자습서: Azure 리소스에 대한 로그 검색 경고 만들기

  • 아티클

Azure Monitor 경고는 모니터링 데이터에서 중요한 조건이 발견되면 사전에 알려줍니다. 로그 쿼리 경고 규칙은 로그 쿼리가 특정 결과를 반환할 때 경고를 만듭니다. 예를 들어 가상 머신에서 특정 이벤트가 만들어지면 경고를 받거나 스토리지 계정에 과도한 익명 요청이 있으면 경고를 보냅니다.

이 자습서에서는 다음을 하는 방법을 알아볼 수 있습니다.

  • 다양한 종류의 리소스에 대한 경고 규칙을 지원하도록 설계된 미리 작성된 로그 쿼리에 액세스
  • 로그 검색 경고 규칙 만들기
  • 경고 세부 정보를 정의하는 작업 그룹 만들기

사전 요구 사항

이 자습서를 완료하려면 다음이 필요합니다.

  • 모니터링할 Azure 리소스입니다. 진단 설정을 지원하는 Azure 구독의 모든 리소스를 사용할 수 있습니다. 리소스가 진단 설정을 지원하는지 확인하려면 Azure Portal에서 리소스 메뉴로 이동한 후 메뉴의 모니터링 섹션에 진단 설정 옵션이 있는지 확인합니다.

가상 머신 이외의 Azure 리소스를 사용하는 경우:

Azure 가상 머신을 사용하는 경우:

로그 쿼리 선택 및 결과 확인

KQL(Kusto 쿼리 언어)로 작성된 로그 쿼리를 사용하여 Log Analytics 작업 영역에서 데이터가 검색됩니다. Azure Monitor의 인사이트 및 솔루션은 특정 서비스에 대한 데이터를 검색하는 로그 쿼리를 제공하지만, Azure Portal에서 Log Analytics를 사용하여 로그 쿼리 및 해당 결과를 직접 작업할 수 있습니다.

리소스 메뉴에서 로그를 선택합니다. Log Analytics는 리소스 종류에 대해 미리 작성된 쿼리가 포함된 쿼리 창과 함께 열립니다. 경고 규칙에 대해 설계된 쿼리를 보려면 경고를 선택합니다.

참고 항목

쿼리 창이 열리지 않으면 오른쪽 위에서 쿼리를 클릭합니다.

쿼리 창이 있는 Log Analytics

쿼리를 선택하고, 실행을 클릭하여 쿼리 편집기에서 쿼리를 로드하고 결과를 반환합니다. 쿼리는 수정하고 다시 실행할 수 있습니다. 예를 들어, 스토리지 계정에 대한 익명 요청 표시 쿼리가 다음 스크린샷에 표시되어 있습니다. AuthenticationType을 수정하거나 다른 열을 필터링할 수 있습니다.

쿼리 결과

경고 규칙 만들기

쿼리가 확인되면 경고 규칙을 만들 수 있습니다. 새 경고 규칙을 선택하여 현재 로그 쿼리를 기반으로 하는 새 경고 규칙을 만듭니다. 범위는 이미 현재 리소스로 설정되어 있습니다. 이 값을 변경할 필요가 없습니다.

경고 규칙 만들기

조건 구성

조건 탭에는 로그 쿼리가 이미 입력되어 있습니다. 측정 섹션에서는 로그 쿼리의 기록을 측정하는 방법을 정의합니다. 쿼리가 요약을 수행하지 않는 경우 유일한 옵션은 테이블 행 수를 계산하는 것입니다. 쿼리에 하나 이상의 요약된 열이 포함된 경우 테이블 행 수를 사용하거나 요약된 열을 기반으로 하는 계산을 사용할 수 있습니다. 집계 세분성은 수집된 값이 집계되는 시간 간격을 정의합니다. 예를 들어, 집계 세분성이 5분으로 설정된 경우 경고 규칙은 지난 5분 동안 집계된 데이터를 평가합니다. 집계 세분성이 15분으로 설정된 경우 경고 규칙은 지난 15분 동안 집계된 데이터를 평가합니다. 경고의 정확도에 영향을 줄 수 있으므로 경고 규칙에 적합한 집계 세분성을 선택하는 것이 중요합니다.

참고 항목

로그 경고 규칙 속성의 모든 데이터를 합친 크기는 64KB를 초과할 수 없습니다. 이는 차원이 너무 많거나, 쿼리가 너무 크거나, 작업 그룹이 너무 많거나, 설명이 긴 경우에 발생할 수 있습니다. 대규모 경고 규칙을 만들 때 이러한 영역을 최적화하는 것을 잊지 마세요.

경고 규칙 조건

차원 구성

차원으로 분할을 사용하면 다양한 리소스에 대해 별도의 경고를 만들 수 있습니다. 이 설정은 여러 리소스에 적용되는 경고 규칙을 만들 때 유용합니다. 범위를 단일 리소스로 설정하면 이 설정은 일반적으로 사용되지 않습니다.

