진단 설정 및 리소스 로그

완료됨

플랫폼 로그에서 Azure 리소스 및 이에 따른 Azure 플랫폼에 관한 자세한 진단 및 감사 정보를 제공합니다. 플랫폼 로그는 자동으로 생성됩니다.

Azure 내에서 다음 플랫폼 로그를 사용할 수 있습니다.

  • 리소스 로그. 리소스 로그는 Azure 리소스 내에서 수행된 작업에 대한 인사이트를 제공합니다. 이를 데이터 평면이라고 합니다. 예를 들어, 키 자격 증명 모음에서 비밀을 가져오거나 데이터베이스에 요청하는 등이 있습니다. 리소스 로그의 콘텐츠는 Azure 서비스 및 리소스 종류에 따라 다릅니다. 리소스 로그는 이전에 진단 로그라고 하였습니다.
  • 활동 로그 활동 로그는 Service Health 이벤트에 대한 업데이트 외에도 관리 평면이라고 알려진 외부 구독의 각 Azure 리소스에 대해 수행되는 작업에 대한 인사이트를 제공합니다. 활동 로그를 사용하여 구독의 리소스에 대해 쓰기 작업(PUT, POST, DELETE)에 대해 무엇을, 누가, 언제 실행했는지 확인합니다. Azure 구독마다 활동 로그가 하나씩 있습니다.
  • Microsoft Entra ID 로그. Entra ID 로그에는 로그인 작업 내역과 특정 테넌트의 Entra ID 변경 내용에 대한 감사 내역이 포함되어 있습니다. (이전에는 Azure Active Directory 로그라고 했습니다.)

플랫폼 로그 보기

다양한 Azure 플랫폼 로그를 보고 분석하는 여러 가지 옵션이 있습니다.

  • Azure Portal을 사용하여 활동 로그를 보고 PowerShell 및 Azure CLI에서 이벤트에 액세스합니다. 자세한 내용은 활동 로그 보기를 참조하세요.
  • Azure Portal에서 Azure AD 보안 및 활동 보고서를 봅니다. 자세한 내용은 Azure AD 보고서란?을 참조하세요.
  • 리소스 로그는 지원되는 Azure 리소스에서 자동으로 생성됩니다. 로그를 저장하고 보려면 리소스에 대한 진단 설정을 만들어야 합니다.

진단 설정

리소스 로그를 보려면 진단 설정이 있어야 합니다. 분석 또는 기타 목적으로 다음 대상 중 하나에 플랫폼 로그를 보내기 위해 진단 설정을 만듭니다.

  • Log Analytics 작업 영역. 모든 Azure 리소스의 로그를 함께 분석하고 로그 쿼리 및 로그 경고를 포함하여 Azure Monitor 로그에 사용할 수 있는 모든 기능을 활용합니다. 로그 쿼리 결과를 Azure 대시보드에 고정하거나 대화형 보고서의 일부로 통합 문서에 포함합니다.
  • 이벤트 허브. 예를 들어, 이벤트 허브를 통해 Azure 외부의 플랫폼 로그 데이터를 타사 SIEM 또는 사용자 지정 원격 분석 플랫폼으로 보냅니다.
  • Azure Storage. 감사 또는 백업을 위해 로그를 Azure Storage에 보관합니다.

플랫폼 메트릭은 기본적으로 구성 없이 자동으로 Azure Monitor 메트릭으로 전송됩니다. 플랫폼 로그에서 Azure 리소스 및 이에 따른 Azure 플랫폼에 관한 자세한 진단 및 감사 정보를 제공합니다.:

  • 리소스 로그는 대상으로 라우팅될 때까지 수집되지 않습니다.
  • 활동 로그는 자체적으로 존재하지만 다른 위치로 라우팅될 수 있습니다.

각 Azure 리소스에는 다음 기준을 정의하는 자체 진단 설정이 필요합니다.

  • 원본: 설정에 정의된 대상으로 보낼 메트릭 및 로그 데이터의 형식입니다. 사용 가능한 형식은 리소스 종류에 따라 다릅니다.
  • 대상: 보내려는 하나 이상의 대상입니다.

단일 진단 설정으로 각 대상 중 하나만 정의할 수 있습니다. 데이터를 2개 이상의 특정 대상 유형(예: 두 개의 다른 Log Analytics 작업 영역)으로 보내려면 여러 개의 설정을 만듭니다. 각 리소스에는 최대 5개의 진단 설정이 있을 수 있습니다.

진단 정보에는 세 가지 원본이 있습니다.

  • 메트릭
  • 리소스 로그
  • 활동 로그

AllMetrics 설정은 리소스의 플랫폼 메트릭을 다른 대상으로 라우팅합니다. 이 옵션은 모든 리소스 공급자에 대해 제공되지 않을 수 있습니다.

