Microsoft Entra 로그를 Azure Monitor 로그와 통합

Microsoft Entra ID에서 진단 설정을 사용하여 로그인 활동 및 테넌트 내 변경 내용의 감사 내역을 다른 Azure 데이터와 함께 분석할 수 있도록 로그를 Azure Monitor와 통합할 수 있습니다.

이 문서에서는 Azure Monitor와 Microsoft Entra 로그를 통합하는 단계를 제공합니다.

Microsoft Entra 활동 로그와 Azure Monitor를 통합하여 다음과 같은 작업을 수행할 수 있습니다.

Microsoft Defender for Cloud에서 게시한 보안 로그와 Microsoft Entra 로그인 로그를 비교합니다.
Azure 애플리케이션 Insights의 애플리케이션 성능 데이터를 상호 연결하여 애플리케이션의 로그인 페이지에서 성능 병목 상태를 해결합니다.
Identity Protection 위험 사용자 및 위험 검색 로그를 분석하여 환경에서 위협을 검색합니다.
인증을 위해 ADAL(Active Directory 인증 라이브러리)을 사용하는 애플리케이션에서 로그인을 식별합니다. ADAL 지원 종료 계획에 대해 알아봅니다.

참고 항목

Microsoft Entra 로그를 Azure Monitor와 통합하면 Microsoft Sentinel 내에서 Microsoft Entra 데이터 커넥터가 자동으로 사용하도록 설정됩니다.

필수 조건

이 기능을 사용하려면 다음이 필요합니다.

Log Analytics 작업 영역의 데이터에 액세스할 수 있는 권한입니다. 다양한 사용 권한 옵션 및 권한 구성 방법에 대한 자세한 내용은 Azure Monitor에서 로그 데이터 및 작업 영역에 대한 액세스 관리를 참조하세요.

Log Analytics 작업 영역을 사용하면 데이터의 지리적 위치, 구독 경계 또는 리소스에 대한 액세스와 같은 다양한 요구 사항을 기반으로 데이터를 수집할 수 있습니다. Log Analytics 작업 영역을 만드는 방법을 알아봅니다.

Microsoft Entra ID 외부에서 Azure 리소스에 대한 Log Analytics 작업 영역을 설정하는 방법을 알아보려면 Azure Monitor에 대한 리소스 로그 수집 및 보기를 참조하세요.

Microsoft Entra ID의 로그를 Azure Monitor 로그로 보내려면 다음 단계를 따릅니다.

팁

이 문서의 단계는 시작하는 포털에 따라 약간 다를 수도 있습니다.

최소한 보안 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
ID>모니터링 및 상태>진단 설정으로 이동합니다. 또한 감사 로그 또는 로그인 페이지에서 설정 내보내기를 선택할 수도 있습니다.
+ 진단 설정 추가를 선택하여 새 통합을 만들거나 기존 통합에 대한 설정 편집을 선택합니다.
진단 설정 이름를 입력합니다. 기존 통합을 편집하는 경우 이름을 변경할 수 없습니다.
스트리밍할 로그 범주를 선택합니다. 각 로그 범주 에 대한 설명은 엔드포인트로 스트리밍할 수 있는 ID 로그란?을 참조하세요.
대상 세부 정보에서 Log Analytics 작업 영역으로 보내기 확인란을 선택합니다.
메뉴에서 적절한 구독 및 Log Analytics 작업 영역을 선택합니다.
저장 단추를 선택합니다.

15분 후에 선택한 대상에 로그가 표시되지 않으면 로그를 로그아웃하고 Microsoft Entra 관리 센터로 다시 로그인하여 로그를 새로 고칩니다.