Log Analytics 작업 영역 개요

Log Analytics 작업 영역은 Azure Monitor와 Microsoft Sentinel 및 클라우드용 Microsoft Defender와 같은 다른 Azure 서비스의 로그 데이터를 위한 고유한 환경입니다. 각 작업 영역에는 자체 데이터 리포지토리 및 구성이 있지만 여러 서비스의 데이터를 결합할 수 있습니다. 이 문서에서는 Log Analytics 작업 영역과 관련된 개념에 대한 개요를 제공하며 각각에 대한 자세한 내용을 참조할 수 있도록 다른 설명서에 대한 링크를 제공합니다.

중요

Microsoft Sentinel 설명서에서 Microsoft Sentinel 작업 영역이라는 용어가 사용되는 것을 보실 수 있습니다. 이 작업 영역은 이 문서에서 설명한 것과 동일한 Log Analytics 작업 영역이지만 Microsoft Sentinel에 대해 사용하도록 설정됩니다. 작업 영역의 모든 데이터에는 비용 섹션에 설명된 대로 Microsoft Sentinel 가격 책정이 적용됩니다.

모든 데이터 컬렉션에 대해 단일 작업 영역을 사용할 수 있습니다. 다음과 같은 요구 사항에 따라 여러 작업 영역을 만들 수도 있습니다.

  • 데이터의 지리적 위치
  • 데이터에 액세스할 수 있는 사용자를 정의하는 액세스 권한
  • 가격 책정 계층 및 데이터 보존과 같은 구성 설정

새 작업 영역을 만들려면 Azure Portal에서 Log Analytics 작업 영역 만들기를 참조하세요. 여러 작업 영역을 만드는 방법에 대한 고려 사항은 Log Analytics 작업 영역 구성 디자인을 참조하세요.

데이터 구조

각 작업 영역에는 여러 행의 데이터를 포함하는 별도의 열로 구성된 여러 테이블이 포함되어 있습니다. 각 테이블은 고유한 열 집합으로 정의됩니다. 데이터 원본에서 제공하는 데이터 행은 해당 열을 공유합니다. 로그 쿼리는 Azure Monitor 및 작업 영역을 사용하는 다른 서비스의 다양한 기능에 출력을 검색하고 제공하는 데이터 열을 정의합니다.

Azure Monitor 로그 구조를 보여주는 다이어그램

경고

테이블 이름은 청구 목적으로 사용되므로 중요한 정보를 포함하지 않아야 합니다.

비용

작업 영역을 만들거나 유지 관리하는 데 드는 직접적인 비용은 없습니다. 데이터 수집이라고도 하는 전송된 데이터에 대한 요금이 청구됩니다. 데이터가 저장되는 기간(데이터 보존이라고도 함)에 대한 요금이 청구됩니다. 이러한 비용은 로그 데이터 계획에 설명된 대로 각 테이블의 로그 데이터 계획에 따라 달라질 수 있습니다.

가격 책정에 대한 자세한 내용은 Azure Monitor 가격 책정을 참조하세요. 비용을 절감하는 방법에 대한 지침은 Azure Monitor 모범 사례 - 비용 관리를 참조하세요. Azure Monitor 이외의 서비스에서 Log Analytics 작업 영역을 사용하는 경우 가격 책정 정보는 해당 서비스에 대한 설명서를 참조하세요.

작업 영역 변환 DCR

Azure Monitor로 들어오는 데이터를 정의하는 DCR(데이터 수집 규칙)에는 데이터를 작업 영역으로 수집하기 전에 필터링하고 변환할 수 있는 변환이 포함될 수 있습니다. 모든 데이터 소스가 아직 DCR을 지원하지 않으므로 각 작업 영역에는 작업 영역 변환 DCR이 있을 수 있습니다.

작업 영역 변환 DCR의 변환은 작업 영역의 각 테이블에 대해 정의되며, 여러 소스에서 전송된 경우에도 해당 테이블로 전송된 모든 데이터에 적용됩니다. 이러한 변환은 DCR을 아직 사용하지 않는 워크플로에만 적용됩니다. 예를 들어 Azure Monitor 에이전트는 DCR을 사용하여 가상 머신에서 수집된 데이터를 정의합니다. 이 데이터는 작업 영역에 정의된 수집 시간 변환의 적용을 받지 않습니다.

예를 들어 여러 Azure 리소스에 대한 리소스 로그를 작업 영역으로 보내는 진단 설정이 있을 수 있습니다. 원하는 레코드에 대해서만 이 데이터를 필터링하는 리소스 로그를 수집하는 테이블에 대한 변환을 만들 수 있습니다. 이 메서드는 필요하지 않은 레코드에 대한 수집 비용을 절약합니다. 또한 특정 열에서 중요한 데이터를 추출하고 작업 영역의 다른 열에 저장하여 더 간단한 쿼리를 지원할 수도 있습니다.

데이터 보존 및 보관

Log Analytics 작업 영역의 각 테이블의 데이터는 지정된 기간 동안 보존되며, 그 후에는 보존 요금이 절감된 상태로 제거되거나 보관됩니다. 데이터 보존 비용을 줄여 데이터를 사용할 수 있도록 요구 사항에 맞춰 보존 시간을 설정합니다.

보관된 데이터에 액세스하려면 먼저 다음 방법 중 하나를 사용하여 Analytics 로그 테이블에서 데이터를 검색해야 합니다.

메서드 Description
작업 검색 특정 조건과 일치하는 데이터를 검색합니다.
복원 특정 시간 범위에서 데이터를 검색합니다.

데이터 요금제 및 아카이브의 개요를 보여 주는 다이어그램

사용 권한

Log Analytics 작업 영역의 데이터에 액세스하는 권한은 각 작업 영역의 설정인 액세스 제어 모드에 의해 정의됩니다. 기본 제공 또는 사용자 지정 역할을 사용하여 사용자에게 작업 영역에 대한 명시적 액세스 권한을 부여할 수 있습니다. 또는 Azure 리소스에 대해 수집된 데이터에 대한 액세스를 해당 리소스에 대한 액세스 권한을 가진 사용자에게 허용할 수 있습니다.

다양한 사용 권한 옵션 및 권한 구성 방법에 대한 자세한 내용은 Azure Monitor에서 로그 데이터 및 작업 영역에 대한 액세스 관리를 참조하세요.

다음 단계