자습서: Azure Monitor 에이전트를 사용하여 Microsoft Sentinel을 사용하여 Log Analytics 작업 영역에 Syslog 데이터 전달

이 자습서에서는 Azure Monitor 에이전트를 사용하여 Syslog 데이터를 작업 영역에 전달하도록 Linux VM(가상 머신)을 구성합니다. 이러한 단계를 통해 방화벽 네트워크 디바이스와 같은 에이전트를 설치할 수 없는 Linux 기반 디바이스에서 데이터를 수집하고 모니터링할 수 있습니다.

Linux VM에 데이터를 보내도록 Linux 기반 디바이스를 구성합니다. VM의 Azure Monitor 에이전트는 Syslog 데이터를 Log Analytics 작업 영역으로 전달합니다. 그런 다음, Microsoft Sentinel 또는 Azure Monitor를 사용하여 Log Analytics 작업 영역에 저장된 데이터에서 디바이스를 모니터링합니다.

이 자습서에서는 다음을 하는 방법을 알아볼 수 있습니다.

• 데이터 수집 규칙을 만듭니다.
• Azure Monitor 에이전트가 실행 중인지 확인합니다.
• 포트 514에서 로그 수신이 가능하도록 설정합니다.
• Syslog 데이터가 Log Analytics 작업 영역으로 전달되는지 확인합니다.

필수 조건

이 자습서의 단계를 완료하려면 다음 리소스 및 역할이 있어야 합니다.

• 활성 구독이 있는 Azure 계정. 체험 계정을 만듭니다.

• 에이전트를 배포하고 데이터 수집 규칙을 생성하기 위한 다음 역할이 있는 Azure 계정:

  기본 제공 역할	범위	원인
  - 가상 머신 기여자 - Azure Connected Machine 리소스 관리자	- 가상 머신 - 스케일링 세트 - Azure Arc 지원 서버	에이전트 배포 방법
  Microsoft.Resources/deployments/* 작업을 포함하는 모든 역할	- 구독 - 리소스 그룹 - 기존 데이터 수집 규칙	Azure Resource Manager 템플릿 배포
  모니터링 기여자	- 구독 - 리소스 그룹 - 기존 데이터 수집 규칙	데이터 컬렉션 규칙 만들기 또는 편집

• Log Analytics 작업 영역

• Azure Monitor 에이전트를 지원하는 운영 체제를 실행하는 Linux 서버입니다.

  • Azure Monitor 에이전트에 지원되는 Linux 운영 체제
  • Azure Portal에서 Linux VM을 생성하거나 Azure Arc에 온-프레미스 Linux 서버를 추가합니다.

• 방화벽 네트워크 디바이스와 같은 이벤트 로그 데이터를 생성하는 Linux 기반 디바이스입니다.

데이터 수집 규칙을 만듭니다.

데이터 수집 규칙 만들기의 단계별 지침을 참조하세요.

Azure Monitor 에이전트가 실행 중인지 확인

Microsoft Sentinel 또는 Azure Monitor에서 Azure Monitor 에이전트가 VM에서 실행되고 있는지 확인합니다.

1. Azure Portal에서 Microsoft Sentinel 또는 Azure Monitor를 검색하여 엽니다.

2. Microsoft Sentinel을 사용하는 경우 적절한 작업 영역을 선택합니다.

3. 일반에서 로그를 선택합니다.

4. 새 쿼리 탭이 표시되도록 쿼리 페이지를 닫습니다.

5. 다음 쿼리를 실행하여 컴퓨터 값을 Linux VM의 이름으로 바꿉니다.

   Heartbeat
   | where Computer == "vm-linux"
   | take 10
   

포트 514에서 로그 수신이 가능하도록 설정합니다.

로그 데이터를 수집하는 VM이 Syslog 원본에 따라 포트 514 TCP 또는 UDP에서 수신을 허용하는지 확인합니다. 그런 다음, 디바이스의 Syslog 메시지를 수신 대기하도록 VM의 기본 제공 Linux Syslog 디먼을 구성합니다. 이러한 단계를 완료한 후 VM에 로그를 보내도록 Linux 기반 디바이스를 구성합니다.

다음 두 섹션에서는 Azure VM에 대한 인바운드 포트 규칙을 추가하고 기본 제공 Linux Syslog 디먼을 구성하는 방법을 설명합니다.

VM에서 인바운드 Syslog 트래픽 허용

Syslog 데이터를 Azure VM에 전달하는 경우 다음 단계에 따라 포트 514에서 수신을 허용합니다.

1. Azure Portal에서 Virtual Machines를 검색하여 선택합니다.

2. VM을 선택합니다.

3. 설정에서 네트워킹을 선택합니다.

4. 인바운드 포트 규칙 추가를 선택합니다.

5. 다음 값을 입력합니다.

   필드	값
   대상 포트 범위	514
   프로토콜	Syslog 원본에 따라 TCP 또는 UDP
   작업	허용
   이름	AllowSyslogInbound

   나머지 필드에는 기본값을 사용합니다.

6. 추가를 선택합니다.

Linux Syslog 디먼 구성

참고 항목

에이전트가 작동할 수 없는 전체 디스크 시나리오를 방지하려면 불필요한 로그를 저장하지 않도록 syslog-ng 또는 rsyslog 구성을 설정하는 것이 좋습니다. 전체 디스크 시나리오는 설치된 Azure Monitor 에이전트의 함수를 방해합니다. rsyslog 또는 syslog-ng에 대해 자세히 알아봅니다.

Linux VM에 연결하고 다음 명령을 실행하여 Linux Syslog 디먼을 구성합니다.

sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python3 Forwarder_AMA_installer.py

이 스크립트는 rsyslog.d와 syslog-ng를 둘 다 변경할 수 있습니다.

Syslog 데이터가 Log Analytics 작업 영역으로 전달되는지 확인

VM에 로그를 보내도록 Linux 기반 디바이스를 구성한 후 Azure Monitor 에이전트가 작업 영역에 Syslog 데이터를 전달하는지 확인합니다.

1. Azure Portal에서 Microsoft Sentinel 또는 Azure Monitor를 검색하여 엽니다.

2. Microsoft Sentinel을 사용하는 경우 적절한 작업 영역을 선택합니다.

3. 일반에서 로그를 선택합니다.

4. 새 쿼리 탭이 표시되도록 쿼리 페이지를 닫습니다.

5. 다음 쿼리를 실행하여 컴퓨터 값을 Linux VM의 이름으로 바꿉니다.

   Syslog
   | where Computer == "vm-linux"
   | summarize by HostName
   

리소스 정리

만든 VM과 같은 리소스가 필요한지 여부를 평가합니다. 실행 중인 리소스를 그대로 두면 비용이 부과될 수 있습니다. 필요하지 않은 리소스는 개별적으로 삭제하세요. 리소스 그룹을 삭제하여 만든 모든 리소스를 삭제할 수도 있습니다.

다음 단계

자세히 알아보기:

Azure Monitor의 데이터 수집 규칙Azure Monitor 에이전트를 사용하여 Syslog 이벤트 수집