مشاركة عبر

نقل Azure Monitor - مساحة عمل Log Analytics إلى منطقة أخرى

  • مقالة

هناك أسباب مختلفة وراء رغبتك في نقل موارد Azure الحالية من منطقة إلى أخرى. قد ترغب في:

  • استفد من منطقة Azure جديدة.
  • نشر الميزات أو الخدمات المتوفرة في مناطق معينة فقط.
  • تلبية متطلبات السياسة الداخلية والحوكمة.
  • التوافق مع عمليات الدمج والاستحواذ الخاصة بالشركات
  • تلبية متطلبات تخطيط السعة.

يجب أن تتضمن خطة النقل لمساحة عمل Log Analytics نقل أي موارد تسجل البيانات باستخدام مساحة عمل Log Analytics.

لا تدعم مساحة عمل Log Analytics ترحيل بيانات مساحة العمل من منطقة إلى أخرى والأجهزة المرتبطة بها. بدلا من ذلك، يجب إنشاء مساحة عمل Log Analytics جديدة في المنطقة المستهدفة وإعادة تكوين الأجهزة والإعدادات في مساحة العمل الجديدة.

يوضح الرسم التخطيطي أدناه نمط النقل لمساحة عمل Log Analytics. تمثل خطوط التدفق الحمراء إعادة توزيع المثيل الهدف جنبا إلى جنب مع حركة البيانات وتحديث المجالات ونقاط النهاية.

رسم تخطيطي يوضح نمط نقل مساحة عمل Log Analytics.

الانتقال إلى دعم منطقة التوفر

مناطق توفر Azure هي ثلاث مجموعات منفصلة فعليا على الأقل من مراكز البيانات داخل كل منطقة Azure. مراكز البيانات داخل كل منطقة مجهزة ببنية أساسية مستقلة للطاقة والتبريد والشبكات. في حالة فشل المنطقة المحلية، يتم تصميم مناطق التوفر بحيث إذا تأثرت المنطقة الواحدة، فإن الخدمات الإقليمية والسعة والتوافر العالي تدعمها المنطقتين المتبقيتين.

يمكن أن تتراوح حالات الفشل من فشل البرامج والأجهزة إلى الأحداث مثل الزلازل والفيضانات والحرائق. يتم تحقيق التسامح مع الفشل مع التكرار والعزلة المنطقية لخدمات Azure. لمزيد من المعلومات التفصيلية حول مناطق التوفر في Azure، راجع المناطق ومناطق التوفر.

تم تصميم الخدمات الممكنة لمناطق توفر Azure لتوفير المستوى الصحيح من الموثوقية والمرونة. يمكن تكوينها بطريقتين. يمكن أن تكون إما زائدة عن الحاجة للمنطقة، مع النسخ المتماثل التلقائي عبر المناطق، أو منطقة، مع تثبيت المثيلات في منطقة معينة. يمكنك أيضا الجمع بين هذه الأساليب. لمزيد من المعلومات حول البنية المناطقية مقابل البنية الزائدة عن الحاجة للمنطقة، راجع توصيات لاستخدام مناطق التوفر والمناطق.

إذا كنت ترغب في نقل مساحة عمل Log Analytics إلى منطقة تدعم مناطق التوفر:

  • اقرأ أساس ترحيل منطقة توفر Azure لتقييم جاهزية منطقة التوفر لحمل العمل أو التطبيق الخاص بك.
  • اتبع الإرشادات الواردة في ترحيل Log Analytics إلى دعم منطقة التوفر.

المتطلبات الأساسية

  • لتصدير تكوين مساحة العمل إلى قالب يمكن نشره إلى منطقة أخرى، تحتاج إلى دور المساهم في Log Analytics أو المساهم في المراقبة أو أعلى.

  • تحديد كافة الموارد المقترنة حاليًا بمساحة العمل الخاصة بك، بما في ذلك:

    • العوامل المتصلة:أدخل سجلات في مساحة العمل واستعلم عن جدول رسالة كشف أخطاء الاتصال لإدراج العوامل المتصلة.

