사용 매뉴얼
개요
이 앱을 통해 할 수 있는 주요 업무는 다음과 같습니다.
- Azure VNet Flow Log(v4) 및 NSG Flow Log(v1/v2)를 로그프레소 소나에 실시간 수집
- 수집된 흐름 로그를 쿼리로 조회하여 인바운드/아웃바운드 트래픽 현황 파악
- 차단·허용 정책별 통계로 이상 트래픽 및 공격 시도 탐지
기본 개념·용어
| 용어 | 의미 | 관련 리소스 |
|---|---|---|
| NSG Flow Log | Azure 네트워크 보안 그룹(NSG) 단위의 흐름 로그. 2027-09-30 이후 전면 retire 예정 | azure-nsgflow-logs |
| VNet Flow Log | Azure 가상 네트워크(VNet) 단위로 트래픽 흐름을 기록하는 로그. NSG Flow Log의 후속 방식 | azure-networkwatcher-flow-logs |
| insights-logs-networksecuritygroupflowevent | NSG flow logs가 저장되는 Blob 컨테이너 이름. Flow Log 생성 시 자동 생성됨 | — |
| insights-logs-flowlogflowevent | VNet flow logs가 저장되는 Blob 컨테이너 이름. Flow Log 생성 시 자동 생성됨 | — |
주요 화면·메뉴 경로
| 기능 | 경로 |
|---|---|
| 앱 설치·관리 | 앱 |
| 접속 프로파일 등록 | 시스템 > 접속 프로파일 |
| 수집기 등록·상태 확인 | 수집 > 수집기 |
| 확장명령어 실행 | 분석 > 쿼리 |
| 수집 로그 스키마 조회 | 수집 > 로그 스키마 |
| 대시보드 조회 | 대시보드 > 대시보드 |
작업 시나리오
시나리오 1: NSG Flow Log에서 VNet Flow Log로 전환
목적: 기존에 NSG Flow Log로 수집하던 환경을 VNet Flow Log로 전환합니다. Azure에서 VNet Flow Log를 새로 생성하고, 소나에서는 접속 프로파일의 컨테이너 이름을 변경합니다. 수집기는 재시작하지 않아도 됩니다.
사전 조건:
- 기존에
azure-nsgflow타입 접속 프로파일과 수집기가 동작 중이어야 합니다. - Azure 구독에 Network Watcher Contributor 이상 권한이 있어야 합니다.
수행 절차:
1단계: Azure에서 VNet Flow Log 신규 생성
-
Azure 포탈에서 Network Watcher 서비스로 이동합니다.
-
Logs > Flow logs로 이동하고 Create를 클릭합니다.
-
아래 항목을 설정합니다.
옵션 설정값 설명 Add virtual networks 기존 NSG Flow Log 대상이었던 VNet 선택 NSG가 연결된 VNet을 동일하게 선택 Storage account 기존 NSG Flow Log와 동일한 Storage Account 선택 컨테이너( insights-logs-flowlogflowevent)가 공유됨Retention days 기존과 동일하게 유지 -
Review + create를 클릭하여 생성합니다.
-
생성 후 Flow logs 목록에서 신규 항목의 Flow log type이 Virtual network로 표시되는지 확인합니다.
Note
VNet Flow Log는 NSG Flow Log와 컨테이너 이름이 다릅니다(`insights-logs-flowlogflowevent`). 소나 접속 프로파일의 컨테이너 이름을 변경해야 VNet Flow Log 레코드가 수집됩니다.
2단계: 소나 명령어 교체
기존에 azure-nsgflow-logs 명령어를 사용하는 쿼리가 있다면 아래와 같이 교체합니다.
| 항목 | 변경 전 | 변경 후 | 비고 |
|---|---|---|---|
| 접속 프로파일 | 변경 없음 | 컨테이너 이름 변경 | insights-logs-flowlogflowevent로 수정 |
| 수집기 | 변경 없음 | 변경 없음 | 재시작 불필요 |
| 조회 명령어 | azure-nsgflow-logs | azure-networkwatcher-flow-logs | Azure NSG Flow Log 서비스 2027-09-30 종료 예정 |
| 파일 목록 명령어 | azure-nsgflow-files | azure-networkwatcher-flow-files | 동일 |
실패 대응:
| 증상 | 원인 | 해결 |
|---|---|---|
vnet_flow_count 계속 0 | VNet Flow Log 생성 직후로 아직 파일 미생성 | Flow Log는 1시간 단위로 기록됨. 1~2시간 대기 후 재조회 |
| 기존 수집 데이터와 중복 | NSG/VNet 동시 활성화로 동일 흐름이 두 번 기록 | 기존 NSG Flow Log 비활성화 검토 (Azure 포탈 > Flow logs > 해당 항목 비활성화) |
시나리오 2: 대시보드로 트래픽 현황 조회
목적: 수집된 VNet/NSG Flow Log를 대시보드에서 시각적으로 확인합니다.
사전 조건:
- 수집기가 정상 실행 중이어야 합니다(설치 매뉴얼 참고).
수행 절차:
- 대시보드 > 대시보드로 이동합니다.
- Azure NSG Flow 대시보드를 선택합니다.
- 트래픽 탭에서 인바운드/아웃바운드 흐름 현황을 확인합니다.
주의사항
- NSG Flow Log 신규 생성 불가: Microsoft Azure는 2025-06-30부터 NSG Flow Log 신규 생성을 제한하고 있습니다. 신규 환경은 VNet Flow Log를 사용하시기 바랍니다.
- NSG Flow Log 서비스 Retired: Microsoft Azure는 2027-09-30에 NSG Flow Log 서비스를 전면 종료할 예정입니다. 신규 구성에는 VNet Flow Log와
azure-networkwatcher-flow-logs,azure-networkwatcher-flow-files명령어를 사용하십시오. - 수집 지연: Flow Log 파일은 Azure가 1시간 단위로 Blob에 기록합니다. 소나 수집기는 데이터 유실 방지를 위해 현재 시각 기준 최소 1시간 5분 이전까지의 파일만 수집합니다.
- 접속 프로파일 타입 공통: 신규
azure-networkwatcher-*명령어와 기존azure-nsgflow-*명령어는 동일한azure-nsgflow타입 접속 프로파일을 사용합니다. 단, VNet Flow Log로 전환 시 접속 프로파일의 컨테이너 이름을insights-logs-flowlogflowevent로 변경해야 합니다.
관련 문서
- 설치 매뉴얼 — 최초 설치 및 접속 프로파일 설정
- azure-networkwatcher-flow-logs — VNet/NSG Flow Log 조회 명령어
- azure-networkwatcher-flow-files — Flow Log 파일 목록 조회 명령어
- azure-nsgflow — 흐름 로그 스키마
- Azure NSG 흐름 로그 마이그레이션 공식 문서 — NSG → VNet Flow Log 전환 절차
