다음을 통해 공유

[사용되지 않음] CEF 또는 Syslog 데이터 커넥터 문제 해결

  • 아티클

Important

이제 많은 어플라이언스 및 디바이스의 로그 수집이 Microsoft Sentinel의 AMA를 통한 CEF(Common Event Format), AMA를 통한 Syslog 또는 AMA 데이터 커넥터를 통한 사용자 지정 로그에서 지원됩니다. 자세한 내용은 Microsoft Sentinel 데이터 커넥터 찾기를 참조하세요.

주의

이 문서에서는 EOL(서비스 종료) 상태에 도달한 Linux 배포판인 CentOS에 대해 설명합니다. 이에 따라 사용 및 계획을 고려하세요. 자세한 내용은 CentOS 수명 종료 지침을 참조하세요.

이 문서에서는 Microsoft Sentinel용 CEF 또는 Syslog 데이터 커넥터를 확인하고 문제를 해결하는 일반적인 방법을 설명합니다.

예를 들어 로그 메시지가 Syslog 또는 CommonSecurityLog 테이블에 표시되지 않는 경우 데이터 원본이 제대로 연결되지 않았을 수 있습니다. 데이터를 받지 못하는 또 다른 이유가 있을 수도 있습니다.

커넥터가 배포되지 않았을 때의 다른 증상으로, security_events.conf 또는 security-omsagent.config.conf 파일이 누락되었거나 rsyslog 서버가 포트 514에서 수신 대기 중이지 않은 경우가 있습니다.

자세한 내용은 Common Event Format을 사용하여 외부 솔루션 연결Syslog를 사용하여 Linux 기반 소스에서 데이터 수집을 참조하세요.

문서화된 프로시저와 다른 방법을 사용하여 커넥터를 배포하여 문제가 있는 경우 배포를 폐기하고 이번에는 문서화된 지침에 따라 다시 시작하는 것이 좋습니다.

이 문서에서는 Log Analytics 에이전트를 사용하여 CEF 또는 Syslog 커넥터 문제를 해결하는 방법을 보여 줍니다. AMA(Azure Monitor Agent)를 통한 CEF 로그 수집과 관련된 문제 해결 정보는 AMA를 통한 CEF(Common Event Format) 커넥터 지침을 검토합니다.

Important

2023년 2월 28일에 CommonSecurityLog 테이블 스키마에 대한 변경 내용을 도입했습니다. 이 변경에 따라 사용자 지정 쿼리를 검토하고 업데이트해야 할 수 있습니다. 자세한 내용은 이 블로그 게시물의 권장 작업 섹션을 참조하세요. 기본 제공 콘텐츠(검색, 헌팅 쿼리, 통합 문서, 파서 등)가 Microsoft Sentinel에 의해 업데이트되었습니다.

이 문서의 사용 방법

이 문서의 정보가 Syslog 또는 CEF 커넥터에만 해당하는 경우 별도 탭에 표시됩니다. 커넥터 형식에 대한 올바른 탭의 지침을 사용하고 있는지 확인합니다.

예를 들어 CEF 커넥터의 문제를 해결하는 경우 CEF 연결 유효성 검사부터 시작합니다. Syslog 커넥터의 문제를 해결하는 경우 데이터 커넥터 필수 조건 확인부터 시작하세요.

CEF 연결 유효성 검사

로그 전달자를 배포하고 CEF 메시지를 보내도록 보안 솔루션을 구성한 후 이 섹션의 단계에 따라 보안 솔루션과 Microsoft Sentinel 간의 연결을 확인하세요.

이 절차는 CEF 연결에만 관련되며 Syslog 연결에는 관련이 없습니다.

  1. 다음 필수 조건을 갖추고 있는지 확인합니다.

    • 로그 전달자 머신에 상승된 권한(sudo)이 있어야 합니다.

    • 로그 전달자 머신에 python 2.7 또는 3이 설치되어 있어야 합니다. python --version 명령을 사용하여 확인합니다.

    • 이 프로세스 중에 작업 영역 ID와 작업 영역 기본 키가 필요할 수 있습니다. 이는 작업 영역 리소스의 에이전트 관리에서 찾을 수 있습니다.

  2. Microsoft Sentinel 탐색 메뉴에서 로그를 엽니다. CommonSecurityLog 스키마로 쿼리를 실행하여 보안 솔루션에서 로그를 받는지 확인하세요.

    로그가 Log Analytics에 표시될 때까지 20분가량 소요될 수 있습니다.