      Heartbeat
| summarize by Computer, Category, OSType, _ResourceId

    • إعدادات التشخيص: يمكن للموارد إرسال سجلات إلى Azure Diagnostics أو جداول مخصصة في مساحة العمل الخاصة بك. أدخل سجلات في مساحة العمل الخاصة بك، ثم قم بتشغيل هذا الاستعلام للموارد التي ترسل البيانات إلى الجدول AzureDiagnostics:

      AzureDiagnostics
| where TimeGenerated > ago(12h)
| summarize by  ResourceProvider , ResourceType, Resource
| sort by ResourceProvider, ResourceType

      تشغيل هذا الاستعلام للموارد التي ترسل البيانات إلى جداول مخصصة:

      search *
| where TimeGenerated > ago(12h)
| where isnotnull(_ResourceId)
| extend ResourceProvider = split(_ResourceId, '/')[6]
| where ResourceProvider !in ('microsoft.compute', 'microsoft.security')
| extend ResourceType = split(_ResourceId, '/')[7]
| extend Resource = split(_ResourceId, '/')[8]
| summarize by tostring(ResourceProvider) , tostring(ResourceType), tostring(Resource)
| sort by ResourceProvider, ResourceType

    • الحلول المثبتة: حدد الحلول القديمة في جزء التنقل في مساحة العمل للحصول على قائمة بالحلول المثبتة.

    • واجهة برمجة التطبيقات لجامع البيانات: يتم تخزين البيانات التي تصل من خلال واجهة برمجة التطبيقات لجامع البيانات في جداول السجل المخصصة. للحصول على قائمة بجداول السجل المخصصة، حدد Logs في جزء التنقل في مساحة العمل، ثم حدد Custom log في جزء المخطط.

    • الخدمات المرتبطة: قد يكون لمساحات العمل خدمات مرتبطة بموارد تابعة مثل حساب Azure Automation أو حساب تخزين أو نظام مجموعة مخصص. قم بإزالة الخدمات المرتبطة من مساحة العمل الخاصة بك. وأعد تكوينها يدويًا في مساحة العمل الهدف.

    • التنبيهات: لسرد التنبيهات، حدد Alerts في جزء التنقل في مساحة العمل الخاصة بك، ثم حدد Manage alert rules على شريط الأدوات. يمكن تضمين التنبيهات في مساحات العمل التي تم إنشاؤها بعد 1 يونيو 2019 أو في مساحات العمل التي تمت ترقيتها من واجهة برمجة تطبيقات تنبيه تحليلات السجل إلى واجهة برمجة التطبيقات scheduledQueryRules في القالب.

      يمكنك التحقق مما إذا كان واجهة برمجة التطبيقات الخاصة بـ scheduledQueryRules تستخدم للتنبيهات في مساحة العمل الخاصة بك. بدلًا من ذلك، يمكنك تكوين التنبيهات يدويًا في مساحة العمل الهدف.

    • حزم الاستعلام: يمكن أن تكون مساحة العمل مقترنة بحزم استعلام متعددة. لتعريف حزم الاستعلام في مساحة العمل الخاصة بك، حدد Logs من جزء التنقل في مساحة العمل، وحدد queries في الجزء الأيمن، ثم حدد علامة القطع الموجودة إلى يسار مربع البحث. يتم فتح مربع حوار يحتوي على حزم الاستعلام المحددة على اليسار. إذا كانت حزم الاستعلام الخاصة بك في نفس مجموعة الموارد مثل مساحة العمل التي تقوم بنقلها، يمكنك تضمينها مع هذا الترحيل.

  • تحقق من أن اشتراك Azure يسمح لك بإنشاء مساحات عمل Log Analytics في المنطقة المستهدفة.

وقت التعطل

لفهم أوقات التعطل المحتملة المتضمنة، راجع Cloud Adoption Framework ل Azure: حدد أسلوب نقل.

تجهيز

توضح الإجراءات التالية كيفية إعداد مساحة العمل والموارد للنقل باستخدام قالب Resource Manager.

إشعار

لا يمكن تصدير كافة الموارد من خلال قالب. ستحتاج إلى تكوين هذه بشكل منفصل بعد إنشاء مساحة العمل في المنطقة الهدف.

