> For the complete documentation index, see [llms.txt](https://docs.panther.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.panther.com/ko/data-onboarding/supported-logs/azure-monitor.md). # Azure Monitor 로그 ## 개요 Panther는 수집을 지원합니다 [Azure Monitor 로그](https://learn.microsoft.com/en-us/azure/azure-monitor/logs/data-platform-logs) 공통을 통해 [데이터 전송](https://docs.panther.com/data-onboarding/data-transports) 옵션, 예를 들어 Azure [Event Hub](/ko/data-onboarding/data-transports/azure/event-hub.md) 그리고 [Blob Storage](/ko/data-onboarding/data-transports/azure/blob-storage.md). 수집하는 것도 가능합니다 [Microsoft Defender for Cloud](https://azure.microsoft.com/en-us/products/defender-for-cloud/) 이 소스를 사용한 알러트를 수집하려면 ...를 포함하여 [보안 범주](https://learn.microsoft.com/en-us/azure/azure-monitor/essentials/activity-log-schema#security-category) 동안 [온보딩 프로세스의 2단계](#step-2-export-azure-monitor-logs-to-azure-blob-storage), 아래에서. ## Azure Monitor 로그를 Panther에 온보딩하는 방법 먼저 Panther에서 Azure Blob Storage 또는 Azure Event Hub 소스를 만든 다음, Azure를 구성하여 해당 위치로 로그를 내보냅니다. ### 1단계: Panther에서 Azure Monitor 소스 만들기 1. Panther 콘솔의 왼쪽 탐색 표시줄에서 다음을 클릭합니다: **구성** > **로그 소스**. 2. 오른쪽 상단에서 클릭합니다 **새로 만들기**. 3. “Azure Monitor,”를 검색한 다음 해당 타일을 클릭합니다. * 슬라이드아웃 패널에서, **전송 메커니즘** 오른쪽 상단의 드롭다운은 다음 값으로 미리 채워집니다. **Azure Event Hub** 옵션. 이 선택을 그대로 두거나 **Azure Blob Storage**. 4. 다음을 클릭합니다: **설정 시작**. 5. Panther의 지침에 따라 [Azure Event Hub](/ko/data-onboarding/data-transports/azure/event-hub.md) 또는 [Azure Blob Storage Source](/ko/data-onboarding/data-transports/azure/blob-storage.md). * Azure Blob Storage를 선택하고 동안 [2단계: 필요한 Azure 인프라 만들기](/ko/data-onboarding/data-transports/azure/blob-storage.md#step-2-create-required-azure-infrastructure) Azure 리소스를 수동으로 만들기로 선택한 경우(Terraform을 사용하는 대신), [Azure 컨테이너를 만드는 단계는 건너뛰세요](https://docs.panther.com/data-onboarding/data-transports/azure/blob-storage#step-5-create-container-and-add-permission). 아래 2단계에서 스토리지 계정에 자동으로 하나가 생성되기 때문입니다. {% hint style="info" %} 이 두 옵션의 지연 시간은 다릅니다. **Blob Storage** 옵션을 선택하면 Panther는 Azure Monitor 파일을 매시간 가져옵니다. 선택하면 **Event Hub**를 선택하면 수집은 거의 실시간으로 이루어집니다. {% endhint %} ### 2단계: Azure Monitor 로그 내보내기 Azure Monitor 로그를 Event Hubs 또는 스토리지 계정으로 내보내려면 아래 지침을 따르세요: 1. Azure 대시보드에서 다음으로 이동합니다 **모니터** 서비스**.** 2. 왼쪽 탐색 패널에서 클릭합니다 **활동 로그**. 3. 페이지 상단 근처에서 **활동 로그 내보내기**. 4. 다음을 클릭합니다: **진단 설정 추가**. 5. 