로그 구성
Microsoft Sentinel에는 세 가지 기본 로그 유형이 있습니다.
- 분석 로그
- 기본 로그
- 보관 로그
Log Analytics 작업 영역의 각 테이블의 데이터는 지정된 기간 동안 보존되며, 그 후에는 보존 요금이 절감된 상태로 제거되거나 보관됩니다. 데이터 보존 비용을 줄여 데이터를 사용할 수 있도록 요구 사항에 맞춰 보존 시간을 설정합니다.
보관된 데이터에 액세스하려면 먼저 다음 방법 중 하나를 사용하여 Analytics 로그 테이블에서 데이터를 검색해야 합니다.
- 작업 검색
- 복원
분석 로그
기본적으로 작업 영역의 모든 테이블은 유형이 동일한 Analytics 로그로서, Log Analytics의 모든 기능 및 작업 영역이 사용할 수 있는 동시에 작업 영역을 사용하는 모든 기타 서비스에서 사용할 수 있습니다.
기본 로그
특정 테이블을 기본 로그로 구성하여 디버깅, 문제 해결 및 감사에 사용하지만 분석 및 경고에는 사용하지 않는 대용량 자세한 정보 로그를 저장하는 비용을 줄일 수 있습니다. 기본 로그에 대해 구성된 테이블은 기능은 더 적지만 수집 비용이 더 낮습니다. 기본 로그는 8일 동안만 유지됩니다.
KQL 언어 제한
기본 로그에 대한 쿼리는 다음 연산자 등 KQL 언어의 하위 집합을 통해 간단한 데이터 검색에 최적화됩니다.
- where
- extend
- project
- project-away
- project-keep
- project-rename
- project-reorder
- parse
- parse-where
다음 KQL은 지원하지 않습니다.
- join
- union
- 집계(요약)
테이블 지원 기본 로그
Log Analytics의 모든 테이블은 기본적으로 분석 테이블입니다. 특정 테이블은 기본 로그를 사용하도록 구성할 수 있습니다. Azure Monitor가 특정 기능을 위한 테이블을 사용하는 경우 기본 로그에서 해당 테이블을 구성할 수 없습니다.
현재 기본 로그에서는 다음 테이블을 구성할 수 있습니다.
- DCR(데이터 컬렉션 규칙) 기반 사용자 지정 로그 API를 사용하여 만든 모든 테이블입니다.
- ContainerLogV2: Container Insights가 사용하고 장황한 텍스트 기반 로그 레코드를 포함합니다.
- AppTraces는 Application Insights의 애플리케이션 추적을 위한 자유 형식 로그 레코드를 포함합니다.
참고
기본 로그는 현재 미리 보기 중입니다. 지원되는/적격 테이블 설명서는 기능이 일반 공급될 때 현재 정보로 업데이트됩니다.
로그 유형 구성
적격 테이블의 로그 유형을 조정하려면 Microsoft Sentinel 설정 영역에서 작업 영역 설정을 선택합니다.
다음 화면은 Log Analytics 포털에 있습니다.
- “테이블” 탭을 선택합니다.
- 테이블을 선택한 뒤 행 끝의 ...를 선택합니다.
- 테이블 관리 선택
- 테이블 계획을 변경합니다.
- 저장을 선택합니다.
보관 로그
보관을 사용하면 작업 영역에서 오래되고 덜 사용되는 데이터를 저렴한 비용으로 유지할 수 있습니다. 각 작업 영역에는 모든 테이블에 적용되는 기본 보존 정책이 있습니다. 개별 테이블에 대해 다른 보존 정책을 설정할 수 있습니다.
대화형 보존 기간 동안 모니터링, 문제 해결 및 분석에 데이터를 사용할 수 있습니다. 더 이상 로그를 사용하지 않지만 규정 준수 또는 가끔 조사하기 위해 데이터를 유지해야 하는 경우 비용을 절감하기 위해 로그를 보관합니다. 검색 작업을 실행하거나 보관된 로그를 복원하여 보관된 데이터에 액세스할 수 있습니다.
테이블 보존 구성
보존 기간(일)을 조정하려면 Microsoft Sentinel 설정 영역에서 작업 영역 설정을 선택합니다.
다음 화면은 Log Analytics 포털에 있습니다.
- “테이블” 탭을 선택합니다.
- 테이블을 선택한 뒤 행 끝의 ...를 선택합니다.
- 테이블 관리 선택
- 전체 보존 기간을 변경합니다.
- 저장을 선택합니다.