  1. سجل الدخول إلى مدخل Microsoft Azure، وحدد Resource Groups.

  2. ابحث عن مجموعة الموارد التي تحتوي على مساحة العمل الخاصة بك وحددها.

  3. لعرض مورد تنبيه، حدد خانة الاختيار إظهار الأنواع المخفية.

  4. حدد عامل تصفية Type. حدد Log Analytics workspace، Solution، عمليات SavedSearches، microsoft.insights/scheduledqueryrules، defaultQueryPack، والموارد الأخرى المتعلقة بمساحة العمل الخاصة بك (مثل حساب التنفيذ التلقائي). ثم حدد تطبيق.

  5. حدد مساحة العمل والحلول وعمليات البحث المحفوظة والتنبيهات وحزم الاستعلام والموارد الأخرى المتعلقة بمساحة العمل الخاصة بك (مثل حساب التنفيذ التلقائي). ثم حدد Export template من شريط الأدوات.

    إشعار

    لا يمكن تصدير Microsoft Azure Sentinel باستخدام قالب. تحتاج إلى Sentinel مخصص لمساحة عمل الهدف.

  6. حدد Deploy من شريط الأدوات لتحرير القالب وإعداده لعملية النشر.

  7. حدد Edit parameters على شريط الأدوات لفتح الملف parameters.json في المحرر عبر الإنترنت.

  8. لتحرير المعلمات، قم بتغيير الخاصية value ضمن parameters . إليك مثال:

    {
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "workspaces_name": {
      "value": "my-workspace-name"
    },
    "workspaceResourceId": {
      "value": "/subscriptions/resource-id/resourceGroups/resource-group-name/providers/Microsoft.OperationalInsights/workspaces/workspace-name"
    },
    "alertName": {
      "value": "my-alert-name"
    },
    "querypacks_name": {
      "value": "my-default-query-pack-name"
    }
  }
}

  9. حدد Save في المحرر.

تحرير القالب

  1. حدد Edit template على شريط الأدوات لفتح الملف template.json في المحرر عبر الإنترنت.

  2. لتحرير المنطقة المستهدفة حيث سيتم نشر مساحة عمل Log Analytics، قم بتغيير الخاصية location الموجودة ضمن resources في المحرر عبر الإنترنت.

    للحصول على رموز موقع المنطقة، راجع موقع البيانات في Azure. التعليمة البرمجية لمنطقة ما هي اسم المنطقة مع عدم وجود مسافات. على سبيل المثال، ستكون وسط الولايات المتحدة كـ centralus.

  3. قم بإزالة موارد الخدمات المرتبطة (microsoft.operationalinsights/workspaces/linkedservices) إذا كانت موجودة في القالب. يجب إعادة تكوين هذه الموارد يدويًا في مساحة العمل الهدف.

    يتضمن قالب المثال التالي مساحة العمل وعمليات البحث المحفوظ والحلول والتنبيهات وحزمة الاستعلام:

    {
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "workspaces_name": {
      "type": "String"
    },
    "workspaceResourceId": {
      "type": "String"
    },
    "alertName": {
      "type": "String"
    },
    "querypacks_name": {
      "type": "String"
    }
  },
  "variables": {},
  "resources": [
    {
      "type": "microsoft.operationalinsights/workspaces",
      "apiVersion": "2020-08-01",
      "name": "[parameters('workspaces_name')]",
      "location": "france central",
      "properties": {
        "sku": {
          "name": "pergb2018"
        },
        "retentionInDays": 30,
        "features": {
          "enableLogAccessUsingOnlyResourcePermissions": true
        },
        "workspaceCapping": {
          "dailyQuotaGb": -1
        },
        "publicNetworkAccessForIngestion": "Enabled",
        "publicNetworkAccessForQuery": "Enabled"
      }
    },
    {
      "type": "Microsoft.OperationalInsights/workspaces/savedSearches",
      "apiVersion": "2020-08-01",
      "name": "[concat(parameters('workspaces_name'), '/2b5112ec-5ad0-5eda-80e9-ad98b51d4aba')]",
      "dependsOn": [
        "[resourceId('Microsoft.OperationalInsights/workspaces', parameters('workspaces_name'))]"
      ],
      "properties": {
        "category": "VM Monitoring",
        "displayName": "List all versions of curl in use",
        "query": "VMProcess\n| where ExecutableName == \"curl\"\n| distinct ProductVersion",
        "tags": [],
        "version": 2
      }
    },
    {
      "type": "Microsoft.OperationsManagement/solutions",
      "apiVersion": "2015-11-01-preview",
      "name": "[concat('Updates(', parameters('workspaces_name'))]",
      "location": "france central",
      "dependsOn": [
        "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name'))]"
      ],
      "plan": {
        "name": "[concat('Updates(', parameters('workspaces_name'))]",
        "promotionCode": "",
        "product": "OMSGallery/Updates",
        "publisher": "Microsoft"
      },
      "properties": {
        "workspaceResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name'))]",
        "containedResources": [
          "[concat(resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name')), '/views/Updates(', parameters('workspaces_name'), ')')]"
        ]
      }
    }
    {
      "type": "Microsoft.OperationsManagement/solutions",
      "apiVersion": "2015-11-01-preview",
      "name": "[concat('VMInsights(', parameters('workspaces_name'))]",
      "location": "france central",
      "plan": {
        "name": "[concat('VMInsights(', parameters('workspaces_name'))]",
        "promotionCode": "",
        "product": "OMSGallery/VMInsights",
        "publisher": "Microsoft"
      },
      "properties": {
        "workspaceResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name'))]",
        "containedResources": [
          "[concat(resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name')), '/views/VMInsights(', parameters('workspaces_name'), ')')]"
        ]
      }
    },
    {
      "type": "microsoft.insights/scheduledqueryrules",
      "apiVersion": "2021-08-01",
      "name": "[parameters('alertName')]",
      "location": "france central",
      "properties": {
        "displayName": "[parameters('alertName')]",
        "severity": 3,
        "enabled": true,
        "evaluationFrequency": "PT5M",
        "scopes": [
          "[parameters('workspaceResourceId')]"
        ],
        "windowSize": "PT15M",
        "criteria": {
          "allOf": [
            {
              "query": "Heartbeat | where computer == 'my computer name'",
              "timeAggregation": "Count",
              "operator": "LessThan",
              "threshold": 14,
              "failingPeriods": {
                "numberOfEvaluationPeriods": 1,
                "minFailingPeriodsToAlert": 1
              }
            }
          ]
        },
        "autoMitigate": true,
        "actions": {}
      }
    },
    {
      "type": "Microsoft.OperationalInsights/querypacks",
      "apiVersion": "2019-09-01-preview",
      "name": "[parameters('querypacks_name')]",
      "location": "francecentral",
      "properties": {}
    },
    {
      "type": "Microsoft.OperationalInsights/querypacks/queries",
      "apiVersion": "2019-09-01-preview",
      "name": "[concat(parameters('querypacks_name'), '/00000000-0000-0000-0000-000000000000')]",
      "dependsOn": [
        "[resourceId('Microsoft.OperationalInsights/querypacks', parameters('querypacks_name'))]"
      ],
      "properties": {
        "displayName": "my-query-name",
        "body": "my-query-text",
        "related": {
          "categories": [],
          "resourceTypes": [
              "microsoft.operationalinsights/workspaces"
          ]
        },
        "tags": {
          "labels": []
        }
      }
    }
  ]
}

  4. حدد Save في المحرر عبر الإنترنت.

إعادة التوزيع

  1. حدد Subscription لاختيار الاشتراك الذي سيتم نشر مساحة العمل الهدف فيه.

  2. حدد Resource group لاختيار مجموعة الموارد التي سيتم نشر مساحة العمل الهدف فيها. يمكنك تحديد Create new لإنشاء مجموعة موارد جديدة لمساحة العمل الهدف.

  3. تحقق من تعيين Region إلى الموقع الهدف حيث تريد نشر مجموعة أمان الشبكة.

  4. حدّد الزر Review + create للتحقق من صحة الإعدادات.

  5. حدد Create لنشر مساحة العمل والموارد المحددة إلى المنطقة المستهدفة.

