Přemístění služby Azure Monitor – Pracovní prostor Služby Log Analytics do jiné oblasti

Plán přemístění pro pracovní prostor služby Log Analytics musí zahrnovat přemístění všech prostředků, které protokoluje data s pracovním prostorem služby Log Analytics.

Pracovní prostor služby Log Analytics nativně nepodporuje migraci dat pracovního prostoru z jedné oblasti do jiné a přidružených zařízení. Místo toho musíte vytvořit nový pracovní prostor služby Log Analytics v cílové oblasti a znovu nakonfigurovat zařízení a nastavení v novém pracovním prostoru.

Následující diagram znázorňuje model přemístění pracovního prostoru služby Log Analytics. Červené toky představují opětovné nasazení cílové instance spolu s přesunem dat a aktualizací domén a koncových bodů.

Přemístění do podpory zóny dostupnosti

Zóny dostupnosti Azure jsou aspoň tři fyzicky oddělené skupiny datacenter v rámci každé oblasti Azure. Datová centra v každé zóně jsou vybavena nezávislou infrastrukturou napájení, chlazení a sítě. V případě selhání místní zóny jsou zóny dostupnosti navrženy tak, aby v případě ovlivnění jedné zóny, regionální služby, kapacity a vysoké dostupnosti podporovaly zbývající dvě zóny.

Selhání můžou být v rozsahu od selhání softwaru a hardwaru až po události, jako jsou zemětřesení, záplavy a požáry. Odolnost vůči selháním se dosahuje redundancí a logickou izolací služeb Azure. Podrobnější informace o zónách dostupnosti v Azure najdete v tématu Oblasti a zóny dostupnosti.

Služby s podporou zón dostupnosti Azure jsou navržené tak, aby poskytovaly správnou úroveň spolehlivosti a flexibility. Dají se nakonfigurovat dvěma způsoby. Můžou být buď zónově redundantní, s automatickou replikací napříč zónami, nebo zónově, s instancemi připnutými ke konkrétní zóně. Tyto přístupy můžete také kombinovat. Další informace o zónové a zónově redundantní architektuře najdete v tématu Doporučení pro použití zón dostupnosti a oblastí.

Pokud chcete přemístit pracovní prostor služby Log Analytics do oblasti, která podporuje zóny dostupnosti:

• Přečtěte si směrný plán migrace zóny dostupnosti Azure a vyhodnoťte připravenost vaší úlohy nebo aplikace na zónu dostupnosti.
• Postupujte podle pokynů v migraci Log Analytics na podporu zón dostupnosti.

Požadavky

• Pokud chcete exportovat konfiguraci pracovního prostoru do šablony, kterou je možné nasadit do jiné oblasti, potřebujete roli Přispěvatel log Analytics nebo Přispěvatel monitorování nebo vyšší.

• Identifikujte všechny prostředky, které jsou aktuálně přidružené k vašemu pracovnímu prostoru, včetně následujících:

  • Připojení agenti: Zadejte do pracovního prostoru protokoly a dotazujte se na tabulku prezenčních signálů, aby se vypsal seznam připojených agentů.

    Heartbeat
    | summarize by Computer, Category, OSType, _ResourceId
    

  • Nastavení diagnostiky: Prostředky můžou odesílat protokoly do azure Diagnostics nebo vyhrazených tabulek ve vašem pracovním prostoru. Zadejte do pracovního prostoru protokoly a spusťte tento dotaz na prostředky, které odesílají data do AzureDiagnostics tabulky:

    AzureDiagnostics
    | where TimeGenerated > ago(12h)
    | summarize by  ResourceProvider , ResourceType, Resource
    | sort by ResourceProvider, ResourceType
    

    Spusťte tento dotaz na prostředky, které odesílají data do vyhrazených tabulek:

    search *
    | where TimeGenerated > ago(12h)
    | where isnotnull(_ResourceId)
    | extend ResourceProvider = split(_ResourceId, '/')[6]
    | where ResourceProvider !in ('microsoft.compute', 'microsoft.security')
    | extend ResourceType = split(_ResourceId, '/')[7]
    | extend Resource = split(_ResourceId, '/')[8]
    | summarize by tostring(ResourceProvider) , tostring(ResourceType), tostring(Resource)
    | sort by ResourceProvider, ResourceType
    

  • Nainstalovaná řešení: V navigačním podokně pracovního prostoru vyberte starší řešení pro seznam nainstalovaných řešení.

  • Rozhraní API kolektoru dat: Data přicházející prostřednictvím rozhraní API kolektoru dat se ukládají do vlastních tabulek protokolů. Seznam vlastních tabulek protokolů zobrazíte tak, že v navigačním podokně pracovního prostoru vyberete Protokoly a pak v podokně schématu vyberete Vlastní protokol .

