VM 클라이언트 이벤트 로그 수집

  • 7분

Azure Monitor 메트릭 및 VM 인사이트 성능 카운터는 임계값에 도달할 때 성능 이상 및 경고를 식별하는 데 도움이 됩니다. 그러나 감지한 문제의 근본 원인을 분석하려면 로그 데이터를 분석하여 문제의 원인이 되거나 발생한 시스템 이벤트를 확인해야 합니다. 이 단원에서는 Linux VM Syslog 데이터를 수집하도록 DCR(데이터 수집 규칙)을 설정하고 간단한 KQL(Kusto Query Language) 쿼리를 사용하여 Azure Monitor Log Analytics에서 로그 데이터를 봅니다.

VM 인사이트는 Azure Monitor 에이전트를 설치하고 미리 정의된 성능 카운터를 수집하고, 프로세스 종속성을 매핑하고, 미리 빌드된 통합 문서에 데이터를 표시하는 DCR을 만듭니다. 사용자 고유의 DCR을 만들어 VM 인사이트 DCR이 수집하지 않는 VM 성능 카운터를 수집하거나 로그 데이터를 수집할 수 있습니다.

Azure Portal에서 DCR을 만들 때 다양한 성능 카운터 및 샘플링 속도 중에서 선택하거나 사용자 지정 성능 카운터를 추가할 수 있습니다. 또는 미리 정의된 로그 유형 및 심각도 수준 집합에서 선택하거나 사용자 지정 로그 스키마를 정의할 수 있습니다. 단일 DCR을 구독의 모든 또는 모든 VM에 연결할 수 있지만 여러 VM에서 다양한 유형의 데이터를 수집하려면 여러 DCR이 필요할 수 있습니다.

로그 데이터를 수집하는 DCR 만들기

Azure Portal에서 모니터를 검색하여 선택하고 Azure Monitor 개요 페이지로 이동합니다.

Screenshot that shows the Azure Monitor Overview page.

데이터 수집 엔드포인트를 만듭니다.

로그 데이터를 보내려면 데이터 수집 엔드포인트가 있어야 합니다. 엔드포인트를 만들려면 다음을 수행합니다.

  1. 설정 아래의 Azure Monitor 왼쪽 탐색 메뉴에서 데이터 수집 엔드포인트를 선택합니다.
  2. 데이터 컬렉션 엔드포인트 페이지에서 만들기를 선택합니다.
  3. 데이터 컬렉션 엔드포인트 만들기 페이지의 이름Linux-logs-endpoint를 입력합니다.
  4. VM에서 사용하는 것과 동일한 구독, 리소스 그룹지역을 선택합니다.
  5. 검토 + 만들기를 선택하고 유효성 검사를 통과하면 만들기를 선택합니다.

데이터 수집 규칙 만들기

이벤트 로그를 수집하는 DCR을 만들려면 다음을 수행합니다.

  1. 설정 아래의 모니터 왼쪽 탐색 메뉴에서 데이터 수집 규칙을 선택합니다.

  2. 데이터 수집 규칙 페이지에서 VM 인사이트를 만든 DCR을 볼 수 있습니다. 만들기를 선택하여 새 데이터 수집 규칙을 만듭니다.

    Screenshot of the Data Collection Rules screen with Create highlighted.

  3. 데이터 수집 규칙 만들기 화면의 기본 사항 탭에서 다음 정보를 제공합니다.

    • 규칙 이름: collect-events-linux를 입력합니다.
    • 구독, 리소스 그룹지역: VM과 동일하게 선택합니다.
    • 플랫폼 유형: Linux를 선택합니다.

  4. 다음: 리소스 또는 리소스 탭.

    Screenshot of the Basics tab of the Create Data Collection Rule screen.

  5. 리소스 화면에서 리소스 추가를 선택합니다.

  6. 범위 선택 화면에서 monitored-linux-vm VM을 선택한 다음, 적용을 선택합니다.

  7. 리소스 화면에서 데이터 수집 엔드포인트 사용을 선택합니다.

  8. monitored-linux-vm에 대한 데이터 수집 엔드포인트에서 만든 linux-logs-endpoint를 선택합니다.

  9. 다음: 수집 및 배달 또는 수집 및 배달 탭.

    Screenshot of the Resources tab of the Create Data Collection Rule screen.

  10. 수집 및 제공 탭에서 데이터 원본 추가를 선택합니다.

  11. 데이터 원본 추가 화면의 데이터 원본 유형에서 Linux Syslog를 선택합니다.

  12. 데이터 원본 추가 화면에서 다음: 대상 또는 대상 탭을 선택하고 계정 또는 네임스페이스가 사용하려는 Log Analytics 작업 영역과 일치하는지 확인합니다. VM 인사이트가 설정한 기본 Log Analytics 작업 영역을 사용하거나 다른 Log Analytics 작업 영역을 만들거나 사용할 수 있습니다.

  13. 데이터 원본 추가 화면에서 데이터 원본 추가를 선택합니다.

  14. 데이터 수집 규칙 만들기 화면에서 검토 + 만들기를 선택하고 유효성 검사가 통과되면 만들기를 선택합니다.

    Screenshot of Review + create highlighted on the Create Data Collection Rule screen.

로그 데이터 보기

KQL 로그 쿼리를 사용하여 DCR에서 수집한 로그 데이터를 보고 분석할 수 있습니다. 샘플 KQL 쿼리 집합은 VM에 사용할 수 있지만 간단한 쿼리를 작성하여 DCR이 수집하는 이벤트를 확인할 수 있습니다.

  1. VM의 개요 페이지에서 모니터링 아래의 왼쪽 탐색 메뉴에서 로그를 선택합니다. Log Analytics는 VM에 설정된 범위가 있는 빈 쿼리 창을 엽니다.

    Azure Monitor 개요 페이지의 왼쪽 탐색 영역에서 로그를 선택하여 로그 데이터에 액세스할 수도 있습니다. 필요한 경우 쿼리 창 맨 위에 있는 범위 선택을 선택하여 원하는 Log Analytics 작업 영역 및 VM으로 쿼리 범위를 지정합니다.

    참고 항목

    Log Analytics를 열 때 샘플 쿼리가 있는 쿼리 창이 열릴 수 있습니다. 지금은 간단한 쿼리를 수동으로 만들 예정이므로 이 창을 닫습니다.

  2. 빈 쿼리 창에서 Syslog를 입력한 다음 실행을 선택합니다. 시간 범위 내에서 수집된 DCR의 모든 시스템 로그 이벤트가 표시됩니다.

  3. 쿼리를 구체화하여 관심 있는 이벤트를 식별할 수 있습니다. 예를 들어 SeverityLevel경고가 있는 이벤트만 표시할 수 있습니다.

    Screenshot that shows the events returned from the Syslog by the DCR.

지식 점검

1.

VM에서 이벤트 로그 데이터를 수집하려면 어떻게 해야 하나요?

2.

DCR에서 수집한 로그 데이터를 보려면 어떻게 해야 하나요?