Log Analytics 에이전트에서 Azure Monitor 에이전트로 마이그레이션
AMA(Azure Monitor 에이전트)는 Azure 및 Azure가 아닌 환경, 온-프레미스 및 기타 클라우드에서 Windows 및 Linux 컴퓨터용 MMA(Microsoft Monitor 에이전트) 및 OMS라고도 하는 Log Analytics 에이전트를 대체합니다. 에이전트는 DCR(데이터 수집 규칙)을 사용하여 컬렉션을 구성하는 간단하고 유연한 방법을 소개합니다. 이 문서에서는 Log Analytics 에이전트에서 Azure Monitor 에이전트로 마이그레이션을 제대로 구현하는 방법에 대한 지침을 제공합니다.
마이그레이션은 복잡한 작업입니다. 이 문서의 정보를 가이드로 사용하여 Azure Monitor 에이전트로의 마이그레이션 계획을 시작합니다.
Important
Log Analytics 에이전트는 2024년 8월 31일에 사용 중지되었습니다. 이 사용 중단은 온-프레미스 SCOM 설치에만 연결된 MMA 에이전트에는 적용되지 않습니다.
2024년 8월 31일 이후 MMA 또는 OMS 에이전트를 사용하는 경우 다음과 같은 결과가 예상됩니다.
- 데이터 업로드: 클라우드 수집 서비스는 MMA 에이전트에 대한 지원을 점차적으로 줄여 시간이 지나면서 MMA 에이전트에 대한 지원이 줄어들고 잠재적인 호환성 문제가 발생할 수 있습니다. MMA에 대한 수집은 2025년 2월 1일까지 변경되지 않습니다.
- 설치: 레거시 에이전트를 설치하는 기능이 Azure Portal에서 제거되고 레거시 에이전트에 대한 설치 정책도 제거됩니다. 오프라인 설치뿐만 아니라 MMA 에이전트 확장을 설치할 수 있습니다.
- 고객 지원: 레거시 에이전트 문제에 대해서는 지원을 가져올 수 없습니다.
- OS 지원: 레거시 에이전트 사용 중단 후에는 서비스 팩을 포함한 새로운 Linux 또는 Windows 배포판에 대한 지원이 추가되지 않습니다.
- Log Analytics 에이전트는 Azure Monitor 에이전트와 함께 사용할 수 있습니다. 두 에이전트가 동일한 데이터를 수집하는 경우 중복 데이터가 표시될 것으로 예상됩니다.
이점
Azure Monitor 에이전트를 사용하면 아래와 같이 즉각적인 이점을 얻을 수 있습니다.
- 데이터 수집 규칙을 사용하여 비용을 절감합니다.
- 레거시 에이전트의 "전부 또는 전무" 접근 방식과 비교하여 컴퓨터 또는 컴퓨터 하위 집합에 대해 대상 지정 및 세분화된 데이터 수집을 사용하도록 설정합니다.
- 필터링 규칙 및 데이터 변환을 통해 업로드되는 전체 데이터 볼륨을 줄일 수 있으므로 수집 및 스토리지 비용이 크게 절감됩니다.
- 보안 및 성능
- 관리 ID 및 Microsoft Entra 토큰(클라이언트용)을 통해 보안이 강화됩니다.
- 레거시 Log Analytics(MMA/OMS) 에이전트보다 25% 더 높은 이벤트 처리량입니다.
- 효율적인 문제 해결을 포함하여 보다 간단한 관리:
- 지역 간 및 테넌트 간 데이터 수집(Azure LightHouse 사용)을 포함하여 여러 대상(여러 Log Analytics 작업 영역, 즉 Windows 및 Linux의 멀티호밍)에 대한 데이터 업로드를 지원합니다.
- 온보딩에서 배포, 시간 경과에 따른 업데이트 및 변경에 이르기까지 데이터 수집 수명 주기 전반에 걸쳐 엔터프라이즈 규모의 "클라우드 내" 중앙 집중식 에이전트 구성.
- 구성 변경 내용은 클라이언트 쪽 배포 없이 모든 에이전트에 자동으로 롤아웃됩니다.
- Microsoft Sentinel, 클라우드용 Defender, VM 인사이트와 같은 더 많은 기능과 서비스에 대한 더 큰 투명성과 제어
- 지원되는 서버 및 클라이언트 디바이스에서 모든 데이터 수집 요구 사항을 처리하는 단일 에이전트입니다. Azure Monitor 에이전트가 현재 Log Analytics 에이전트와 수렴되고 있지만 단일 에이전트가 목표입니다.