  • Propojené služby: Pracovní prostory můžou mít propojené služby se závislými prostředky, jako je účet Azure Automation, účet úložiště nebo vyhrazený cluster. Odeberte z pracovního prostoru propojené služby. Překonfigurujte je ručně v cílovém pracovním prostoru.

  • Výstrahy: Chcete-li zobrazit seznam výstrah, vyberte v navigačním podokně pracovního prostoru výstrahy a pak na panelu nástrojů vyberte Spravovat pravidla upozornění. Výstrahy v pracovních prostorech vytvořených po 1. červnu 2019 nebo v pracovních prostorech, které byly upgradovány z rozhraní API upozornění Log Analytics na naplánované rozhraní API pro dotazyQueryRules, je možné zahrnout do šablony.

    Můžete zkontrolovat, jestli se pro upozornění ve vašem pracovním prostoru používá rozhraní API scheduledQueryRules. Případně můžete upozornění nakonfigurovat ručně v cílovém pracovním prostoru.

  • Balíčky dotazů: Pracovní prostor je možné přidružit k více balíčkům dotazů. Pokud chcete identifikovat balíčky dotazů v pracovním prostoru, vyberte v navigačním podokně pracovního prostoru protokoly , vyberte dotazy v levém podokně a pak vyberte tři tečky napravo od vyhledávacího pole. Vpravo se otevře dialogové okno s vybranými balíčky dotazů. Pokud jsou balíčky dotazů ve stejné skupině prostředků jako pracovní prostor, který přesouváte, můžete je do této migrace zahrnout.

• Ověřte, že vaše předplatné Azure umožňuje vytvářet pracovní prostory služby Log Analytics v cílové oblasti.

Odstávka

Informace o možných výpadkech najdete v tématu Architektura přechodu na cloud pro Azure: Výběr metody přemístění.

Příprava

Následující postupy ukazují, jak připravit pracovní prostor a prostředky pro přesun pomocí šablony Resource Manageru.

Poznámka:

Ne všechny prostředky je možné exportovat prostřednictvím šablony. Po vytvoření pracovního prostoru v cílové oblasti je potřeba je nakonfigurovat samostatně.

1. Přihlaste se k webu Azure Portal a vyberte Skupiny prostředků.

2. Najděte skupinu prostředků, která obsahuje váš pracovní prostor, a vyberte ji.

3. Pokud chcete zobrazit prostředek upozornění, zaškrtněte políčko Zobrazit skryté typy .

4. Vyberte filtr Typ. Vyberte pracovní prostor Služby Log Analytics, Řešení, SavedSearches, microsoft.insights/scheduledqueryrules, defaultQueryPack a další prostředky související s pracovním prostorem (například účet Automation). Potom vyberte Použít.

5. Vyberte pracovní prostor, řešení, uložená hledání, upozornění, balíčky dotazů a další prostředky související s pracovním prostorem (například účet Automation). Pak na panelu nástrojů vyberte Exportovat šablonu .

   Poznámka:

   Microsoft Sentinel nejde exportovat pomocí šablony. Sentinel musíte připojit k cílovému pracovnímu prostoru.

6. Výběrem možnosti Nasadit na panelu nástrojů upravte a připravte šablonu pro nasazení.

7. Výběrem možnosti Upravit parametry na panelu nástrojů otevřete soubor parameters.json v online editoru.

8. Chcete-li upravit parametry, změňte value vlastnost v části parameters. Tady je příklad:

   {
     "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
     "contentVersion": "1.0.0.0",
     "parameters": {
       "workspaces_name": {
         "value": "my-workspace-name"
       },
       "workspaceResourceId": {
         "value": "/subscriptions/resource-id/resourceGroups/resource-group-name/providers/Microsoft.OperationalInsights/workspaces/workspace-name"
       },
       "alertName": {
         "value": "my-alert-name"
       },
       "querypacks_name": {
         "value": "my-default-query-pack-name"
       }
     }
   }
   

9. V editoru vyberte Uložit .

Úprava šablony

1. Výběrem možnosti Upravit šablonu na panelu nástrojů otevřete soubor template.json v online editoru.

2. Pokud chcete upravit cílovou oblast, ve které se nasadí pracovní prostor služby Log Analytics, změňte location vlastnost resources v online editoru.

   Pokud chcete získat kódy umístění oblastí, přečtěte si téma Rezidence dat v Azure. Kód oblasti je název oblasti bez mezer. Například usa – střed by měly být centralus.

3. Odeberte prostředky propojených služeb (microsoft.operationalinsights/workspaces/linkedservices), pokud jsou v šabloně. Tyto prostředky byste měli překonfigurovat ručně v cílovém pracovním prostoru.

