Log Analytics 에이전트를 사용하여 사용자 지정 로그 형식의 데이터를 Microsoft Sentinel로 수집

  • 아티클

많은 애플리케이션이 Windows 이벤트 로그 또는 Syslog 같은 표준 로깅 서비스 대신 텍스트 파일에 정보를 기록합니다. Log Analytics 에이전트를 사용하여 Windows 및 Linux 컴퓨터에서 비표준 형식의 텍스트 파일로 데이터를 수집할 수 있습니다. 수집된 데이터를 쿼리의 개별 필드로 구문 분석하거나 수집 중에 데이터를 개별 필드로 추출할 수 있습니다.

이 문서에서는 사용자 지정 로그 형식을 사용하여 Microsoft Sentinel에 데이터 원본을 연결하는 방법을 설명합니다. 이 방법을 사용하는 지원되는 데이터 커넥터에 대한 자세한 정보는 데이터 커넥터 참조를 확인하세요.

Important

Log Analytics 에이전트는 2024년 8월 31일에 사용 중지됩니다. Microsoft Sentinel 배포에서 Log Analytics 에이전트를 사용하는 경우 AMA로의 마이그레이션 계획을 시작하는 것이 좋습니다. 자세한 내용은 Microsoft Sentinel용 AMA 마이그레이션을 참조하세요.

Azure Monitor의 모든 사용자 지정 로그 설명서에 대해 알아봅니다.

참고 항목

US Government 클라우드의 기능 가용성에 대한 자세한 내용은 US Government 고객을 위한 클라우드 기능 가용성의 Microsoft Sentinel 표를 참조하세요.

Log Analytics 에이전트 설치

로그를 생성하는 Linux 또는 Windows 컴퓨터에 Log Analytics 에이전트를 설치합니다.

일부 공급 업체는 장치에 직접 설치하는 대신 별도의 로그 서버에 Log Analytics 에이전트를 설치하는 것이 좋습니다. 데이터 커넥터 참조 페이지 또는 제품의 자체 설명서에서 제품 섹션을 참조하세요.

커넥터가 Microsoft Sentinel의 콘텐츠 허브에 나열된 솔루션의 일부인지 여부에 따라 아래의 적절한 탭을 선택합니다.

시작하기 전에 Microsoft Sentinel의 콘텐츠 허브에서 제품에 대한 솔루션을 설치합니다. 자세한 내용은 Microsoft Sentinel 기본 제공 콘텐츠 검색 및 관리를 참조하세요. 제품의 데이터 커넥터를 사용할 수 있게 되면 다음 단계를 계속 진행합니다.

  1. Microsoft Sentinel 탐색 메뉴에서 데이터 커넥터를 선택합니다.

  2. 적절한 제품 데이터 커넥터를 검색하여 선택합니다.

  3. 커넥터 페이지 열기를 선택합니다.

  4. 로그를 생성하는 장치에 에이전트를 설치하고 온보딩합니다. Linux 또는 Windows을 적절하게 선택합니다.

    머신 형식 지침
    Azure Linux VM의 경우
    1. Linux 에이전트 설치 위치 선택에서 Azure Linux Virtual Machines에 에이전트 설치를 참조하세요.

    2. Azure Linux 가상 머신용 에이전트 다운로드 및 설치 > 링크를 선택합니다.

    3. 가상 머신 블레이드에서 에이전트를 설치할 가상 머신을 선택한 다음 연결을 선택합니다. 연결하려는 각 VM에 이 단계를 반복합니다.
    기타 Linux 머신의 경우
    1. Linux 에이전트 설치 위치 선택에서 비 Azure linux 컴퓨터에 에이전트 설치를 확장합니다.

    2. 비 Azure Linux 컴퓨터용 에이전트 다운로드 및 설치 > 링크를 선택합니다.