  3. 쿼리의 결과가 표시되지 않으면 보안 솔루션이 로그 메시지를 생성하는지 확인하세요. 또는 몇 가지 작업을 수행하여 로그 메시지를 생성하고 메시지가 지정된 Syslog 전달자 컴퓨터로 전달되는지 확인하세요.

  4. 보안 솔루션과 로그 전달자, Microsoft Sentinel 간의 연결을 확인하려면 로그 전달자에서 다음 스크립트를 실행하세요(자리 표시자 대신 작업 영역 ID 적용). 이 스크립트는 디먼이 올바른 포트에서 수신 대기하고 있는지, 전달이 제대로 구성되었는지, 디먼과 Log Analytics 에이전트 간의 통신을 차단하는 것이 없는지 확인합니다. 또한 ‘TestCommonEventFormat’ 모의 메시지를 전송하여 엔드투엔드 연결을 확인합니다. 

    sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py [WorkspaceID]

    • 컴퓨터 필드의 매핑 문제를 해결하기 위해 명령을 실행하라고 지시하는 메시지가 표시될 수 있습니다. 자세한 내용은 유효성 검사 스크립트 설명을 참조하세요.

    • Cisco ASA 방화벽 로그 구문 분석 문제를 해결하기 위해 명령을 실행하라고 지시하는 메시지가 표시될 수 있습니다. 자세한 내용은 유효성 검사 스크립트 설명을 참조하세요.

CEF 유효성 검사 스크립트 설명

다음 섹션에서는 rsyslog 디먼syslog-ng 디먼에 대한 CEF 유효성 검사 스크립트에 대해 설명합니다.

rsyslog 디먼

rsyslog 디먼의 경우 CEF 유효성 검사 스크립트는 다음 검사를 실행합니다.

  1. 다음 파일이
    /etc/opt/microsoft/omsagent/[WorkspaceID]/conf/omsagent.d/security_events.conf
    존재하고 유효한지 확인합니다.

  2. 파일에 다음 텍스트가 포함되어 있는지 확인합니다.

    <source>
    type syslog
    port 25226
    bind 127.0.0.1
    protocol_type tcp
    tag oms.security
    format /(?<time>(?:\w+ +){2,3}(?:\d+:){2}\d+|\d{4}-\d{2}-\d{2}T\d{2}:\d{2}:\d{2}.[\w\-\:\+]{3,12}):?\s*(?:(?<host>[^: ]+) ?:?)?\s*(?<ident>.*CEF.+?(?=0\|)|%ASA[0-9\-]{8,10})\s*:?(?<message>0\|.*|.*)/
    <parse>
        message_format auto
    </parse>
</source>

<filter oms.security.**>
    type filter_syslog_security
</filter>

  3. 다음 명령을 사용하여 Cisco ASA 방화벽 이벤트에 대한 구문 분석이 예상대로 구성되었는지 확인합니다.

    grep -i "return ident if ident.include?('%ASA')" /opt/microsoft/omsagent/plugin/security_lib.rb

    • 구문 분석에 문제가 있는 경우 스크립트는 다음 명령을 수동으로 실행하도록 지시하는 오류 메시지를 생성합니다(자리 표시자 대신 작업 영역 ID 적용). 해당 명령은 올바른 구문 분석을 보장하고 에이전트를 다시 시작합니다.

      # Cisco ASA parsing fix
sed -i "s|return '%ASA' if ident.include?('%ASA')|return ident if ident.include?('%ASA')|g" /opt/microsoft/omsagent/plugin/security_lib.rb && sudo /opt/microsoft/omsagent/bin/service_control restart [workspaceID]

  4. 다음 명령을 사용하여 syslog 원본의 ‘컴퓨터’ 필드가 Log Analytics 에이전트에 올바르게 매핑되었는지 확인합니다.

    grep -i "'Host' => record\['host'\]"  /opt/microsoft/omsagent/plugin/filter_syslog_security.rb

    • 매핑에 문제가 있는 경우 스크립트는 다음 명령을 수동으로 실행하도록 지시하는 오류 메시지를 생성합니다(자리 표시자 대신 작업 영역 ID 적용). 이 명령은 올바른 매핑을 보장하고 에이전트를 다시 시작합니다.