   Následující příklad šablony obsahuje pracovní prostor, uložené vyhledávání, řešení, upozornění a balíček dotazů:

   {
     "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
     "contentVersion": "1.0.0.0",
     "parameters": {
       "workspaces_name": {
         "type": "String"
       },
       "workspaceResourceId": {
         "type": "String"
       },
       "alertName": {
         "type": "String"
       },
       "querypacks_name": {
         "type": "String"
       }
     },
     "variables": {},
     "resources": [
       {
         "type": "microsoft.operationalinsights/workspaces",
         "apiVersion": "2020-08-01",
         "name": "[parameters('workspaces_name')]",
         "location": "france central",
         "properties": {
           "sku": {
             "name": "pergb2018"
           },
           "retentionInDays": 30,
           "features": {
             "enableLogAccessUsingOnlyResourcePermissions": true
           },
           "workspaceCapping": {
             "dailyQuotaGb": -1
           },
           "publicNetworkAccessForIngestion": "Enabled",
           "publicNetworkAccessForQuery": "Enabled"
         }
       },
       {
         "type": "Microsoft.OperationalInsights/workspaces/savedSearches",
         "apiVersion": "2020-08-01",
         "name": "[concat(parameters('workspaces_name'), '/2b5112ec-5ad0-5eda-80e9-ad98b51d4aba')]",
         "dependsOn": [
           "[resourceId('Microsoft.OperationalInsights/workspaces', parameters('workspaces_name'))]"
         ],
         "properties": {
           "category": "VM Monitoring",
           "displayName": "List all versions of curl in use",
           "query": "VMProcess\n| where ExecutableName == \"curl\"\n| distinct ProductVersion",
           "tags": [],
           "version": 2
         }
       },
       {
         "type": "Microsoft.OperationsManagement/solutions",
         "apiVersion": "2015-11-01-preview",
         "name": "[concat('Updates(', parameters('workspaces_name'))]",
         "location": "france central",
         "dependsOn": [
           "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name'))]"
         ],
         "plan": {
           "name": "[concat('Updates(', parameters('workspaces_name'))]",
           "promotionCode": "",
           "product": "OMSGallery/Updates",
           "publisher": "Microsoft"
         },
         "properties": {
           "workspaceResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name'))]",
           "containedResources": [
             "[concat(resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name')), '/views/Updates(', parameters('workspaces_name'), ')')]"
           ]
         }
       }
       {
         "type": "Microsoft.OperationsManagement/solutions",
         "apiVersion": "2015-11-01-preview",
         "name": "[concat('VMInsights(', parameters('workspaces_name'))]",
         "location": "france central",
         "plan": {
           "name": "[concat('VMInsights(', parameters('workspaces_name'))]",
           "promotionCode": "",
           "product": "OMSGallery/VMInsights",
           "publisher": "Microsoft"
         },
         "properties": {
           "workspaceResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name'))]",
           "containedResources": [
             "[concat(resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name')), '/views/VMInsights(', parameters('workspaces_name'), ')')]"
           ]
         }
       },
       {
         "type": "microsoft.insights/scheduledqueryrules",
         "apiVersion": "2021-08-01",
         "name": "[parameters('alertName')]",
         "location": "france central",
         "properties": {
           "displayName": "[parameters('alertName')]",
           "severity": 3,
           "enabled": true,
           "evaluationFrequency": "PT5M",
           "scopes": [
             "[parameters('workspaceResourceId')]"
           ],
           "windowSize": "PT15M",
           "criteria": {
             "allOf": [
               {
                 "query": "Heartbeat | where computer == 'my computer name'",
                 "timeAggregation": "Count",
                 "operator": "LessThan",
                 "threshold": 14,
                 "failingPeriods": {
                   "numberOfEvaluationPeriods": 1,
                   "minFailingPeriodsToAlert": 1
                 }
               }
             ]
           },
           "autoMitigate": true,
           "actions": {}
         }
       },
       {
         "type": "Microsoft.OperationalInsights/querypacks",
         "apiVersion": "2019-09-01-preview",
         "name": "[parameters('querypacks_name')]",
         "location": "francecentral",
         "properties": {}
       },
       {
         "type": "Microsoft.OperationalInsights/querypacks/queries",
         "apiVersion": "2019-09-01-preview",
         "name": "[concat(parameters('querypacks_name'), '/00000000-0000-0000-0000-000000000000')]",
         "dependsOn": [
           "[resourceId('Microsoft.OperationalInsights/querypacks', parameters('querypacks_name'))]"
         ],
         "properties": {
           "displayName": "my-query-name",
           "body": "my-query-text",
           "related": {
             "categories": [],
             "resourceTypes": [
                 "microsoft.operationalinsights/workspaces"
             ]
           },
           "tags": {
             "labels": []
           }
         }
       }
     ]
   }
   

4. V online editoru vyberte Uložit .

Opětovné nasazení

1. Vyberte Předplatné a zvolte předplatné, ve kterém se bude cílový pracovní prostor nasazovat.

2. Vyberte skupinu prostředků a zvolte skupinu prostředků, do které se nasadí cílový pracovní prostor. Výběrem možnosti Vytvořit nový můžete vytvořit novou skupinu prostředků pro cílový pracovní prostor.