시작하기 전에
Azure Monitor 에이전트를 설치하기 위한 필수 구성 요소를 검토합니다. Azure를 사용하지 않는 서버 및 온-프레미스 서버를 모니터링하려면 Azure Arc 에이전트를 설치해야 합니다. Arc 에이전트는 온-프레미스 서버를 대상으로 삼을 수 있는 리소스로 Azure에 표시합니다. Azure Arc 에이전트 설치에 대한 추가 비용은 발생하지 않습니다.
Azure Monitor 에이전트가 모든 요구 사항을 해결할 수 있는지 확인합니다. Azure Monitor 에이전트는 데이터 수집을 위한 GA(일반 공급)이며 다양한 Azure Monitor 기능 및 기타 Azure 서비스의 데이터 수집에 사용됩니다.
Azure Monitor 에이전트를 설치하는 데 필요한 권한이 있는지 확인합니다. 모니터링하려는 컴퓨터에 에이전트를 설치하는 데 필요한 권한이 있어야 합니다. 자세한 내용은 Azure Monitor 에이전트를 설치하는 데 필요한 권한을 참조하세요.
개략적인 지침
다음 지침을 사용하여 마이그레이션을 계획하고 실행합니다.
- 에이전트와 마이그레이션해야 하는 수를 이해합니다.
- 작업 영역을 사용하는 방법을 이해합니다.
- 구성된 솔루션, 인사이트 및 데이터 컬렉션을 이해합니다.
- 데이터 컬렉션을 구성하고 컬렉션의 유효성을 검사합니다.
- 추가 종속성 및 서비스를 이해합니다.
- 레거시 에이전트를 제거합니다.
Azure Monitor 에이전트 마이그레이션 도우미 통합 문서는 위에서 설명한 각 단계를 수행하는 데 도움이 되는 통합 문서 기반 Azure Monitor 솔루션입니다. 이 가이드에서는 마이그레이션 프로세스의 각 단계에서 통합 문서 및 기타 도구를 참조합니다. 자세한 내용은 Azure Monitor 에이전트 마이그레이션 도우미 통합 문서를 참조하세요.
에이전트 이해
DCR 생성기를 사용하여 레거시 에이전트 구성을 데이터 수집 규칙으로 자동 변환할 수 있습니다.1에이전트를 이해하는 데 도움이 되도록 다음 질문을 검토하세요.
질문 | actions |
---|---|
얼마나 많은 에이전트를 마이그레이션해야 하나요? | 마이그레이션해야 하는 에이전트 수를 이해합니다. |
Azure 외부에 배포된 에이전트가 있나요? 이러한 에이전트는 사용자 고유의 데이터 센터에 배포되었나요, 아니면 다른 클라우드 환경에 배포되었나요? |
Azure 외부에 있는 서버의 경우 먼저 Azure ARC Connected Machine 에이전트를 배포해야 합니다. 자세한 내용은 Azure Connected Machine 에이전트 개요를 참조하세요. |
SCOM(System Center Operations Manager)을 사용하고 있나요? SCOM에 대해 앞으로 의도된 계획은 무엇인가요? |
SCOM을 계속 사용하려는 경우 SCOM Managed Instance 평가를 시작합니다. 자세한 내용은 SCOM Managed Instance를 참조하세요. |
현재 에이전트를 어떻게 배포하고 있나요? | 자동화된 메서드를 사용하여 레거시 에이전트를 배포하는 경우 새 서버에 대한 자동화된 배포를 중지할 때를 고려하고 새 에이전트 배포에 집중합니다. 새 서버에 대한 자동화된 배포를 중지하면 마이그레이션 작업에 계속 추가하지 않고 마이그레이션할 에이전트의 기존 인벤토리에 집중할 수 있습니다. |
Azure Monitor 에이전트 마이그레이션 도우미 통합 문서는 마이그레이션해야 하는 에이전트 수를 이해하는 데 도움이 될 수 있습니다. 자세한 내용은 Azure Monitor 에이전트 마이그레이션 도우미 통합 문서- 에이전트를 참조하세요.|
작업 영역, 솔루션, 인사이트 및 데이터 컬렉션 이해
마이그레이션하기 전에 Log Analytics 작업 영역이 사용되는 방식을 이해합니다. 모든 작업 영역이 사용 중인지 어떤 에이전트가 어떤 작업 영역에 원격 분석을 보내고 있는지 확인합니다. 많은 작업 영역이 시간이 지남에 따라 만들어지며 실제로 사용 중인 작업 영역, 원격 분석을 수집하는 데 사용되는 작업 영역 및 사용되는 서버가 불분명해질 수 있습니다. 마이그레이션은 작업 영역을 정리하고 통합할 수 있는 좋은 기회입니다.