      # Computer field mapping fix
sed -i -e "/'Severity' => tags\[tags.size - 1\]/ a \ \t 'Host' => record['host']" -e "s/'Severity' => tags\[tags.size - 1\]/&,/" /opt/microsoft/omsagent/plugin/filter_syslog_security.rb && sudo /opt/microsoft/omsagent/bin/service_control restart [workspaceID]

  5. 네트워크 트래픽(예: 호스트 방화벽)을 차단할 수 있는 보안 강화 기능이 머신에 있는지 확인합니다.

  6. syslog 디먼(rsyslog)이 TCP 포트 25226의 Log Analytics 에이전트에 CEF로 식별된 메시지를 전송하도록 적절하게 구성되었는지 확인합니다.

    구성 파일: /etc/rsyslog.d/security-config-omsagent.conf

    if $rawmsg contains "CEF:" or $rawmsg contains "ASA-" then @@127.0.0.1:25226

  7. syslog 디먼 및 Log Analytics 에이전트 다시 시작.

    service rsyslog restart

/opt/microsoft/omsagent/bin/service_control restart [workspaceID]

  8. 데이터 수신을 위한 tcp 514, syslog 디먼과 Log Analytics 에이전트 간의 내부 통신을 위한 tcp 25226 등 필요한 연결이 설정되었는지 확인합니다.

    netstat -an | grep 514

netstat -an | grep 25226

  9. syslog 디먼이 포트 514에서 데이터를 수신하고 있는지, 에이전트가 포트 25226에서 데이터를 수신하고 있는지 확인합니다.

    sudo tcpdump -A -ni any port 514 -vv

sudo tcpdump -A -ni any port 25226 -vv

  10. MOCK 데이터를 localhost의 포트 514로 보냅니다. 이 데이터는 다음 쿼리를 실행하여 Microsoft Sentinel 작업 영역에서 관찰할 수 있어야 합니다.

    CommonSecurityLog
| where DeviceProduct == "MOCK"

syslog-ng 디먼

syslog-ng 디먼의 경우 CEF 유효성 검사 스크립트는 다음 검사를 실행합니다.

  1. 다음 파일이
    /etc/opt/microsoft/omsagent/[WorkspaceID]/conf/omsagent.d/security_events.conf
    존재하고 유효한지 확인합니다.

  2. 파일에 다음 텍스트가 포함되어 있는지 확인합니다.

    <source>
    type syslog
    port 25226
    bind 127.0.0.1
    protocol_type tcp
    tag oms.security
    format /(?<time>(?:\w+ +){2,3}(?:\d+:){2}\d+|\d{4}-\d{2}-\d{2}T\d{2}:\d{2}:\d{2}.[\w\-\:\+]{3,12}):?\s*(?:(?<host>[^: ]+) ?:?)?\s*(?<ident>.*CEF.+?(?=0\|)|%ASA[0-9\-]{8,10})\s*:?(?<message>0\|.*|.*)/
    <parse>
        message_format auto
    </parse>
</source>

<filter oms.security.**>
    type filter_syslog_security
</filter>

  3. 다음 명령을 사용하여 Cisco ASA 방화벽 이벤트에 대한 구문 분석이 예상대로 구성되었는지 확인합니다.

    grep -i "return ident if ident.include?('%ASA')" /opt/microsoft/omsagent/plugin/security_lib.rb

    • 구문 분석에 문제가 있는 경우 스크립트는 다음 명령을 수동으로 실행하도록 지시하는 오류 메시지를 생성합니다(자리 표시자 대신 작업 영역 ID 적용). 해당 명령은 올바른 구문 분석을 보장하고 에이전트를 다시 시작합니다.

      # Cisco ASA parsing fix
sed -i "s|return '%ASA' if ident.include?('%ASA')|return ident if ident.include?('%ASA')|g" /opt/microsoft/omsagent/plugin/security_lib.rb && sudo /opt/microsoft/omsagent/bin/service_control restart [workspaceID]

  4. 다음 명령을 사용하여 syslog 원본의 ‘컴퓨터’ 필드가 Log Analytics 에이전트에 올바르게 매핑되었는지 확인합니다.

    grep -i "'Host' => record\['host'\]"  /opt/microsoft/omsagent/plugin/filter_syslog_security.rb

    • 매핑에 문제가 있는 경우 스크립트는 다음 명령을 수동으로 실행하도록 지시하는 오류 메시지를 생성합니다(자리 표시자 대신 작업 영역 ID 적용). 이 명령은 올바른 매핑을 보장하고 에이전트를 다시 시작합니다.