경고 규칙 차원

경고 알림 이메일에 특정 차원을 포함해야 하는 경우 차원(예: "컴퓨터")을 지정할 수 있습니다. 그러면 경고 알림 이메일에 경고를 트리거한 컴퓨터 이름이 포함됩니다. 경고 엔진은 경고 쿼리를 사용하여 사용 가능한 차원을 확인합니다. "차원 이름" 드롭다운 목록에 원하는 차원이 표시되지 않는 경우 경고 쿼리가 결과에 해당 열을 노출하지 않기 때문입니다. 사용하려는 열이 포함된 프로젝트 줄을 쿼리에 추가하여 원하는 차원을 쉽게 추가할 수 있습니다. 요약 라인을 사용하여 쿼리 결과에 더 많은 열을 추가할 수도 있습니다.

컴퓨터 집합이라는 차원이 포함된 경고 규칙 차원을 보여 주는 스크린샷.

경고 논리 구성

경고 논리에서 연산자임계값을 구성하여 측정에서 반환된 값과 비교합니다. 이 값이 true이면 경고가 만들어집니다. 로그 쿼리가 실행되고 평가되는 빈도를 정의하는 평가 빈도 값을 선택합니다. 빈도가 낮을수록 경고 규칙의 비용이 증가합니다. 빈도를 선택하면 일정 기간 동안의 쿼리 결과 미리 보기와 함께 월별 예상 비용이 표시됩니다.

예를 들어 측정값이 테이블 행 수이면 경고 논리는 하나 이상의 레코드가 반환되었음을 나타내는 0보다 큼일 수 습니다. 측정값이 열 값이면 논리가 특정 임계값보다 크거나 작아야 할 수 있습니다. 다음 예에서 로그 쿼리는 스토리지 계정에 대한 익명 요청을 찾고 있습니다. 익명 요청이 이루어지면 경고를 트리거해야 합니다. 이 경우 반환된 단일 행에서 경고를 트리거하므로 경고 논리는 0보다 큼이어야 합니다.

경고 논리

작업 구성

작업 그룹은 이메일 또는 SMS 메시지 보내기와 같이 경고가 발생하는 경우 수행할 작업 집합을 정의합니다.

작업을 구성하려면 작업 탭을 선택합니다.

강조 표시된 Actions 탭을 보여 주는 스크린샷.

작업 그룹 선택을 클릭하여 하나의 작업 그룹을 경고 규칙에 추가합니다.

작업 그룹 선택 단추를 보여 주는 스크린샷.

구독에서 선택할 작업 그룹이 아직 없는 경우 작업 그룹 만들기를 클릭하여 새 작업 그룹을 만듭니다.

작업 그룹 만들기

작업 그룹에 대한 구독리소스 그룹을 선택하고. 포털에 표시되는 작업 그룹 이름과 이메일 및 SMS 알림에 표시되는 표시 이름을 지정합니다.

작업 그룹 기본 사항

알림 탭을 선택하고, 경고가 발생하면 적절한 사람에게 알리는 하나 이상의 방법을 추가합니다.

작업 그룹 알림

세부 정보 구성

세부 정보 탭을 선택하고 경고 규칙에 대한 다양한 설정을 구성합니다.

  • 경고가 발생하면 표시되므로 경고 규칙 이름에는 설명이 포함되어야 합니다.
  • 필요에 따라 경고 세부 정보에 포함된 경고 규칙 설명을 제공합니다.
  • 구독리소스 그룹은 경고 규칙이 저장되는 위치입니다. 모니터링하는 리소스와 동일한 리소스 그룹에 있을 필요는 없습니다.
  • 경고의 심각도. 심각도를 사용하면 상대적 중요도가 비슷한 경고를 그룹화할 수 있습니다. 오류의 심각도는 응답하지 않는 가상 머신에 적합합니다.
  • 고급 옵션에서 규칙을 만들면 사용을 선택한 상태로 유지합니다.
  • 고급 옵션에서 자동으로 경고 해결을 선택한 상태로 유지합니다. 이렇게 하면 경고가 상태 저장됩니다. 즉, 조건이 더 이상 충족되지 않으면 경고가 해결됩니다.

경고 규칙 세부 정보

경고 규칙 만들기를 클릭하여 경고 규칙을 만듭니다.

경고 보기

경고가 발생하면 해당 작업 그룹에서 알림을 보냅니다. 경고는 Azure Portal에서도 볼 수 있습니다.

리소스의 메뉴에서 경고를 선택합니다. 리소스에 대해 미해결 경고가 있는 경우 보기에 포함됩니다.

경고 보기

심각도를 클릭하여 해당 심각도의 경고를 표시합니다. 사용자 응답을 선택하고, 비공개를 선택 취소하여 미해결 경고만 표시합니다.

사용자 응답 필터를 보여 주는 스크린샷.

경고 이름을 클릭하여 세부 정보를 확인합니다.

경고 세부 정보

다음 단계

이제 Azure 리소스에 대한 로그 검색 경고를 만드는 방법을 알아보았으므로 모니터링 데이터에 대한 대화형 시각화를 만들기 위한 통합 문서를 살펴보세요.

Azure Monitor 통합 문서