다음에서 **진단 설정** 페이지에서 다음 필드의 값을 입력합니다: * **진단 설정 이름**: 설명적인 이름을 입력하세요. * **범주** (아래 **Logs**): 수집하려는 각 로그 범주를 선택합니다: * [관리](https://learn.microsoft.com/en-us/azure/azure-monitor/essentials/activity-log-schema#administrative-category) * [서비스 상태](https://learn.microsoft.com/en-us/azure/azure-monitor/essentials/activity-log-schema#administrative-category) * [리소스 상태](https://learn.microsoft.com/en-us/azure/azure-monitor/essentials/activity-log-schema#resource-health-category) * [알러트](https://learn.microsoft.com/en-us/azure/azure-monitor/essentials/activity-log-schema#alert-category) * [자동 크기 조정](https://learn.microsoft.com/en-us/azure/azure-monitor/essentials/activity-log-schema#autoscale-category) * [보안](https://learn.microsoft.com/en-us/azure/azure-monitor/essentials/activity-log-schema#security-category) (Microsoft Defender for Cloud) * [권장 사항](https://learn.microsoft.com/en-us/azure/azure-monitor/essentials/activity-log-schema#recommendation-category) * [정책](https://learn.microsoft.com/en-us/azure/azure-monitor/essentials/activity-log-schema#policy-category) * **대상 세부 정보**: 다음 중 하나를 선택합니다 **스토리지 계정에 보관** 또는 **이벤트 허브 Hub로 스트리밍**, Panther에서 사용한 Data Transport 메커니즘을 기반으로 [1단계](#step-1-create-the-microsoft-defender-xdr-source-in-panther). * 선택하는 경우 **스토리지 계정에 보관**,에서 **스토리지 계정** 필드에서 스토리지 계정을 선택합니다. * 선택하는 경우 **이벤트 허브로 스트리밍**,에서 **이벤트 허브 네임스페이스** 필드에서 이벤트 허브를 선택합니다. 6. 왼쪽 상단에서 클릭합니다 **저장**. ### (Blob Storage 전송 전용) 3단계: 컨테이너에 역할 할당 {% hint style="warning" %} 이 단계는 1단계에서 Azure Blob Storage를 선택한 경우에만 적용됩니다. Azure Event Hub를 사용했다면 이 단계를 건너뛰세요. {% endhint %} 1. 이름이 다음인 새로 만든 컨테이너를 클릭합니다 `insights-activity-logs`그런 다음 왼쪽 탐색 표시줄에서 클릭합니다 **액세스 제어(IAM)**. 2. 다음을 클릭합니다: **+추가**.\ ![In the panthertestcontainer3 Access Control (IAM) page, an arrow is drawn to the +Add button](/files/3d9979bcb075fda233831f277fdf2686ed69ad28) 3. 다음을 클릭합니다: **역할 할당 추가**. 4. "Storage Blob Data Reader"를 검색한 다음 표시되는 일치하는 역할을 선택합니다.\ ![In the Add role assignment page of the Azure console, "storage blob" has been searched for in the search box. One of the results, Storage Blob Data Reader, is circled.](/files/9f890ad23deede1d5cac7a8c69456b57e6e59a24) 5. 다음을 클릭합니다. **구성원** 탭. 6. 다음을 클릭합니다: **+구성원 선택**. 7. 다음 동안 만든 등록된 앱의 이름을 검색합니다. [Azure Blob Storage Source의 필요한 Azure 인프라 만들기 프로세스](/ko/data-onboarding/data-transports/azure/blob-storage.md#step-2-create-required-azure-infrastructure), 그리고 **선택**. 8. 다음을 클릭합니다: **검토+할당**. * Panther가 Azure Monitor 파일을 한 시간에 한 번만 가져오기 때문에, 초기 데이터가 Panther에 도착하기까지 최대 1시간이 지연될 수 있다는 점을 기억하세요. ## 지원되는 로그 유형 Panther는 Azure.MonitorActivity 스키마에서 처리하는 Azure Monitor 활동 로그를 지원합니다. ### Azure.MonitorActivity ```yaml fields: - 이름: time required: true 설명: 기록 중인 이벤트의 타임스탬프(UTC)입니다. type: timestamp timeFormats: - rfc3339 - '%Y-%m-%d %H:%M:%SZ' - '%Y-%m-%d %H:%M:%S.