      # Computer field mapping fix
sed -i -e "/'Severity' => tags\[tags.size - 1\]/ a \ \t 'Host' => record['host']" -e "s/'Severity' => tags\[tags.size - 1\]/&,/" /opt/microsoft/omsagent/plugin/filter_syslog_security.rb && sudo /opt/microsoft/omsagent/bin/service_control restart [workspaceID]

  5. 네트워크 트래픽(예: 호스트 방화벽)을 차단할 수 있는 보안 강화 기능이 머신에 있는지 확인합니다.

  6. syslog 디먼(syslog-ng)이 TCP 포트 25226의 Log Analytics 에이전트로 CEF(regex 사용)로 식별된 메시지를 전송하도록 적절하게 구성되었는지 확인합니다.

    • 구성 파일: /etc/syslog-ng/conf.d/security-config-omsagent.conf

      filter f_oms_filter {match(\"CEF\|ASA\" ) ;};destination oms_destination {tcp(\"127.0.0.1\" port(25226));};
log {source(s_src);filter(f_oms_filter);destination(oms_destination);};

  7. syslog 디먼 및 Log Analytics 에이전트 다시 시작.

    service syslog-ng restart

/opt/microsoft/omsagent/bin/service_control restart [workspaceID]

  8. 데이터 수신을 위한 tcp 514, syslog 디먼과 Log Analytics 에이전트 간의 내부 통신을 위한 tcp 25226 등 필요한 연결이 설정되었는지 확인합니다.

    netstat -an | grep 514

netstat -an | grep 25226

  9. syslog 디먼이 포트 514에서 데이터를 수신하고 있는지, 에이전트가 포트 25226에서 데이터를 수신하고 있는지 확인합니다.

    sudo tcpdump -A -ni any port 514 -vv

sudo tcpdump -A -ni any port 25226 -vv

  10. MOCK 데이터를 localhost의 포트 514로 보냅니다. 이 데이터는 다음 쿼리를 실행하여 Microsoft Sentinel 작업 영역에서 관찰할 수 있어야 합니다.

    CommonSecurityLog
| where DeviceProduct == "MOCK"

데이터 커넥터 필수 조건 확인

다음 섹션을 통해 CEF 또는 Syslog 데이터 커넥터 필수 조건을 확인합니다.

CEF 수집기로서의 Azure Virtual Machines

Azure Virtual Machine을 CEF 수집기로 사용하는 경우 다음을 확인합니다.

  • 공통 이벤트 형식 데이터 커넥터 Python 스크립트를 배포하기 전에 가상 머신이 기존 Log Analytics 작업 영역에 이미 연결되어 있지 않은지 확인합니다. 이 정보는 Log Analytics 작업 영역 가상 머신 목록에서 찾을 수 있습니다. 여기서 Syslog 작업 영역에 연결된 VM은 연결됨으로 나열됩니다.

  • Microsoft Sentinel이 SecurityInsights 솔루션이 설치된 올바른 Log Analytics 작업 영역에 연결되어 있는지 확인합니다.

    자세한 내용은 1단계: 로그 전달자 배포를 참조하세요.

  • 머신의 크기가 최소 필수 조건 이상으로 올바르게 설정되었는지 확인합니다. 자세한 내용은 CEF 필수 조건을 참조하세요.

온-프레미스 또는 비 Azure 가상 머신

데이터 커넥터에 온-프레미스 머신 또는 비 Azure 가상 머신을 사용하는 경우 지원되는 Linux 운영 체제를 새로 설치할 때 설치 스크립트를 실행했는지 확인하세요.

Microsoft Sentinel의 Common Event Format 데이터 커넥터 페이지에서도 이 스크립트를 찾을 수 있습니다.

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py <WorkspaceId> <Primary Key>

CEF 기능 및 로그 심각도 컬렉션 사용

Syslog 서버(rsyslog 또는 syslog-ng)는 관련 구성 파일에 정의된 모든 데이터를 전달합니다. 이 데이터는 Log Analytics 작업 영역에 정의된 설정에 따라 자동으로 채워집니다.