3. Ověřte, že je oblast nastavená na cílové umístění, kam chcete nasadit skupinu zabezpečení sítě.

4. Vyberte tlačítko Zkontrolovat a vytvořit a ověřte šablonu.

5. Výběrem možnosti Vytvořit nasadíte pracovní prostor a vybraný prostředek do cílové oblasti.

6. Váš pracovní prostor, včetně vybraných prostředků, je teď nasazený v cílové oblasti. Zbývající konfiguraci v pracovním prostoru můžete dokončit pro paring funkčnosti do původního pracovního prostoru.

   • Připojení agenti: Použijte některou z dostupných možností, včetně pravidel shromažďování dat, ke konfiguraci požadovaných agentů na virtuálních počítačích a škálovacích sadách virtuálních počítačů a k určení nového cílového pracovního prostoru jako cíle.
   • Nastavení diagnostiky: Aktualizujte nastavení diagnostiky v identifikovaných prostředcích s cílovým pracovním prostorem jako cílem.
   • Instalace řešení: Některá řešení, jako je Microsoft Sentinel, vyžadují určité postupy onboardingu a nebyly součástí šablony. Měli byste je připojit samostatně k novému pracovnímu prostoru.
   • Nakonfigurujte rozhraní API kolektoru dat: Nakonfigurujte instance rozhraní API kolektoru dat tak, aby odesílaly data do cílového pracovního prostoru.
   • Konfigurovat pravidla upozornění: Pokud se upozornění v šabloně neexportují, musíte je nakonfigurovat ručně v cílovém pracovním prostoru.

7. Ověřte, že se nová data neingestují do původního pracovního prostoru. V původním pracovním prostoru spusťte následující dotaz a všimněte si, že po migraci nedochází k žádnému příjmu dat:

   search *
   | where TimeGenerated > ago(12h)
   | summarize max(TimeGenerated) by Type
   

Po připojení zdrojů dat k cílovému pracovnímu prostoru se ingestovaná data ukládají do cílového pracovního prostoru. Starší data zůstávají v původním pracovním prostoru a podléhají zásadám uchovávání informací. Můžete provést dotaz mezi pracovními prostory. Pokud byly oba pracovní prostory přiřazeny stejnému názvu, použijte v odkazu na pracovní prostor kvalifikovaný název (subscriptionName/resourceGroup/componentName).

Tady je příklad dotazu ve dvou pracovních prostorech se stejným názvem:

union 
  workspace('subscription-name1/<resource-group-name1/<original-workspace-name>')Update, 
  workspace('subscription-name2/<resource-group-name2/<target-workspace-name>').Update, 
| where TimeGenerated >= ago(1h)
| where UpdateState == "Needed"
| summarize dcount(Computer) by Classification

Zahodit

Pokud chcete zdrojový pracovní prostor zahodit, odstraňte exportované prostředky nebo skupinu prostředků, která obsahuje tyto prostředky:

1. Na webu Azure Portal vyberte cílovou skupinu prostředků.

2. Na stránce Přehled:

   • Pokud jste pro toto nasazení vytvořili novou skupinu prostředků, odstraňte skupinu prostředků výběrem možnosti Odstranit skupinu prostředků na panelu nástrojů.
   • Pokud byla šablona nasazena do existující skupiny prostředků, vyberte prostředky nasazené pomocí šablony a pak vyberte Odstranit na panelu nástrojů a odstraňte vybrané prostředky.

Vyčištění

Zatímco se do nového pracovního prostoru ingestují nová data, starší data v původním pracovním prostoru zůstanou k dispozici pro dotazy a podléhají zásadám uchovávání informací definovaným v pracovním prostoru. Doporučujeme zachovat původní pracovní prostor tak dlouho, dokud potřebujete starší data k dotazování napříč pracovními prostory.

Pokud už nepotřebujete přístup ke starším datům v původním pracovním prostoru:

1. Na webu Azure Portal vyberte původní skupinu prostředků.
2. Vyberte všechny prostředky, které chcete odebrat, a pak na panelu nástrojů vyberte Odstranit .

Související obsah

• Přesunutí prostředků do nové skupiny prostředků nebo předplatného

• Přesun virtuálních počítačů Azure do jiné oblasti