Azure Monitor 에이전트를 사용하여 방화벽 로그 수집

Windows 방화벽은 인터넷에서 시스템으로 들어오는 정보를 필터링하고 잠재적으로 유해한 프로그램을 차단하는 Microsoft Windows 애플리케이션입니다. Windows 방화벽 로그는 클라이언트 및 서버 운영 체제 모두에서 생성됩니다. 이러한 로그는 삭제된 패킷 및 성공적인 연결을 포함하여 네트워크 트래픽에 대한 귀중한 정보를 제공합니다. Windows 방화벽 로그 파일 구문 분석은 WEF(Windows 이벤트 전달)와 같은 방법을 사용하거나 Azure Sentinel과 같은 SIEM 제품에 로그를 전달하여 수행할 수 있습니다. 모든 Windows 시스템에서 다음 단계에 따라 기능을 켜거나 끌 수 있습니다.

1. 시작을 선택한 다음, 설정을 엽니다.
2. 업데이트 및 보안에서 Windows 보안, 방화벽 및 네트워크 보호를 선택합니다.
3. 네트워크 프로필(도메인, 프라이빗 또는 퍼블릭)을 선택합니다.
4. Microsoft Defender 방화벽에서 설정을 켜기 또는 끄기로 전환합니다.

필수 조건

이 절차를 완료하려면 다음이 필요합니다.

• 최소한 기여자 권한이 있는 Log Analytics 작업 영역입니다.
• 데이터 수집 엔드포인트.
• 작업 영역에서 데이터 컬렉션 규칙 개체를 만들 수 있는 권한입니다.
• 방화벽을 실행하는 Virtual Machine, Virtual Machine Scale Set 또는 Arc 지원 온-프레미스 컴퓨터

Log Analytics 작업 영역에 방화벽 테이블 추가

LAW에서 기본적으로 만들어지는 다른 테이블과 달리 Windows 방화벽 테이블은 수동으로 만들어야 합니다. 보안 및 감사 솔루션을 검색하여 만듭니다. 아래 스크린샷을 참조하세요. 테이블이 없으면 테이블이 LAW에 없다는 DCR 배포 오류가 발생합니다. 만들어진 방화벽 테이블의 스키마는 Windows 방화벽 스키마에 있습니다.

방화벽 로그 수집을 위한 데이터 수집 규칙 만들기

데이터 수집 규칙은 다음을 정의합니다.

• Azure Monitor 에이전트가 새 이벤트를 검사하는 원본 로그 파일입니다.
• 수집 중에 Azure Monitor가 이벤트를 변환하는 방법입니다.
• Azure Monitor가 데이터를 보내는 대상 Log Analytics 작업 영역 및 테이블입니다.

다른 지역이나 테넌트의 작업 영역을 포함하여 여러 컴퓨터에서 Log Analytics 작업 영역으로 데이터를 전송하는 데이터 수집 규칙을 정의할 수 있습니다. Analytics 작업 영역과 동일한 지역에서 데이터 수집 규칙을 만듭니다.

참고 항목

테넌트 간에 데이터를 보내려면 먼저 Azure Lighthouse를 사용하도록 설정해야 합니다.

Azure Portal에서 데이터 수집 규칙을 만들려면 다음을 수행합니다.

1. 모니터 메뉴에서 데이터 수집 규칙을 선택합니다.

2. 만들기를 선택하여 새 데이터 수집 규칙 및 연결을 만듭니다.

   

3. 규칙 이름을 입력하고 구독, 리소스 그룹, 지역 및 플랫폼 유형을 지정합니다.

   • 지역은 DCR을 만들 위치를 지정합니다. 가상 머신 및 해당 연결은 테넌트의 모든 구독 또는 리소스 그룹에 있을 수 있습니다.
   • 플랫폼 유형은 이 규칙이 적용될 수 있는 리소스의 종류를 지정합니다. 사용자 지정 옵션은 Windows 및 Linux 유형 모두에 허용됩니다. -데이터 수집 엔드포인트 이전에 만든 데이터 수집 엔드포인트를 선택합니다.

   

4. 리소스 탭에서: + 리소스 추가를 선택하고 리소스를 데이터 수집 규칙과 연결합니다. 리소스는 Virtual Machines, Virtual Machine Scale Sets 및 서버용 Azure Arc가 될 수 있습니다. Azure Portal은 Azure Monitor 에이전트를 아직 설치하지 않은 리소스에 설치합니다.

Important

포털은 기존 사용자 할당 ID(있는 경우)와 함께 대상 리소스에서 시스템 할당 관리 ID를 사용하도록 설정합니다. 기존 애플리케이션에서 요청에 사용자가 할당한 ID를 지정하지 않으면 머신은 기본적으로 시스템이 할당한 ID를 대신 사용합니다. 프라이빗 링크를 사용한 네트워크 격리가 필요한 경우 해당 리소스에 대해 동일한 지역의 기존 엔드포인트를 선택하거나 새 엔드포인트를 생성합니다.

1. 수집 및 제공 탭에서 데이터 원본 추가를 선택하여 데이터 원본을 추가하고 대상을 설정합니다.

2. 방화벽 로그를 선택합니다.

   

3. 대상 탭에서 데이터 원본의 대상을 추가합니다.

   

4. 검토 + 만들기를 선택하여 데이터 수집 규칙 및 가상 머신 집합과의 연결에 대한 세부 정보를 검토합니다.

5. 데이터 수집 규칙을 만들려면 만들기를 선택합니다.

참고 항목

데이터 수집 규칙을 만든 후 데이터가 대상으로 전송되는 데 최대 5분이 걸릴 수 있습니다.

샘플 로그 쿼리

www.contoso.com 호스트에 대한 URL별 방화벽 로그 항목 수를 계산합니다.

WindowsFirewall 
| take 10

문제 해결

다음 단계를 사용하여 방화벽 로그 수집 문제를 해결합니다.

Azure Monitor 에이전트 문제 해결사 실행

구성을 테스트하고 Microsoft와 로그를 공유하려면 Azure Monitor 에이전트 문제 해결사를 사용합니다.

방화벽 로그가 수신되었는지 확인

먼저 Log Analytics에서 다음 쿼리를 실행하여 방화벽 로그에 대한 레코드가 수집되었는지 확인합니다. 쿼리가 레코드를 반환하지 않는 경우 가능한 원인에 대해 다른 섹션을 확인합니다. 이 쿼리는 지난 2일 동안의 전체 항목을 찾지만 다른 시간 범위를 수정할 수 있습니다.

WindowsFirewall
| where TimeGenerated > ago(48h)
| order by TimeGenerated desc

방화벽 로그가 생성되고 있는지 확인

로그 파일의 타임스탬프를 살펴보고 최신 타임스탬프를 열어 로그 파일에 최신 타임스탬프가 있는지 확인합니다. 방화벽 로그 파일의 기본 위치는 C:\windows\system32\logfiles\firewall\pfirewall.log입니다.

로깅을 켜려면 다음 단계를 따릅니다.

1. gpedit {사진 팔로우}​
2. netsh advfirewall>set allprofiles logging allowedconnections enable​
3. netsh advfirewall>set allprofiles logging droppedconnections enable​

다음 단계

자세히 알아보기:

• Azure Monitor 에이전트.
• 데이터 수집 규칙.
• 데이터 수집 엔드포인트