Azure Storage Blob 커넥터는 Azure Storage에서 로그 수집을 간소화합니다. 이를 통해 ISV와 사용자는 완전히 관리되는 CCF(Codeless Connector Framework)를 통해 Azure Storage 통합을 기반으로 확장 가능한 커넥터를 빌드할 수 있습니다.
이 문서에서는 커넥터 리소스를 요약하고 첫 번째 Azure Storage 커넥터를 만들고 유효성을 검사하는 단계를 제공합니다.
필수 구성 요소
시작하기 전에 다음이 있는지 확인합니다.
- 계층 구조 네임스페이스(Azure Data Lake Storage Gen2)가 사용하도록 설정된 Azure Storage 계정 및 로그 파일을 보유하는 컨테이너입니다.
- Microsoft Sentinel 기여자 이상의 역할이 있는 Microsoft Sentinel 작업 영역으로 데이터 커넥터를 만듭니다.
- 스토리지 계정에 대한 소유자 또는 EventGrid 기여자 역할 권한으로 Event Grid 시스템 topics 및 구독을 만듭니다.
참고
Microsoft.EventGrid 리소스 공급자가 스토리지 계정이 포함된 구독에 등록되어 있는지 확인합니다.
커넥터 리소스 개요
Azure Storage Blob 커넥터는 큐 기반 Blob 포인터 모델을 사용하여 스토리지 계정에서 Blob에서 만든 이벤트를 구독합니다. Event Grid 시스템 토픽 구독은 Blob 만들기 작업을 수신 대기하고 구성 가능한 필터링 조건에 따라 이벤트를 Azure Storage 큐에 푸시합니다. 여러 커넥터 인스턴스는 폴더 및 파일 패턴별로 파일 범위를 지정하면서 동일한 컨테이너에서 수집할 수 있습니다. Blob 접두사 및 접미사 패턴을 설정하여 포털 또는 커넥터 ARM 템플릿을 통해 필터링을 제어할 수 있습니다.
Microsoft Sentinel 커넥터:
- blob에서 만든 메시지에 대해 Azure Storage 큐를 폴링합니다.
- 큐 메시지의 경로에 따라 Azure Storage Blob 컨테이너에서 파일을 가져옵니다.
- 전달에 성공한 후 큐 메시지를 삭제합니다.
커넥터는 커넥터 애플리케이션에 액세스할 수 있는 서비스 주체를 사용하여 스토리지 계정에 인증합니다. 클라우드당 애플리케이션 ID 및 전체 템플릿 스키마는 Azure Storage Blob 커넥터 API 참조를 참조하세요. ARM 템플릿 자동화를 사용하여 서비스 주체가 있는지 확인하고 스토리지 계정에 필요한 역할 할당을 적용합니다.
Azure Storage Blob 커넥터 만들기
- Azure Storage Blob 커넥터 API 참조에서 예제 ARM 템플릿을 검토하고 조정합니다. 컨테이너 이름, 큐 이름(자동 생성되지 않은 경우), Blob 접두사/접미사 필터 및 대상 테이블 매핑을 설정합니다.
- Microsoft Sentinel 대한 코드리스 커넥터 만들기를 수행하여 템플릿을 배포합니다. 배포 scope 스토리지 계정 및 Microsoft Sentinel 작업 영역과 일치하는지 확인합니다.
- 배포 후 커넥터 instance Microsoft Sentinel 만들어지고 Event Grid 구독 상태 정상인지 확인합니다.
커넥터 유효성 검사
- 접두사/접미사 필터와 일치하는 샘플 파일을 업로드하고 큐 메시지가 만들어지고 사용되는지 확인합니다.
- Microsoft Sentinel 대상 테이블의 수집을 확인하고 커넥터 상태 블레이드에서 오류가 있는지 검사.
- 네트워크 제한을 사용하는 경우 커넥터 관리 리소스가 Blob 및 큐 엔드포인트에 도달할 수 있는지 확인합니다.
문제 해결
문제 해결 단계는 Azure Storage Blob 커넥터 문제 해결을 참조하세요.