Azure Monitor는 일반적으로 스토리지를 자동으로 관리하지만 일부 시나리오에서는 고객 관리형 스토리지 계정을 구성해야 합니다. 이 문서에서는 Log Analytics 작업 영역에 대한 고객 관리 스토리지 계정 링크를 설정하기 위한 사용 사례, 요구 사항 및 절차를 설명합니다.
| 고객 관리형 스토리지 계정이 필요한 시나리오 |
|---|
| 사용자 지정/IIS 로그 수집에 사용되는 프라이빗 링크 |
| 로그 경고 쿼리 및 저장된 쿼리의 CMK(고객 관리형 키) 데이터 암호화 |
고객 관리형 스토리지 계정에 업로드된 사용자 지정 로그 콘텐츠는 형식 지정 또는 기타 예기치 않은 방법으로 변경될 수 있습니다. 이 콘텐츠에 대한 종속성을 신중하게 고려하고 사용 사례에 대한 특별한 상황을 이해합니다.
필수 조건
경고
2025년 6월 30일부터 사용자 지정 로그 및 IIS 로그 연결된 스토리지 계정을 더 이상 만들거나 업데이트할 수 없습니다. 기존 스토리지 계정은 2025년 11월 1일까지 연결 해제됩니다. 데이터 손실을 방지하려면 Azure Monitor 에이전트로 마이그레이션하는 것이 좋습니다. 자세한 내용은 Azure Monitor 에이전트 개요를 참조하세요.
경고
2025년 8월 31일부터 Log Analytics 작업 영역에는 저장된 쿼리 및 저장된 로그 경고 쿼리에 대한 연결된 스토리지 계정을 추가하거나 업데이트하기 위해 할당된 MSI(관리 ID)가 있어야 합니다. 자세한 내용은 Log Analytics 작업 영역에 스토리지 계정 연결을 참조하세요.
| 조치 | 사용 권한 필요 |
|---|---|
| 작업 영역에 대한 연결된 스토리지 계정 관리 | Microsoft.OperationalInsights/workspaces/write - 작업 영역 범위예를 들어 기본 제공 역할인 Log Analytics 기여자가 제공합니다. |
| 작업 영역에 관리 ID 할당 | Microsoft.OperationalInsights/workspaces/write - 작업 영역 범위예를 들어 기본 제공 역할인 Log Analytics 기여자가 제공합니다. |
| 작업 영역에 대한 사용자 할당 관리 ID 관리 | Microsoft.ManagedIdentity/userAssignedIdentities/assign/action - ID 범위기본 제공 역할에 의해 제공되는 예로는 Managed Identity Operator 또는 Managed Identity Contributor가 있습니다. |
| 스토리지 계정의 관리 ID에 대한 최소 권한 | 스토리지 테이블 데이터 기여자입니다. |
또한 연결된 스토리지 계정은 작업 영역과 동일한 지역에 있어야 합니다.
Private Link
고객 관리형 스토리지 계정은 프라이빗 링크를 사용하여 Azure Monitor 리소스에 연결할 때 사용자 지정 로그를 수집하는 데 사용됩니다. 이러한 데이터 형식의 수집 프로세스는 먼저 로그를 중간 Azure Storage 계정에 업로드한 다음, 작업 영역에 수집하기만 합니다.
작업 영역 요구 사항
프라이빗 링크를 통해 Azure Monitor에 연결할 때 Azure Monitor 에이전트는 프라이빗 링크를 통해 액세스할 수 있는 작업 영역에만 로그를 보낼 수 있습니다. 이 요구 사항은 다음을 수행해야 한다는 것을 의미합니다.
- AMPLS(Azure Monitor 프라이빗 링크 범위) 개체를 구성합니다.
- 작업 영역에 연결합니다.
- 프라이빗 링크를 통해 AMPLS를 네트워크에 연결.
AMPLS 구성 절차에 대한 자세한 내용은 Azure Private Link를 사용하여 네트워크를 Azure Monitor에 안전하게 연결하는 방법을 참조하세요.
프라이빗 링크에 대한 스토리지 계정 요구 사항
프라이빗 링크를 통해 Azure Monitor에 연결하는 경우 프라이빗 링크를 통해 스토리지 계정에 액세스할 수 있어야 합니다. 이 요구 사항은 스토리지 계정이 프라이빗 링크에 연결하려면 다음을 수행해야 한다는 것을 의미합니다.
가상 네트워크 또는 피어링된 네트워크에 있고 프라이빗 링크를 통해 가상 네트워크에 연결되어 있어야 합니다.
Azure Monitor에서 스토리지 계정에 액세스할 수 있도록 허용합니다. 특정 네트워크만 스토리지 계정에 액세스하도록 허용하려면 신뢰할 수 있는 Microsoft 서비스가 이 스토리지 계정에 액세스하도록 허용하는 예외를 선택합니다.
