Azure Monitor의 Microsoft Purview 메트릭

  • 아티클

이 문서에서는 Azure Monitor를 사용하여 Microsoft Purview에 대한 메트릭, 경고 및 진단 설정을 구성하는 방법을 설명합니다.

Microsoft Purview 모니터링

Microsoft Purview 관리자는 Azure Monitor를 사용하여 Microsoft Purview 계정의 작동 상태를 추적할 수 있습니다. 메트릭은 잠재적인 문제를 추적하고, 문제를 해결하고, Microsoft Purview 계정의 안정성을 개선하기 위한 데이터 요소를 제공하기 위해 수집됩니다. 메트릭은 Microsoft Purview에서 발생하는 이벤트에 대해 Azure Monitor로 전송됩니다.

집계된 메트릭

메트릭은 Microsoft Purview 계정의 Azure Portal 액세스할 수 있습니다. 메트릭에 대한 액세스는 Microsoft Purview 계정의 역할 할당에 의해 제어됩니다. 사용자는 메트릭을 보려면 Microsoft Purview에서 "모니터링 읽기 권한자" 역할의 일부여야 합니다. 역할 액세스 수준에 대해 자세히 알아보려면 읽기 권한자 역할 모니터링 권한을 확인하세요.

Microsoft Purview 계정을 만든 사람은 메트릭을 볼 수 있는 권한을 자동으로 받습니다. 다른 사람이 메트릭을 보려는 경우 다음 단계에 따라 모니터링 읽기 권한자 역할에 추가합니다.

모니터링 읽기 권한자 역할에 사용자 추가

모니터링 읽기 권한자 역할에 사용자를 추가하려면 Microsoft Purview 계정의 소유자 또는 구독 소유자가 다음 단계를 수행할 수 있습니다.

  1. Azure Portal 이동하여 Microsoft Purview 계정 이름을 검색합니다.

  2. 액세스 제어(IAM)를 선택합니다.

  3. 역할 할당 추가> 를 선택하여 역할 할당 추가 페이지를 엽니다.

  4. 다음 역할을 할당합니다. 자세한 단계는 Azure Portal 사용하여 Azure 역할 할당을 참조하세요.

    설정
    역할 모니터링 판독기
    에 대한 액세스 할당 사용자, 그룹 또는 서비스 주체
    구성원 <계정 사용자 Azure AD>

    Azure Portal 역할 할당 추가 페이지를 보여 주는 스크린샷

메트릭 시각화

모니터링 읽기 권한자 역할의 사용자는 Azure Monitor로 전송된 집계된 메트릭 및 진단 로그를 볼 수 있습니다. 메트릭은 해당 Microsoft Purview 계정에 대한 Azure Portal 나열됩니다. Azure Portal 메트릭 섹션을 선택하여 사용 가능한 모든 메트릭 목록을 확인합니다.

사용 가능한 Microsoft Purview 메트릭 섹션을 보여 주는 스크린샷

Microsoft Purview 사용자는 Microsoft Purview 계정의 관리 센터에서 직접 메트릭 페이지에 액세스할 수도 있습니다. Microsoft Purview 관리 센터의 기본 페이지에서 Azure Monitor를 선택하여 Azure Portal 시작합니다.

관리 센터에서 Microsoft Purview 메트릭을 시작하는 스크린샷

사용 가능한 메트릭

Azure Portal 메트릭 섹션을 사용하는 방법을 알아보려면 다음 두 문서를 미리 읽어보세요. 메트릭 Explorer 메트릭 Explorer고급 기능 시작

다음 표에는 Azure Portal 탐색할 수 있는 메트릭 목록이 포함되어 있습니다.

메트릭 이름 메트릭 네임스페이스 집계 유형 설명
데이터 맵 용량 단위 탄력적 데이터 맵 합계
갯수		 기간 동안 탄력적 데이터 맵 용량 단위 집계
데이터 맵 스토리지 크기 탄력적 데이터 맵 합계
평균		 기간 동안 탄력적 데이터 맵 스토리지 크기 집계
스캔 취소됨 자동화된 검사 합계
갯수		 기간 동안 취소된 데이터 원본 검사 집계
검사 완료됨 자동화된 검사 합계
갯수		 기간 동안 완료된 데이터 원본 검사 집계
검사 실패 자동화된 검사 합계
갯수		 시간 경과에 따른 실패한 데이터 원본 검사 집계
스캔 시간이 소요되었습니다. 자동화된 검사
최대
합계
평균		 기간 동안 검사에 걸린 총 시간 집계

경고 모니터링

경고는 Microsoft Purview 계정의 Azure Portal 액세스할 수 있습니다. 경고에 대한 액세스는 메트릭과 마찬가지로 Microsoft Purview 계정의 역할 할당에 의해 제어됩니다. 사용자는 중요한 모니터링 이벤트가 발생할 때 알림을 받도록 purview 계정에 경고 규칙을 설정할 수 있습니다.