Microsoft Sentinel에 수집하려는 기능 및 심각도 로그 수준에 대한 세부 정보를 추가해야 합니다. 구성 프로세스가 완료될 때까지 약 20분 정도 걸립니다.

자세한 내용은 배포 스크립트 설명을 참조하세요.

예를 들어 rsyslog 서버의 경우 다음 명령을 실행하여 Syslog 전달에 대한 현재 설정을 표시하고 구성 파일의 변경 내용을 검토합니다.

cat /etc/rsyslog.d/security-config-omsagent.conf

이 경우 rsyslog에 대해서는 다음과 유사한 출력이 표시됩니다.

if $rawmsg contains "CEF:" or $rawmsg contains "ASA-" then @@127.0.0.1:25226

운영 체제 문제 해결

이 섹션에서는 확실히 운영 체제 구성에서 파생된 문제를 해결하는 방법에 대해 설명합니다.

운영 체제 문제 해결 방법:

  1. 지원되는 운영 체제 및 Python 버전으로 작업하고 있는지 확인합니다. 자세한 내용은 CEF 필수 조건을 참조하세요.

  2. 가상 머신이 Azure에 있는 경우 NSG(네트워크 보안 그룹)가 포트 514에서 로그 클라이언트(보낸 사람)의 인바운드 TCP/UDP 연결을 허용하는지 확인합니다.

  3. 패킷이 Syslog Collector로 도착하고 있는지 확인합니다. Syslog Collector에 도착하는 syslog 패킷을 캡처하려면 다음을 실행합니다.

    tcpdump -Ani any port 514 and host <ip_address_of_sender> -vv

  4. 다음 중 하나를 수행합니다.

    • 패킷이 도착하지 않으면 NSG 보안 그룹 권한과 Syslog Collector로 향하는 라우팅 경로를 확인하세요.

    • 패킷이 도착하고 있다면 패킷이 거부되지 않는지 확인하세요.

    거부된 패킷이 표시되면 IP 테이블이 연결을 차단하지 않는지 확인하세요.

    패킷이 거부되지 않는지 확인하려면 다음을 실행하세요.

    watch -n 2 -d iptables -nvL

  5. CEF 서버가 로그를 처리하고 있는지 확인합니다. 다음을 실행합니다.

    tail -f /var/log/messages or tail -f /var/log/syslog

    처리 중인 모든 CEF 로그는 일반 텍스트로 표시됩니다.

  6. rsyslog 서버가 TCP/UDP 포트 514에서 수신 대기 중인지 확인합니다. 다음을 실행합니다.

    netstat -anp | grep syslog

    Syslog Collector로 전송되는 CEF 로그 또는 ASA 로그가 있는 경우 TCP 포트 25226에 설정된 연결이 표시됩니다.

    예시:

    0 127.0.0.1:36120 127.0.0.1:25226 ESTABLISHED 1055/rsyslogd

    연결이 차단되면 OMS 에이전트에 대한 SELinux 연결이 차단되거나 방화벽 프로세스가 차단될 수 있습니다. 관련 지침을 사용하여 문제를 확인하세요.

OMS 에이전트에 대한 연결을 차단하는 SELinux

이 프로시저에서는 SELinux가 현재 permissive 상태인지 또는 OMS 에이전트에 대한 연결을 차단하는지 확인하는 방법을 설명합니다. 이 절차는 운영 체제가 RedHat 또는 CentOS의 배포인 경우와 CEF 및 Syslog 데이터 커넥터 모두에 적용됩니다.

참고 항목

CEF 및 Syslog에 대한 Microsoft Sentinel 지원에는 FIPS 강화만 포함됩니다. SELinux 또는 CIS와 같은 다른 강화법은 현재 지원되지 않습니다.

  1. 다음을 실행합니다.

    sestatus

    상태는 다음 중 하나로 표시됩니다.

    • disabled. 이 구성은 Microsoft Sentinel에 대한 연결에 지원됩니다.
    • permissive. 이 구성은 Microsoft Sentinel에 대한 연결에 지원됩니다.
    • enforced. 이 구성은 지원되지 않으며 상태를 사용하지 않도록 설정하거나 permissive로 설정해야 합니다.

  2. 현재 상태가 enforced로 설정되어 있으면 일시 해제하여 차단기인지 확인합니다. 다음을 실행합니다.

    setenforce 0

    참고 항목

    이 단계에서는 서버가 다시 부팅될 때까지만 SELinux를 해제합니다. SELinux 구성을 해제된 상태로 유지하도록 수정합니다.