작업 영역을 살펴볼 때는 구성된 솔루션을 적어둡니다. 이 정보는 수집하는 데이터 및 사용 방법을 이해하는 데 중요합니다.
Azure Monitor 에이전트 마이그레이션 도우미 통합 문서는 갖고 있는 작업 영역, 각 작업 영역에 구현된 솔루션, 솔루션을 마지막으로 사용한 시기를 이해하는 데 도움이 될 수 있습니다. 각 솔루션에는 마이그레이션 권장 사항이 있습니다. 자세한 내용은 Azure Monitor 에이전트 마이그레이션 도우미 통합 문서- 작업 영역을 참조하세요.
Azure Monitor 작업 영역 감사 통합 문서를 사용하여 작업 영역을 이해할 수도 있습니다. Azure Monitor 작업 영역 감사 통합 문서를 사용하려면 GitHub 리포지토리의 통합 문서를 복사하여 Log Analytics 작업 영역으로 가져옵니다.
이 통합 문서는 모든 Log Analytics 작업 영역을 수집하고 각 작업 영역에 대해 다음을 보여 줍니다.
- 작업 영역으로 데이터를 보내는 모든 데이터 원본
- 작업 영역에 하트비트를 보내는 에이전트
- 작업 영역으로 데이터를 보내는 리소스
- 작업 영역으로 데이터를 보내는 모든 Application Insights 리소스입니다.
자세한 내용은 Azure Monitor 작업 영역 감사 통합 문서를 참조하세요.
데이터 컬렉션 구성 및 컬렉션 유효성 검사
데이터 컬렉션을 구성할 때 다음 단계를 고려합니다.
이 프로세스에 사용할 수 있는 서버의 파일럿 그룹을 식별합니다. 대규모로 배포하기 전에 파일럿 서버를 사용하여 데이터의 유효성을 검사합니다.
DCR 구성 생성기를 사용하여 작업 영역에 구성된 데이터 컬렉션을 변환하고 이를 데이터 수집 규칙으로 다시 환경에 배포합니다. DCR 구성 생성기에 대한 자세한 내용은 DCR 구성 생성기를 참조하세요.
VM Insights 또는 Virtual Machines용 Azure Monitor를 Azure Monitor 에이전트로 마이그레이션합니다. 마이그레이션 전에 수집된 것과 비교하여 서버의 파일럿 그룹에 대해 마이그레이션된 데이터 컬렉션의 유효성을 검사합니다. 중복 수집을 피하려면 레거시 에이전트 관련 작업 영역 구성을 제거하여 에이전트를 제거하는 일 없이 테스트 단계에서 레거시 에이전트가 데이터 수집을 사용하지 않도록 설정하면 됩니다. 자세한 내용은 Azure Monitor의 Log Analytics 에이전트 데이터 원본을 참조하세요.
새 데이터의 유효성을 검사하여 격차가 없는지 확인합니다. 레거시 에이전트 데이터로 수집된 데이터를 Azure Monitor 에이전트와 비교합니다. KQL을 사용하여 에이전트 유형에 따라 각 에이전트의 해당 데이터를 비교합니다.
Azure 정책을 사용하여 대규모 배포를 계획합니다. 기본 제공 정책을 사용하여 대규모로 확장과 DCR 연결을 배포합니다. 또한, 정책을 사용하면 새로운 컴퓨터에 자동으로 확실하게 확장과 DCR 연결을 배포할 수도 있습니다. 대규모 배포에 대한 자세한 내용은 Azure Monitor 에이전트 관리 - Azure 정책 사용을 참조하세요.
추가 종속성 및 서비스 이해
마이그레이션하기 전에 다른 서비스에 미치는 영향을 이해하는 것이 중요합니다.
