Microsoft Purview의 Always-On 진단 기능을 사용하면 엔드포인트 DLP(데이터 손실 방지)를 위한 자동화된 연속 추적 로깅을 사용할 수 있습니다. 이 기능은 수동 로그 구성 및 문제 재현이 필요하지 않게 하여 관리 오버헤드를 크게 줄입니다.
Microsoft에서 지원 사례를 열면 근본 원인 분석을 지원하기 위해 진단 로그가 필요한 경우가 많습니다. Always-on 진단 사용하도록 설정하면 관리자가 기존 데이터 수집 단계를 우회할 수 있도록 포괄적인 원격 분석을 이미 사용할 수 있습니다. 이렇게 하면 지원 워크플로가 가속화될 뿐만 아니라 문제를 식별하고 해결하는 정확도도 향상됩니다.
진단 로그를 Microsoft 지원 직접 안전하게 업로드하여 사례 제출을 간소화하고 해결 시간을 단축할 수 있습니다. 이 사전 로깅 접근 방식은 운영 효율성을 향상시키고 지원 응답성을 향상시킵니다.
중요
이 기능은 권한 있는 eDLP 문제 해결 시나리오(작동 여부)에만 적용됩니다. 승인된 문제 해결 워크플로 외부의 활동을 포함하여 조사 또는 비지원 목적으로 사용하면 안 됩니다.
이 기능은 Windows에서만 지원됩니다.
지원되는 Windows 운영 체제
| OS | 버전 | 최소 빌드 |
|---|---|---|
| Windows 11 | 24H2 | 빌드 26100.4202 |
| Windows 11 | 23H2 | 빌드 22621.5039 및 22631.5039 |
| Windows 11 | 22H2 | 빌드 22621.5039 및 22631.5039 |
| Windows 10 | 22H2 | 빌드 19045.5917 |
| Windows 10 | 21H2 | 빌드 19045.5917 |
| Windows Server 2019 | - | 빌드 17763.7434 |
| Windows Server 2022 | - | 빌드 20348.3807 |
| Windows Server 2025년 | - | 빌드 26100.4349 |
중요
엔드포인트 DLP는 기본적으로 Windows Server 사용하지 않도록 설정됩니다. 항상 사용 가능한 진단 지원하려면 Windows Server용 엔드포인트 DLP를 사용하도록 설정해야 합니다.
권한
역할 로그 수집 요청을 보고 만드는 데 필요한 역할
Entra ID 역할
- 전역 관리자
- 규정 준수 관리자
- 보안 관리자
Purview 역할
테넌트 수준에서 할당해야 합니다. 범위가 지정된 관리자는 지원되지 않습니다.
- OrganizationConfiguration
- ManageAlerts
- ViewOnlyManageAlerts
- InformationProtectionAdmin
- InformationProtectionAnalyst
- InformationProtectionInvestigator
기능을 사용하도록 설정하는 데 필요한 역할
Entra ID 역할
- 전역 관리자
- 규정 준수 관리자
- 보안 관리자
Purview 역할(테넌트 수준만 해당)
- OrganizationConfiguration
- ComplianceAdmin
- SecurityAdmin
- DLPComplianceManagement
- InformationProtectionAdmin
Always-On 진단 켜고 업로드를 사용하도록 설정
- Microsoft Purview 포털에 로그인합니다.
- 설정>데이터 손실 방지>상시 진단(미리 보기)로 이동합니다.
- 켜기 를 선택합니다.
- 캐시 스토리지 기간을 설정합니다. 90일을 권장합니다.
- 디바이스에 대한 최대 스토리지를 설정합니다. 범위는 500~1500MB 사이여야 합니다.
- 저장을 선택합니다.
- 업로드를 사용하도록 설정하려면 디바이스 로그 자동 업로드에서 Microsoft와 진단 공유를 선택합니다.
디바이스 로그 요청
문제를 식별하고 Microsoft에서 지원 통화를 열면 로그 파일을 Microsoft 지원 보내도록 요청할 수 있습니다.
- Purview에서 로그 파일에 대한 요청을 시작할 위치 중 하나를 선택합니다.
- 설정 > 디바이스 온보딩 > 디바이스에서 목록에서 디바이스를 선택합니다.
- 데이터 손실 방지 > 경고 > 이벤트에서 목록에서 이벤트를 선택합니다.
- 데이터 손실 방지 > 탐색기 > 활동 탐색기에서 목록에서 경고를 선택합니다.
- 선택한 위치에 따라 Always-on 진단 에서 디바이스 로그 요청을 선택합니다.
- 날짜 범위를 선택하고 간단한 설명을 제공합니다.
- 컬렉션 요청 제출을 선택합니다.
- 요청을 제출한 후 요청이 완료될 때까지 기다려야 합니다. 설정>데이터 손실 방지>상시 진단(미리 보기)로 이동합니다.
- 목록에서 조사 중인 디바이스를 식별합니다. 상태 완료되면 Microsoft 지원 관련 요청 번호를 제공합니다.
디바이스 로그 검색(레거시 프로세스)
자동 수집 및 업로드를 사용하도록 설정하지 않은 경우 엔드포인트용 Microsoft Defender(MDE) 클라이언트 분석기 도구를 사용하여 로그를 수동으로 검색할 수 있습니다.
엔드포인트 디바이스에서 엔드포인트용 Microsoft Defender(MDE) 클라이언트 분석기의 미리 보기 버전을 다운로드합니다.
다운로드한 MDEClientAnalyzer.zip 파일의 내용을 폴더에 추출합니다.
명령 프롬프트를 열고 추출된 폴더로 이동합니다.
참고
진단 로그를 검색하는 데 관리 권한이 필요하지 않습니다. 관리자 권한 없이 도구를 실행하는 경우 액세스 경고가 표시될 수 있습니다. 무시해도 안전합니다.
MDEClientAnalyzer.cmd -r -t -m 0을 입력합니다.
계속하려면 EULA 계약에 동의합니다.
메시지가 표시되면 로그 수집 중에 사용된 보고서의 파일 이름을 제공합니다. 전체 파일 경로 지정
참고
관리자 모드가 아니므로 액세스 경고가 표시되는 경우 무시해도 됩니다.
추적 파일이 수집되면 결과 요약(MDEClientAnalyzer.htm)이 표시됩니다. 다음 설정을 검토하여 Always-On 기능이 사용하도록 설정되었는지 확인합니다.
설정 값 Sensetracer Always-On 사용 예 로그는 \MDEClientAnalyzerResult 하위 폴더 아래에 저장됩니다. Microsoft 지원에 로그를 제출할 수 있습니다.
추가 진단 로깅 방법은 엔드포인트 DLP 진단 로그 분석을 참조하세요.\