작업 영역이 다른 네트워크의 트래픽을 처리하는 경우 스토리지 계정을 구성하여 관련 네트워크/인터넷에서 들어오는 트래픽을 허용하도록 합니다.
에이전트와 스토리지 계정 간에 TLS 버전을 조정합니다. TLS 1.2 이상을 사용하여 Azure Monitor 로그에 데이터를 보내는 것이 좋습니다. 필요한 경우 TLS를 사용하도록 에이전트를 구성합니다. 가능하지 않은 경우 TLS 1.2를 수락하도록 스토리지 계정을 구성합니다.
고객 관리형 키 데이터 암호화
Azure Storage는 스토리지 계정의 모든 미사용 데이터를 암호화합니다. 기본적으로 MMK(Microsoft 관리형 키)를 사용하여 데이터를 암호화합니다. 그러나 Azure Storage를 사용하면 Azure Key Vault의 CMK(고객 관리형 키)를 사용하여 스토리지 데이터를 암호화할 수도 있습니다. Key Vault로 사용자 고유의 키를 가져오거나 Key Vault API를 사용하여 키를 생성합니다.
다음에 대한 고객 관리형 스토리지 계정이 필요합니다.
- 로그 암호화 - CMK를 사용하여 경고 쿼리.
- CMK를 사용하여 저장된 쿼리 암호화.
Key Vault에서 CMK를 사용하도록 스토리지 계정을 구성합니다. 자세한 내용은 Azure Storage에 대한 고객 관리형 키 구성을 참조하세요.
CMK를 사용하는 고객 관리형 스토리지에 대한 고려 사항
스토리지 계정과 키 자격 증명 보관소는 동일한 지역에 있어야 합니다. 하지만 동일한 구독에 있을 필요는 없습니다. 자세한 내용은 미사용 데이터에 대한 Azure Storage 암호화를 참조하세요.
| 특수 사례 | 교정 |
|---|---|
| 스토리지 계정이 쿼리에 연결되면 작업 영역의 기존 저장된 쿼리 및 함수가 개인 정보 보호를 위해 영구적으로 삭제되고 스토리지 계정의 테이블로 이동됩니다. | 스토리지 링크를 구성하기 전에 저장된 기존 쿼리를 복사합니다. 다음은 PowerShell을 사용하는 예제입니다. 쿼리에 대한 스토리지 계정의 연결을 해제하여 저장된 쿼리 및 함수를 작업 영역으로 다시 이동할 수 있습니다. 쿼리 또는 함수를 저장하지 않은 경우 작업 후 Azure Portal에 표시되지 않는 경우 브라우저를 새로 고칩니다. |
| 쿼리 팩에 저장된 쿼리는 CMK로 암호화되지 않습니다. | 대신 쿼리를 저장할 때 레거시로 저장 쿼리 를 선택하여 CMK로 보호합니다. |
| 저장된 쿼리 및 로그 검색 경고는 기본적으로 고객 관리 스토리지에서 암호화되지 않습니다. | 이후에 CMK를 구성할 수 있더라도 스토리지 계정 생성 시 CMK를 사용하여 스토리지 계정을 암호화합니다. |
| 단일 StorageV2 스토리지 계정은 쿼리, 경고, 사용자 지정 로그 및 IIS 로그 등 모든 용도로 사용할 수 있습니다. | 사용자 지정 로그 및 IIS 로그에 대한 스토리지를 연결하려면 수집 속도 및 스토리지 제한에 따라 크기 조정을 위해 더 많은 스토리지 계정(작업 영역당 최대 5개)이 필요할 수 있습니다. 사용자 지정 로그 및 IIS 로그에 대한 모든 고객 관리 스토리지는 2025년 11월 1일 연결이 해제됩니다. |
Log Analytics 작업 영역에 스토리지 계정 연결
다음 요구 사항은 2025년 8월 31일 이전에 적용되지 않습니다.
| 예정된 요구 사항 | 설명 |
|---|---|
| 작업 영역에 할당된 관리 ID | 관리 ID가 할당되지 않은 경우 고객 관리 스토리지 계정에 대한 새 링크 만들기는 기존 링크 업데이트를 포함하여 모든 작업 영역에 대해 차단됩니다. |
| 관리 ID에 대한 역할 할당으로 구성된 스토리지 계정 | 스토리지 계정에 관리 ID에 대한 역할 할당이 없는 경우 고객 관리 스토리지 계정에 대한 새 링크를 만들면 기존 링크 업데이트를 비롯한 모든 작업 영역에 대해 차단됩니다. |
관리 ID 만들기
관리 ID를 사용하여 작업 영역을 구성하여 예정된 적용 변경에 대비합니다.