서비스 | 영향 |
---|---|
업데이트 관리 | Azure Automation에서 업데이트 관리를 사용하는 경우 Azure 업데이트 관리자로 마이그레이션해야 합니다. Azure 업데이트 관리자에는 자체 에이전트가 있으며 Azure Monitor 에이전트에서 분리됩니다. 업데이트 관리는 2024년 8월 말에 더 이상 사용되지 않습니다. Azure 업데이트 관리자로 마이그레이션하는 것이 좋습니다. 자세한 내용은 Automation 업데이트 관리에서 Azure 업데이트 관리자로 이전을 참조하세요. AMA 마이그레이션 도우미 통합 문서에는 현재 업데이트 관리 솔루션을 사용하는 컴퓨터와 컴퓨터를 마이그레이션하는 방법이 표시됩니다. 자세한 내용은 Azure Monitor 에이전트 마이그레이션 도우미 통합 문서- 업데이트 관리를 참조하세요. |
변경 내용 추적 및 인벤토리 | 변경 내용 추적 및 인벤토리를 사용하는 경우 Azure Automation으로 마이그레이션해야 합니다. 변경 내용 추적 및 인벤토리도 Azure Automation의 일부입니다. Azure Monitor 에이전트에는 변경 내용 추적 및 인벤토리 솔루션이 있지만 데이터 수집 규칙을 만들어야 합니다. 자세한 내용은 Azure Monitoring 에이전트를 사용하여 변경 내용 추적 및 인벤토리 관리를 참조하세요. |
클라우드용 Defender | 서비스에 클라우드용 Defender를 사용하거나 서버용 Defender를 사용하고 있고 P2를 사용하도록 설정했거나 서버에 P2를 사용할 계획이라면 클라우드용 Defender의 에이전트 배포를 레거시 에이전트 배포에서 에이전트 없는 검사로 변경합니다. 클라우드용 Defender를 사용하여 보안 이벤트를 수집하는 경우 사용자 지정 데이터 수집 규칙을 만들어 해당 이벤트를 수집합니다. |
Microsoft Sentinel | Microsoft Sentinel을 사용하는 경우 레거시 에이전트를 사용하고 있던 솔루션이 Azure Monitor 에이전트 기반 솔루션으로 변환되었으며 업데이트될 수 있습니다. |
레거시 에이전트 제거
마이그레이션 계획의 일환으로 마이그레이션이 완료되면 레거시 에이전트를 제거하여 데이터 수집의 중복을 방지합니다.
컴퓨터에서 MMA를 유지할 필요가 없는 경우 MMA 검색 및 제거 도구를 사용하여 대규모로 에이전트를 제거합니다. MMA 검색 및 제거 도구에 대한 자세한 내용은 MMA 검색 및 제거 도구를 참조하세요.
그러나 SCOM(System Center Operations Manager)을 사용하는 경우 System Center Operations Manager를 사용하여 계속 관리할 컴퓨터에 배포된 MMA 에이전트를 유지합니다.
SCOM 관리 팩이 있으며 SCOM 관리 그룹 구성을 유지하면서 대규모로 작업 영역 구성을 제거하는 데 도움이 될 수 있습니다. SCOM 관리 팩에 대한 자세한 내용은 SCOM 관리 팩을 참조하세요.
알려진 마이그레이션 문제
- IIS 로그: IIS 로그 컬렉션이 사용하도록 설정되면 AMA가
W3CIISLog
테이블의sSiteName
열을 채우지 못할 수 있습니다. 이 필드는 레거시 에이전트에 대해 IIS 로그 컬렉션이 사용하도록 설정된 경우 기본적으로 수집됩니다. AMA를 사용하여sSiteName
필드를 수집해야 하는 경우 IIS의 W3C 로깅에서Service Name (s-sitename)
필드를 사용하도록 설정합니다. 이 필드를 사용하도록 설정하는 단계는 기록할 W3C 필드 선택을 참조하세요. - SQL 평가 솔루션: 이제 이는 SQL 모범 사례 평가의 일부입니다. 배포 정책에는 구독당 하나의 Log Analytics 작업 영역이 필요하며 이는 AMA 팀에서 권장하는 모범 사례가 아닙니다.
- 클라우드용 Microsoft Defender: 에이전트 없는 솔루션으로 전환 중입니다. 일부 기능은 사용 중단 날짜까지 준비되지 않을 수 있습니다. 고객은 FIM(파일 무결성 모니터링), Endpoint Protection 검색 권장 사항, OS 구성 오류(ASB(Azure Security Benchmark) 권장 사항) 및 적응형 애플리케이션 제어를 사용하는 컴퓨터의 경우 MMA를 계속 사용해야 합니다.
- 업데이트 관리가 에이전트 없는 솔루션으로 전환되고 있지만 MMA 감가상각 날짜까지는 준비되지 않을 것입니다. 업데이트 관리를 사용하는 고객은 새로운 서비스인 자동 업데이트 관리자가 준비될 때까지 MMA를 계속 사용해야 합니다.