    3. 에이전트 관리 블레이드에서 Linux 서버 탭을 클릭한 다음 Linux용 에이전트 다운로드 및 온보딩 명령을 복사하여 Linux 컴퓨터에서 실행합니다.

      Linux 에이전트 설치 파일의 로컬 복사본을 유지하려면 "에이전트 다운로드 및 등록" 명령 위의 Linux 에이전트 다운로드 링크를 선택합니다.
    Azure Windows VM의 경우
    1. Windows 에이전트 설치 위치 선택에서 Azure Windows 가상 머신에 에이전트 설치를 확장합니다.

    2. Azure Windows Virtual Machines용 에이전트 다운로드 및 설치 > 링크를 선택합니다.

    3. 가상 머신 블레이드에서 에이전트를 설치할 가상 머신을 선택한 다음 연결을 선택합니다. 연결하려는 각 VM에 이 단계를 반복합니다.
    기타 Windows 컴퓨터의 경우
    1. Windows 에이전트 설치 위치 선택에서 비 Azure Windows 컴퓨터에 에이전트 설치를 확장합니다.

    2. 비 Azure Windows 컴퓨터용 에이전트 다운로드 및 설치 > 링크를 선택합니다.

    3. 에이전트 관리 블레이드의 Windows 서버 탭에서 32비트 또는 64비트 시스템에 대한 Windows 에이전트 다운로드 링크를 적절하게 선택합니다.

수집할 로그 구성

Microsoft Sentinel의 데이터 커넥터 페이지에 고유한 데이터 커넥터가 표시되는 디바이스 유형이 많습니다. 일부 커넥터에는 Microsoft Sentinel에서 로그 수집을 올바르게 설정하기 위한 특별한 추가 지침이 필요합니다. 이 지침에는 Kusto 함수를 기반으로 하는 파서 구현이 포함될 수 있습니다.

Microsoft Sentinel에 나열된 모든 커넥터는 포털의 해당 커넥터 페이지와 Microsoft Sentinel 데이터 커넥터 참조 페이지의 해당 섹션에 특정 지침을 표시합니다.

콘텐츠 허브에 데이터 커넥터가 나열된 솔루션이 제품에 없는 경우 디바이스에 대한 로깅 구성에 대한 지침은 공급업체 설명서를 참조하세요.

Log Analytics 에이전트 구성

  1. 커넥터 페이지에서 작업 영역 사용자 지정 로그 구성 열기 링크를 선택합니다.

    또는 Log Analytics 작업 영역 탐색 메뉴에서 사용자 지정 로그를 선택합니다.

  2. 사용자 지정 탭에서 사용자 지정 로그 추가를 선택합니다.

  3. 샘플 탭에서 디바이스에서 로그 파일의 샘플을 업로드합니다(예: access.log 또는 error.log). 그런 후에 다음을 선택합니다.

  4. 레코드 구분 기호 탭에서 레코드 구분 기호인 새 줄 또는 타임스탬프를 선택하고(해당 탭의 지침 참조) 다음을 선택합니다.

  5. 컬렉션 경로 탭에서 Windows 또는 Linux의 경로 유형을 선택하고 구성에 따라 디바이스 로그의 경로를 입력합니다. 그런 후에 다음을 선택합니다.

  6. 사용자 지정 로그에 이름을 로그하고 선택적으로 설명을 입력한 후 다음을 선택합니다.
    이름에 "_CL"로 끝내면 자동으로 추가되므로 이렇게 설정하지 마세요.

데이터 찾기

로그에서 사용자 지정 로그 데이터를 쿼리하려면 쿼리 창에서 사용자 지정 로그에 지정한 이름을("_CL"로 끝남) 입력합니다.

다음 단계

이 문서에서는 사용자 지정 로그 형식에서 데이터를 수집하여 Microsoft Sentinel로 수집하는 방법을 알아보았습니다. Microsoft Sentinel에 대해 자세히 알아보려면 다음 문서를 참조하세요.