%N' isEventTime: true - 이름: resourceId required: true 설명: 이벤트를 생성한 리소스의 리소스 ID입니다. 테넌트 서비스의 경우, 형식은 /tenants/tenant-id/providers/provider-name입니다. type: string - 이름: tenantId 설명: 이 이벤트가 연결된 Active Directory 테넌트의 테넌트 ID입니다. 이 속성은 테넌트 수준 로그에서만 사용됩니다. 리소스 수준 로그에는 나타나지 않습니다. type: string - 이름: operationName required: true 설명: 이 이벤트가 기록하는 작업의 이름입니다. 예를 들어 Microsoft.Storage/storageAccounts/blobServices/blobs/Read입니다. operationName은 일반적으로 문서화된 Resource Manager 작업이 아니더라도 Azure Resource Manager 작업인 Microsoft./// 형식으로 모델링됩니다. type: string - 이름: operationVersion 설명: operationName이 API를 통해 수행된 경우 해당 작업과 연결된 API 버전입니다(예: http://myservice.windowsazure.net/object?api-version=2016-06-01). 이 작업에 해당하는 API가 없으면, 버전은 향후 이 작업과 연결된 속성이 변경될 경우를 대비해 해당 작업의 버전을 나타냅니다. type: string - name: category required: true 설명: 기록 중인 이벤트의 로그 범주입니다. 범주는 특정 리소스에서 로그를 사용 설정하거나 사용 중지할 수 있는 세분화 수준입니다. 이벤트의 properties blob 안에 나타나는 속성은 특정 로그 범주와 리소스 유형에서 동일합니다. 일반적인 로그 범주는 Audit, Operational, Execution, Request입니다. type: string - 이름: resultType 설명: 해당하는 경우 기록된 이벤트의 상태입니다. 값에는 Started, In Progress, Succeeded, Failed, Active, Resolved가 포함됩니다. type: string - name: resultSignature 설명: 이벤트의 하위 상태입니다. 이 작업이 REST API 호출에 해당하는 경우, 이 필드는 해당 REST 호출의 HTTP 상태 코드입니다. type: string - 이름: resultDescription 설명: 이 작업의 정적 텍스트 설명입니다. 예: Get storage file. type: string - 이름: durationMs 설명: 작업의 지속 시간(밀리초)입니다. type: bigint - 이름: callerIpAddress 설명: 작업이 공개 IP 주소를 가진 엔터티에서 오는 API 호출에 해당하는 경우 호출자 IP 주소입니다. type: string 표시자: - ip - 이름: correlationId 설명: 관련 이벤트 집합을 함께 그룹화하는 데 사용되는 GUID입니다. 일반적으로 두 이벤트가 같은 operationName 값을 가지지만 서로 다른 상태를 가질 경우(예: Started 및 Succeeded), 같은 correlationID 값을 공유합니다. 이는 이벤트 간의 다른 관계를 나타낼 수도 있습니다. type: string 표시자: - trace_id - 이름: identity 설명: 작업을 수행한 사용자 또는 애플리케이션의 ID를 설명하는 JSON 블롭입니다. 일반적으로 이 필드에는 Active Directory의 인증 및 클레임 또는 JWT 토큰이 포함됩니다. 유형: json - 이름: level 설명: 이벤트의 심각도 수준입니다. 값에는 Informational, Warning, Error, Critical이 포함됩니다. type: string - 이름: location 설명: 이벤트를 내보내는 리소스의 지역입니다. 예: East US 또는 France South. type: string - 이름: properties 설명: 이 이벤트 범주와 관련된 확장 속성입니다. 모든 사용자 지정 또는 고유 속성은 이 스키마의 'Part B' 안에 넣어야 합니다. 유형: json - 이름: roleLocation 설명: 역할의 위치입니다. type: string - 이름: providerGuid 설명: 이벤트를 내보내는 서비스 공급자의 GUID입니다. type: string - 이름: providerName 설명: 이벤트를 내보내는 서비스 공급자의 이름입니다. type: string ``` --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.panther.com/ko/data-onboarding/supported-logs/azure-monitor.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.