을 참조하세요. |
1 이 옵션은 DCR의 kind 특성을 설정합니다. 이 특성에 대해 설정할 수 있는 다른 값이 있지만 포털에서는 사용할 수 없습니다.
리소스 추가
리소스 페이지에서 DCR과 연결할 리소스를 추가할 수 있습니다. + 리소스 추가를 클릭하여 리소스를 선택합니다. Azure Monitor 에이전트는 아직 설치하지 않은 모든 리소스에 자동으로 설치됩니다.
Important
포털은 기존 사용자 할당 ID(있는 경우)와 함께 대상 리소스에서 시스템 할당 관리 ID를 사용하도록 설정합니다. 기존 애플리케이션에서 요청에 사용자가 할당한 ID를 지정하지 않으면 머신은 기본적으로 시스템이 할당한 ID를 대신 사용합니다.
모니터링하는 컴퓨터가 대상 Log Analytics 작업 영역과 동일한 지역에 있지 않고 DCE가 필요한 데이터 형식을 수집하는 경우 데이터 수집 엔드포인트 사용을 선택하고 모니터링되는 각 컴퓨터의 영역에서 엔드포인트를 선택합니다. 모니터링되는 컴퓨터가 대상 Log Analytics 작업 영역과 동일한 지역에 있거나 DCE가 필요하지 않은 경우 리소스 탭에서 데이터 수집 엔드포인트를 선택하지 마세요.
데이터 원본 추가
수집 및 배달 페이지에서 DCR 및 각 대상에 대한 데이터 원본을 추가하고 구성할 수 있습니다.
| 화면 요소 | 설명 |
|---|---|
| 데이터 원본 | 데이터 원본 유형을 선택하고 선택한 데이터 원본 유형에 따라 관련 필드를 정의합니다. 각 데이터 원본 유형 구성에 대한 자세한 내용은 위의 데이터 원본에 연결된 문서를 참조하세요. |
| 대상 | 각 데이터 원본에 대해 하나 이상의 대상을 추가합니다. 같거나 다른 유형의 여러 대상을 선택할 수 있습니다. 예를 들어 멀티 호밍이라고도 하는 여러 Log Analytics 작업 영역을 선택할 수 있습니다. 지원하는 다양한 대상에 대해서는 각 데이터 형식의 세부 정보를 참조하세요. |
DCR은 여러 데이터 원본을 포함할 수 있으며 단일 DCR에서 최대 10개의 데이터 원본으로 제한됩니다. 동일한 DCR에서 서로 다른 데이터 원본을 결합할 수 있지만 일반적으로 다른 데이터 수집 시나리오에 대해 서로 다른 DCR을 만들려고 합니다. DCR을 구성하는 방법에 대한 권장 사항은 Azure Monitor에서 데이터 수집 규칙 만들기 및 관리에 대한 모범 사례를 참조하세요.
작업 확인
DCR을 만들고 컴퓨터와 연결한 후에는 에이전트가 작동하는지와 Log Analytics 작업 영역에서 쿼리를 실행하여 데이터가 수집되고 있는지 확인할 수 있습니다.
에이전트 작업 확인
Log Analytics에서 다음 쿼리를 실행하여 에이전트가 작동하며 적절히 통신하고 있는지 확인하여 하트비트 테이블에 레코드가 있는지 알아봅니다. 각 에이전트에서 1분마다 레코드를 이 테이블로 보내야 합니다.
Heartbeat
| where TimeGenerated > ago(24h)
| where Computer has "<computer name>"
| project TimeGenerated, Category, Version
| order by TimeGenerated desc
레코드가 수신되고 있는지 확인
에이전트를 설치하고 새 DCR 또는 수정된 DCR 실행을 시작하는 데 몇 분 정도 걸립니다. 그런 다음, Log Analytics 작업 영역에 쓰는 테이블을 확인하여 각 데이터 원본에서 레코드가 수신되고 있는지 확인할 수 있습니다. 예를 들어 다음 쿼리는 이벤트 테이블의 Windows 이벤트를 확인합니다.
Event
| where TimeGenerated > ago(48h)
| order by TimeGenerated desc
문제 해결
필요한 데이터가 수집되지 않는 경우 다음 단계를 수행합니다.
- 에이전트가 컴퓨터에 설치되어 있고 실행 중인지 확인합니다.
- 문제가 있는 데이터 원본에 대한 문서의 문제 해결 섹션을 참조하세요.
- DCR에 대한 모니터링을 사용하도록 설정하려면 Azure Monitor에서 DCR 데이터 수집 모니터링 및 문제 해결을 참조하세요.
- 메트릭을 확인하여 데이터가 수집되고 있는지, 행이 삭제되는지를 확인합니다.
- 로그를 보고 데이터 수집에서 발생한 오류를 식별합니다.
다음 단계
- Azure Monitor 에이전트를 사용하여 텍스트 로그를 수집합니다.
- Azure Monitor 에이전트에 대해 자세히 알아보세요.
- 데이터 수집 규칙에 대해 자세히 알아봅니다.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기