경고 만들기를 보여 주는 스크린샷

사용자는 purview 내에서 신호에 대한 특정 경고 규칙 및 조건을 만들 수도 있습니다.

신호에 대한 추가 경고 규칙 및 조건을 보여 주는 스크린샷

진단 로그 보내기

원시 원격 분석 이벤트는 Azure Monitor로 전송됩니다. 이벤트를 Log Analytics 작업 영역으로 보내거나, 선택한 고객 스토리지 계정에 보관하거나, 이벤트 허브로 스트리밍하거나, 추가 분석을 위해 파트너 솔루션으로 보낼 수 있습니다. 로그 내보내기는 Azure Portal Microsoft Purview 계정에 대한 진단 설정을 통해 수행됩니다.

다음 단계에 따라 Microsoft Purview 계정에 대한 진단 설정을 만들고 원하는 대상으로 보냅니다.

  1. Azure Portal Microsoft Purview 계정을 찾습니다.
  2. 모니터링 아래의 메뉴에서 진단 설정을 선택합니다.
  3. 진단 설정 추가를 선택하여 플랫폼 로그 및 메트릭을 수집하는 새 진단 설정을 만듭니다. 이러한 설정 및 로그에 대한 자세한 내용은 Azure Monitor 설명서를 참조하세요.

진단 로그 만들기를 보여 주는 스크린샷

  1. 로그를 다음으로 보낼 수 있습니다.

대상 - Log Analytics 작업 영역

  1. 대상 세부 정보에서 Log Analytics 작업 영역에 보내기를 선택합니다.
  2. 진단 설정의 이름을 만들고, 해당 로그 범주 그룹을 선택하고, 올바른 구독 및 작업 영역을 선택한 다음, 저장을 선택합니다. 작업 영역이 모니터링되는 리소스와 동일한 지역에 있을 필요는 없습니다. 새 작업 영역을 만들려면 새 Log Analytics 작업 영역 만들기 문서를 따를 수 있습니다.

이벤트를 보낼 로그 분석 작업 영역 할당을 보여 주는 스크린샷

로그 분석 작업 영역에 저장된 진단 로그 이벤트를 보여 주는 스크린샷

  1. 데이터를 채우는 작업을 수행하여 Log Analytics 작업 영역의 변경 내용을 확인합니다. 예를 들어 정책 만들기/업데이트/삭제 그런 다음 Log Analytics 작업 영역을 열고 로그로 이동하고 쿼리 필터를 "purviewsecuritylogs"로 입력한 다음 "실행" 을 선택하여 쿼리를 실행할 수 있습니다.

쿼리를 실행한 후 Log Analytics 작업 영역의 로그 결과를 보여 주는 스크린샷

대상 - 스토리지 계정

  1. 대상 세부 정보에서 스토리지 계정에 보관을 선택합니다.
  2. 진단 설정 이름을 만들고, 로그 범주를 선택하고, 스토리지 계정에 보관할 대상을 선택하고, 올바른 구독 및 스토리지 계정을 선택한 다음, 저장을 선택합니다. 진단 로그를 보관하는 데 전용 스토리지 계정을 사용하는 것이 좋습니다. 스토리지 계정이 필요한 경우 스토리지 계정 만들기 문서를 따를 수 있습니다.

진단 로그에 대한 스토리지 계정 할당을 보여 주는 스크린샷

스토리지 계정에 저장된 로그 이벤트를 보여 주는 스크린샷

  1. 스토리지 계정에서 로그를 보려면 샘플 작업(예: 정책 만들기/업데이트/삭제)을 수행한 다음 스토리지 계정을 열고 컨테이너로 이동한 다음 컨테이너 이름을 선택합니다.

진단 로그가 전송된 스토리지 계정의 컨테이너를 보여 주는 스크린샷

  1. 파일로 이동하여 다운로드하여 로그를 확인합니다.

    로그 세부 정보가 포함된 폴더를 보여 주는 스크린샷

    로그 세부 정보를 보여 주는 스크린샷

대상 - 이벤트 허브

  1. 대상 세부 정보에서 이벤트 허브로 스트림을 선택합니다.
  2. 진단 설정 이름을 만들고, 로그 범주를 선택하고, 대상을 이벤트 허브로 스트림으로 선택하고, 올바른 구독, 이벤트 허브 네임스페이스, 이벤트 허브 이름 및 이벤트 허브 정책 이름을 선택한 다음, 저장을 선택합니다. 이벤트 허브로 스트리밍하려면 이벤트 허브 이름 공간이 필요합니다. 이벤트 허브 네임스페이스를 만들어야 하는 경우 이벤트 허브 이벤트 허브 & 네임스페이스 스토리지 계정 만들기 문서를 따를 수 있습니다.