  3. 변경되었는지 확인하려면 다음을 실행합니다.

    getenforce

    permissive 상태는 반환되어야 합니다.

Important

시스템이 다시 부팅되면 이 설정 업데이트가 손실됩니다. 이 설정을 permissive로 영구적으로 업데이트하려면 /etc/selinux/config 파일을 수정하고 SELINUX 값을 SELINUX=permissive로 변경하세요.

자세한 내용은 RedHat 설명서를 참조하세요.

차단된 방화벽 정책

이 프로시저에서는 방화벽 정책이 Rsyslog 디먼에서 OMS 에이전트로의 연결을 차단하는지를 확인하는 방법과 필요에 따라 사용하지 않도록 설정하는 방법을 설명합니다. 이 절차는 CEF 및 Syslog 데이터 커넥터에 모두 관련이 있습니다.

  1. 다음 명령을 실행하여 방화벽 정책에 의해 삭제되는 트래픽을 나타내는 IP 테이블에 거부가 있는지 확인합니다.

    watch -n 2 -d iptables -nvL

  2. 방화벽 정책을 사용하도록 설정하려면 연결을 허용하는 정책 규칙을 만듭니다. 필요에 따라 활성 방화벽을 통해 TCP/UDP 포트 25226 및 25224를 허용하는 규칙을 추가합니다.

    예시:

    Every 2.0s: iptables -nvL                      rsyslog: Wed Jul  7 15:56:13 2021

Chain INPUT (policy ACCEPT 6185K packets, 2466M bytes)
 pkts bytes target     prot opt in     out     source               destination


Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination


Chain OUTPUT (policy ACCEPT 6792K packets, 6348M bytes)
 pkts bytes target     prot opt in     out     source               destination

  3. 활성 방화벽을 통해 TCP/UDP 포트 25226 및 25224를 허용하는 규칙을 만들려면 필요에 따라 규칙을 추가합니다.

    1. 방화벽 정책 편집기를 설치하려면 다음을 실행합니다.

      yum install policycoreutils-python

    2. 방화벽 정책에 방화벽 규칙을 추가합니다. 예시:

      sudo firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -p tcp --dport 25226  -j ACCEPT
sudo firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -p udp --dport 25224  -j ACCEPT
sudo firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -p tcp --dport 25224  -j ACCEPT

    3. 예외가 추가된 것을 확인합니다. 다음을 실행합니다.

      sudo firewall-cmd --direct --get-rules ipv4 filter INPUT

    4. 방화벽 다시 로드. 다음을 실행합니다.

      sudo firewall-cmd --reload

참고 항목

방화벽을 해제하려면 sudo systemctl disable firewalld를 실행합니다.

이 문서의 앞부분에서 설명한 단계로 문제를 해결하지 못할 경우 OMS 에이전트와 Microsoft Sentinel 작업 영역 간에 연결 문제가 있을 수 있습니다.

이러한 경우 다음을 확인하여 계속해서 문제를 해결합니다.

  • Syslog 수집기에서 TCP/UDP 포트 514에 도착하는 패킷을 볼 수 있는지 확인합니다.

  • 로컬 로그 파일에 기록되고 있는 로그(/var/log/messages 또는 /var/log/syslog )를 볼 수 있는지 확인합니다.

  • 포트 25226에서 흐르는 데이터 패킷을 볼 수 있는지 확인합니다.

  • 가상 머신이 TCP를 통해 포트 443에 대한 아웃바운드 연결이 있거나 Log Analytics 엔드포인트에 연결할 수 있는지 확인합니다.

  • 방화벽 정책을 통해 CEF 수집기의 필수 URL에 액세스할 수 있는지 확인합니다. 자세한 내용은 Log Analytics 에이전트 방화벽 요구 사항을 참조하세요.

다음 명령을 실행하여 에이전트가 Azure와 성공적으로 통신하는지 또는 OMS 에이전트가 Log Analytics 작업 영역에 연결하지 못하도록 차단되었는지 확인합니다.

Heartbeat
 | where Computer contains "<computername>"
 | sort by TimeGenerated desc

에이전트가 성공적으로 통신하는 경우 로그 항목이 반환됩니다. 반환되지 않으면 OMS 에이전트가 차단될 수 있습니다.