  6. يتم الآن نشر مساحة العمل الخاصة بك، بما في ذلك الموارد المحددة، في المنطقة المستهدفة. يمكنك إكمال التكوين المتبقي في مساحة العمل الخاص بوظيفة الإقران بمساحة العمل الأصلية.

    • عوامل الاتصال: استخدم أي من الخيارات المتوفرة، بما في ذلك «قواعد تجميع البيانات»، لتكوين العوامل المطلوبة على الأجهزة الظاهرية ومجموعات تغيير حجم الجهاز الظاهري وتحديد مساحة العمل الهدف الجديدة كوجهة.
    • إعدادات التشخيص: تحديث إعدادات التشخيص في الموارد المحددة، مع تحديد مساحة العمل الهدف كوجهة.
    • حلول التثبيت: تتطلب بعض الحلول، مثل Microsoft Azure Sentinel، إجراءات إعداد معينة ولم يتم تضمينها في القالب. ينبغي عليك تخصصيها بشكل منفصل لمساحة العمل الجديدة.
    • تكوين واجهة برمجة التطبيقات لجامع البيانات: تكوين مثيلات واجهة برمجة التطبيقات لجامع البيانات لإرسال البيانات إلى مساحة العمل الهدف.
    • تكوين قواعد التنبيه: عندما لا يتم تصدير التنبيهات في القالب، تحتاج إلى تكوينها يدويًا في مساحة العمل الهدف.

  7. تحقق من عدم تضمين البيانات الجديدة في مساحة العمل الأصلية. قم بتشغيل الاستعلام التالي في مساحة العمل الأصلية ولاحظ عدم وجود أي تضمين بعد الترحيل:

    search *
| where TimeGenerated > ago(12h)
| summarize max(TimeGenerated) by Type

بعد توصيل مصادر البيانات بمساحة العمل الهدف، يتم تخزين البيانات التي تم تضمينها في مساحة العمل الهدف. تبقى البيانات الأقدم في مساحة العمل الأصلية وتخضع لنهج الاستبقاء. يمكنك إجراء استعلام عبر مساحة العمل. إذا تم تعيين الاسم نفسه لكلٍ من مساحتي العمل، استخدم اسم مؤهل (subscriptionName/resourceGroup/componentName في مرجع مساحة العمل.

فيما يلي مثال لاستعلام عبر مساحتي عمل لها الاسم نفسه:

union 
  workspace('subscription-name1/<resource-group-name1/<original-workspace-name>')Update, 
  workspace('subscription-name2/<resource-group-name2/<target-workspace-name>').Update, 
| where TimeGenerated >= ago(1h)
| where UpdateState == "Needed"
| summarize dcount(Computer) by Classification

تجاهل

إذا كنت تريد تجاهل مساحة العمل المصدر أو حذف الموارد التي تم تصديرها أو مجموعة الموارد التي تحتوي على هذه الموارد:

  1. حدد مجموعة الموارد الهدف في مدخل Microsoft Azure.

  2. من صفحة نظرة عامة:

    • إذا قمت بإنشاء مجموعة موارد جديدة لعملية النشر هذه، حدد Delete resource group من شريط الأدوات لحذف مجموعة الموارد.
    • إذا تم نشر القالب إلى مجموعة موارد موجودة، حدد الموارد التي تم نشرها باستخدام القالب، ثم حدد Delete من شريط الأدوات لحذف الموارد المحددة.

تنظيف

بينما يتم تضمين بيانات جديدة في مساحة العمل الجديدة الخاصة بك، تظل البيانات الأقدم في مساحة العمل الأصلية متاحة للاستعلام وتخضع لنهج الاستبقاء المحدد في مساحة العمل. نوصي بالاحتفاظ بمساحة العمل الأصلية طالما تحتاج إلى بيانات قديمة للاستعلام عبر مساحات العمل.

إذا لم تعد بحاجة إلى الوصول إلى البيانات القديمة في مساحة العمل الأصلية:

  1. حدد مجموعة الموارد الأصلية في مدخل Microsoft Azure.
  2. حدد الموارد التي تريد إزالتها، ثم حدد Delete منشريط الأدوات.

المحتوى ذو الصلة