이 적용까지 작업 영역은 프라이빗 스토리지에 대한 인증에 관리 ID를 사용하지 않습니다. 프라이빗 스토리지에 대한 인증을 위해 관리 ID를 사용하도록 설정되었다는 발표가 있을 때까지 기존 인증 방법을 제거하지 마세요.
다음 방법 중 하나를 사용하여 관리 ID로 작업 영역을 만들거나 업데이트합니다.
자세한 내용은 Azure 리소스에 대한 관리 ID란?을 참조하세요.
역할 할당 추가
관리 ID가 작업 영역에 할당되면 관리 ID에 대한 액세스를 허용하도록 스토리지 계정을 업데이트합니다. 스토리지 계정에서 스토리지 테이블 데이터 기여자 역할을 해당 ID에 할당하여 작업 영역이 저장된 쿼리에 액세스하고 경고 쿼리를 기록할 수 있도록 합니다. 관리 ID를 할당하고 사용자 할당 ID를 관리하는 데 필요한 권한을 확인합니다.
링크 추가
Azure Portal에서 작업 영역 메뉴를 열고 연결된 스토리지 계정을 선택합니다. 연결된 스토리지 계정은 각 유형에 대해 표시됩니다.
형식 또는 연결 아이콘을 선택하면 스토리지 계정 링크 세부 정보가 열리고 이 유형에 대한 연결된 스토리지 계정을 설정하거나 업데이트할 수 있습니다. 여러 형식에 동일한 스토리지 계정을 사용하여 복잡성을 줄입니다.
연결된 스토리지 계정 관리
연결된 스토리지 계정을 관리하려면 이 지침을 따릅니다.
링크 만들기 또는 수정
스토리지 계정을 작업 영역에 연결하면 Azure Monitor 로그는 서비스에서 소유하는 스토리지 계정 대신 해당 계정을 사용합니다. 다음을 수행할 수 있습니다.
- 여러 스토리지 계정을 등록하여 로그의 부하를 분산합니다.
- 여러 작업 영역에 동일한 스토리지 계정을 다시 사용합니다.
스토리지 계정 연결 해제
스토리지 계정 사용을 중지하려면 작업 영역에서 스토리지의 연결을 해제합니다. 작업 영역에서 모든 스토리지 계정의 연결을 해제하면 Azure Monitor 로그는 서비스 관리형 스토리지 계정을 사용합니다. 네트워크에 인터넷 액세스가 제한된 경우 이러한 스토리지 계정을 사용할 수 없으며 스토리지에 의존하는 모든 시나리오가 실패합니다.
스토리지 계정 교체
수집에 사용되는 스토리지 계정을 바꾸려면:
- 새 스토리지 계정에 대한 링크를 만듭니다. 로깅 에이전트는 업데이트된 구성을 가져와서 새 스토리지로 데이터를 보내기 시작합니다. 이 프로세스에 몇 분 정도 걸릴 수 있습니다.
- 에이전트가 제거된 계정에 대한 쓰기를 중지하도록 이전 스토리지 계정의 연결을 해제합니다. 수집 프로세스는 모두 수집될 때까지 이 계정의 데이터를 계속 읽습니다. 모든 로그가 수집되었음을 확인할 때까지 스토리지 계정을 삭제하지 마세요.
스토리지 계정 유지
스토리지 계정을 유지하려면 이 지침을 따릅니다.
로그 보존 관리
자체 스토리지 계정을 사용하는 경우 보존은 사용자의 몫입니다. Azure Monitor 로그는 프라이빗 스토리지에 저장된 로그를 삭제하지 않습니다. 대신, 기본 설정에 따라 부하를 처리하는 정책을 설정해야 합니다.
부하 고려
스토리지 계정은 제한 요청을 시작하기 전에 특정 로드의 읽기 및 쓰기 요청을 처리할 수 있습니다. 자세한 내용은 Azure Blob Storage의 확장성 및 성능 목표를 참조하세요.
제한은 로그를 수집하는 데 걸리는 시간에 영향을 줍니다. 스토리지 계정이 오버로드된 경우 다른 스토리지 계정을 등록하여 계정 간에 로드를 분산합니다. 스토리지 계정의 용량 및 성능을 모니터링하려면 Azure Portal에서 해당 인사이트를 검토합니다.
관련 요금
스토리지 계정의 경우 저장된 데이터의 볼륨, 스토리지 유형 및 중복 유형에 따라 요금이 청구됩니다. 자세한 내용은 블록 Blob 가격 책정 및 Azure Table Storage 가격 책정을 참조하세요.
다음 단계
- Private Link를 사용하여 네트워크를 Azure Monitor에 안전하게 연결하는 방법을 알아봅니다.
- Azure Monitor 고객 관리형 키에 대해 알아봅니다.