진단 로그에 대한 이벤트 허브로의 스트리밍을 보여 주는 스크린샷

이벤트 허브에 저장된 로그 이벤트를 보여 주는 스크린샷

  1. Event Hubs 네임스페이스에서 로그를 보려면 Azure Portal 이동하고 이전에 만든 이벤트 허브 네임스페이스의 이름을 검색하려면 Event Hubs 네임스페이스로 이동하여 개요를 클릭합니다. 이벤트 허브 네임스페이스에서 캡처된 감사 이벤트를 캡처하고 읽는 방법에 대한 자세한 내용은 감사 로그 & 진단

이벤트 허브의 활동을 보여 주는 스크린샷

샘플 로그

진단 설정에서 받은 샘플 로그는 다음과 같습니다.

이벤트는 검사 수명 주기를 추적합니다. 검사 작업은 대기 중, 실행 중 및 마지막으로 성공됨의 터미널 상태에서 상태 시퀀스를 통해 진행률을 따릅니다. 실패 | 취소. 각 상태 전환에 대해 이벤트가 기록되고 이벤트의 스키마에는 다음 속성이 있습니다.

{
  "time": "<The UTC time when the event occurred>",
  "properties": {
    "dataSourceName": "<Registered data source friendly name>",
    "dataSourceType": "<Registered data source type>",
    "scanName": "<Scan instance friendly name>",
    "assetsDiscovered": "<If the resultType is succeeded, count of assets discovered in scan run>",
    "assetsClassified": "<If the resultType is succeeded, count of assets classified in scan run>",
    "scanQueueTimeInSeconds": "<If the resultType is succeeded, total seconds the scan instance in queue>",
    "scanTotalRunTimeInSeconds": "<If the resultType is succeeded, total seconds the scan took to run>",
    "runType": "<How the scan is triggered>",
    "errorDetails": "<Scan failure error>",
    "scanResultId": "<Unique GUID for the scan instance>"
  },
  "resourceId": "<The azure resource identifier>",
  "category": "<The diagnostic log category>",
  "operationName": "<The operation that cause the event Possible values for ScanStatusLogEvent category are: 
                    |AdhocScanRun 
                    |TriggeredScanRun 
                    |StatusChangeNotification>",
  "resultType": "Queued – indicates a scan is queued. 
                 Running – indicates a scan entered a running state. 
                 Succeeded – indicates a scan completed successfully. 
                 Failed – indicates a scan failure event. 
                 Cancelled – indicates a scan was cancelled. ",
  "resultSignature": "<Not used for ScanStatusLogEvent category. >",
  "resultDescription": "<This will have an error message if the resultType is Failed. >",
  "durationMs": "<Not used for ScanStatusLogEvent category. >",
  "level": "<The log severity level. Possible values are:
            |Informational
            |Error >",
  "location": "<The location of the Microsoft Purview account>",
}

이벤트 instance 대한 샘플 로그는 아래 섹션에 나와 있습니다.

{
  "time": "2020-11-24T20:25:13.022860553Z",
  "properties": {
    "dataSourceName": "AzureDataExplorer-swD",
    "dataSourceType": "AzureDataExplorer",
    "scanName": "Scan-Kzw-shoebox-test",
    "assetsDiscovered": "0",
    "assetsClassified": "0",
    "scanQueueTimeInSeconds": "0",
    "scanTotalRunTimeInSeconds": "0",
    "runType": "Manual",
    "errorDetails": "empty_value",
    "scanResultId": "0dc51a72-4156-40e3-8539-b5728394561f"
  },
  "resourceId": "/SUBSCRIPTIONS/111111111111-111-4EB2/RESOURCEGROUPS/FOOBAR-TEST-RG/PROVIDERS/MICROSOFT.PURVIEW/ACCOUNTS/FOOBAR-HEY-TEST-NEW-MANIFEST-EUS",
  "category": "ScanStatusLogEvent",
  "operationName": "TriggeredScanRun",
  "resultType": "Delayed",
  "resultSignature": "empty_value",
  "resultDescription": "empty_value",
  "durationMs": 0,
  "level": "Informational",
  "location": "eastus",
}

다음 단계

Microsoft Purview의 탄력적 데이터 맵