리소스 로그

로그를 사용하면 개별적으로 라우팅할 로그 범주를 선택하거나 범주 그룹을 선택할 수 있습니다. 개별 로그 범주를 선택하는 대신 범주 그룹을 사용하여 사전 정의된 그룹화를 기반으로 리소스 로그를 동적으로 수집할 수 있습니다. Microsoft는 모든 Azure 서비스에서 특정 사용 사례를 모니터링하는 데 도움이 되도록 그룹화를 정의합니다. 범주 그룹은 모든 메트릭 리소스 공급자에 적용되지 않습니다.

개별 로그 범주를 선택하는 대신 범주 그룹을 사용하여 사전 정의된 그룹화를 기반으로 리소스 로그를 동적으로 수집할 수 있습니다. 이러한 그룹화를 사용하면 모든 Azure 서비스에서 특정 사용 사례를 모니터링할 수 있습니다.

범주 그룹을 사용하면 더 이상 다음을 수행할 수 없습니다.

  • 개별 범주 형식에 따라 개별 리소스 로그를 선택합니다.
  • Azure Storage로 전송된 로그에 보존 설정을 적용합니다.

두 가지 범주 그룹이 있습니다.

  • 모두. 리소스가 제공하는 모든 리소스 로그입니다.
  • 감사. 데이터 또는 서비스 설정과의 고객 상호 작용을 기록하는 모든 리소스 로그입니다. 감사 로그는 가장 관련성이 높은 감사 데이터를 제공하기 위한 각 리소스 공급자의 시도를 나타내지만 감사 표준 관점에서는 충분하지 않을 수 있습니다.

감사 범주는 모두의 하위 집합이지만 Azure Portal과 REST API는 이를 별도의 설정으로 간주합니다. 모두를 선택하면 감사 범주 선택 여부에 관계없이 모든 감사 로그가 수집됩니다.

활동 로그

Azure Monitor 활동 로그는 구독 수준 이벤트에 대한 정보를 제공하는 Azure의 플랫폼 로그입니다. 활동 로그에는 리소스가 수정되거나 가상 머신이 시작되는 시기와 같은 정보가 포함됩니다. Azure Portal에서 활동 로그를 보거나 PowerShell 및 Azure CLI를 사용하여 항목을 검색할 수 있습니다.

더 많은 기능을 사용하려면 다음과 같은 이유로 활동 로그를 이러한 위치 중 하나 이상으로 보내는 진단 설정을 만듭니다.

  • Azure Monitor 로그 – 더 복잡한 쿼리 및 경고를 수행하고 최대 2년까지 더 오래 보존할 수 있습니다.
  • Azure Event Hubs – Azure 외부로 전달합니다.
  • Azure Storage – 더 저렴하고 장기간 보관이 가능합니다.

Azure Portal의 대부분의 메뉴에서 활동 로그에 액세스할 수 있습니다. 활동 로그를 여는 메뉴에서 해당 초기 필터가 결정됩니다. 모니터 메뉴에서 열면 구독에 대한 유일한 필터입니다. 리소스 메뉴에서 열면 필터가 해당 리소스로 설정됩니다. 언제든지 필터를 변경하여 다른 모든 항목을 볼 수 있습니다. 활동 로그 이벤트는 90일 동안 Azure에 보관된 후 삭제됩니다.

활동 로그를 Log Analytics 작업 영역으로 보내 Azure Monitor 로그 기능을 사용하도록 설정할 수 있습니다. 여기서 다음을 수행할 수 있습니다.

  • Azure Monitor에서 수집한 다른 모니터링 데이터와 활동 로그 데이터의 상관 관계를 지정합니다.
  • 함께 분석하기 위해 여러 Azure 구독 및 테넌트의 로그 항목을 하나의 위치로 통합합니다.
  • 로그 쿼리를 사용하여 복잡한 분석을 수행하고 활동 로그 항목에 대한 심층적인 인사이트를 확보합니다.
  • 더 복잡한 경고 논리를 위해 작업 항목과 함께 로그 경고를 사용합니다.
  • 활동 로그 보존 기간보다 더 오래 활동 로그 항목을 저장합니다.

활동 로그를 Log Analytics 작업 영역으로 보내려면 활동 로그 페이지에서 활동 로그 내보내기를 선택합니다. 단일 구독에서 최대 5개의 작업 영역으로 활동 로그를 보낼 수 있습니다. Log Analytics 작업 영역의 활동 로그 데이터는 Log Analytics에서 로그 쿼리를 사용하여 검색할 수 있는 AzureActivity라는 테이블에 저장됩니다. 이 테이블의 구조는 로그 항목의 범주에 따라 다릅니다.

감사, 정적 분석 또는 백업을 위해 90일 이상 로그 데이터를 보존하려는 경우 활동 로그를 Azure Storage 계정으로 보냅니다. 활동 로그를 Azure로 보내면 이벤트가 발생하는 즉시 스토리지 계정에 스토리지 컨테이너가 만들어집니다.