Déplacer Azure Monitor – Espace de travail Log Analytics vers une autre région

Un plan de réinstallation pour l’espace de travail Log Analytics doit inclure le déplacement de toutes les ressources qui journalisation des données avec l’espace de travail Log Analytics.

L’espace de travail Log Analytics ne prend pas en charge la migration en mode natif des données d’espace de travail d’une région vers une autre et des appareils associés. Au lieu de cela, vous devez créer un espace de travail Log Analytics dans la région cible et reconfigurer les appareils et les paramètres dans le nouvel espace de travail.

Le diagramme ci-dessous illustre le modèle de réadressage d’un espace de travail Log Analytics. Les lignes de flux rouge représentent le redéploiement de l’instance cible, ainsi que le déplacement des données et la mise à jour des domaines et des points de terminaison.

Déplacement vers la prise en charge des zones de disponibilité

Les zones de disponibilité Azure sont au moins trois groupes physiquement distincts de centres de données dans chaque région Azure. Les centres de données de chaque zone sont équipés d’une infrastructure réseau, de refroidissement et d’alimentation indépendante. En cas de défaillance de zone locale, les zones de disponibilité sont conçues de telle sorte que si une zone est affectée, les services, la capacité et la haute disponibilité de la région sont pris en charge par les deux autres zones.

Les défaillances sont aussi bien des défaillances logicielles et matérielles que des événements de type tremblements de terre, inondations et incendies. La tolérance aux défaillances est obtenue par la redondance et l’isolation logique des services Azure. Pour obtenir des informations détaillées sur les zones de disponibilité dans Azure, consultez Régions et zones de disponibilité.

Les services Azure compatibles avec les zones de disponibilité sont conçus pour fournir le niveau approprié de fiabilité et de flexibilité. Ils peuvent être configurés de deux façons. Un service peut être redondant interzone, avec une réplication automatique entre les zones, ou zonal, avec des instances épinglées à une zone spécifique. Vous pouvez également combiner ces approches. Pour plus d’informations sur l’architecture zonale et redondante interzone, consultez Recommandations relatives à l’utilisation de zones de disponibilité et de régions.

Si vous souhaitez déplacer votre espace de travail Log Analytics vers une région qui prend en charge les zones de disponibilité :

• Lisez Base de référence de la migration vers des zones de disponibilité Azure pour évaluer l’état des zones de disponibilité de votre charge de travail ou application.
• Suivez les conseils d’aide fournis dans Migrer Log Analytics vers la prise en charge des zones de disponibilité.

Prérequis

• Pour exporter la configuration de l’espace de travail vers un modèle qui peut être déployé dans une autre région, vous devez avoir le rôle Contributeur Log Analytics ou Contributeur d’analyse, ou avoir un rôle ayant des privilèges plus élevés.

• Identifiez toutes les ressources actuellement associées à votre espace de travail, notamment :

  • Agents connectés : Accédez à Journaux dans votre espace de travail et interrogez la table heartbeat pour répertorier les agents connectés.

    Heartbeat
    | summarize by Computer, Category, OSType, _ResourceId
    

  • Paramètres de diagnostic : Les ressources peuvent envoyer des journaux à Diagnostics Azure ou à des tables dédiées dans votre espace de travail. Accédez à Journaux dans votre espace de travail, puis exécutez cette requête pour les ressources qui envoient des données à la table AzureDiagnostics :

    AzureDiagnostics
    | where TimeGenerated > ago(12h)
    | summarize by  ResourceProvider , ResourceType, Resource
    | sort by ResourceProvider, ResourceType
    

    Exécutez cette requête pour les ressources qui envoient des données à des tables dédiées :

    search *
    | where TimeGenerated > ago(12h)
    | where isnotnull(_ResourceId)
    | extend ResourceProvider = split(_ResourceId, '/')[6]
    | where ResourceProvider !in ('microsoft.compute', 'microsoft.security')
    | extend ResourceType = split(_ResourceId, '/')[7]
    | extend Resource = split(_ResourceId, '/')[8]
    | summarize by tostring(ResourceProvider) , tostring(ResourceType), tostring(Resource)
    | sort by ResourceProvider, ResourceType
    

  • Solutions installées : sélectionnez Solutions héritées dans le volet de navigation de l’espace de travail pour obtenir la liste des solutions installées.

  • API de collecte de données : Les données arrivant par le biais d’une API de collecte de données sont stockées dans des tables de journaux personnalisés. Pour obtenir la liste des tables de journaux personnalisés, sélectionnez Journaux dans le volet de navigation de l’espace de travail, puis sélectionnez Journal personnalisé dans le volet du schéma.

  • Services liés : Les espaces de travail peuvent avoir des services liés à des ressources dépendantes telles qu’un compte Azure Automation, un compte de stockage ou un cluster dédié. Supprimez les services liés de votre espace de travail. Reconfigurez-les manuellement dans l’espace de travail cible.

  • Alertes : Pour répertorier les alertes, sélectionnez Alertes dans le volet de navigation de votre espace de travail, puis sélectionnez Gérer les règles d’alerte dans la barre d’outils. Les alertes des espaces de travail créés après le 1er juin 2019 ou des espaces de travail qui ont été mis à niveau de l’API d’alerte Log Analytics vers l’API scheduledQueryRules peuvent être incluses dans le modèle.

    Vous pouvez vérifier si l’API scheduledQueryRules est utilisée pour les alertes dans votre espace de travail. Vous pouvez également configurer manuellement les alertes dans l’espace de travail cible.

  • Packs de requêtes : Un espace de travail peut être associé à plusieurs packs de requêtes. Pour identifier les packs de requêtes dans votre espace de travail, sélectionnez Journaux dans le volet de navigation de l’espace de travail, sélectionnez requêtes dans le volet gauche, puis cliquez sur le bouton de sélection à droite de la zone de recherche. Une boîte de dialogue avec les packs de requêtes sélectionnés s’ouvre à droite. Si vos packs de requêtes se trouvent dans le même groupe de ressources que l’espace de travail que vous déplacez, vous pouvez les inclure dans cette migration.

• Vérifiez que votre abonnement Azure vous permet de créer des espaces de travail Log Analytics dans la région cible.

Temps d’arrêt

Pour comprendre les temps d’arrêt possibles impliqués, consultez Cloud Adoption Framework pour Azure : sélectionnez une méthode de relocalisation.

Préparer

Les procédures suivantes montrent comment préparer l’espace de travail et les ressources pour le déplacement en utilisant un modèle Resource Manager.

Remarque

Toutes les ressources ne peuvent pas être exportées par le biais d’un modèle. Vous devez les configurer séparément après la création de l’espace de travail dans la région cible.

1. Connectez-vous au portail Azure, puis sélectionnez Groupes de ressources.

2. Recherchez le groupe de ressources contenant votre espace de travail et sélectionnez-le.

3. Pour afficher une ressource d’alerte, cochez la case Afficher les types cachés.

4. Sélectionnez le filtre Type. Sélectionnez Espace de travail Log Analytics, Solution, SavedSearches, microsoft.insights/scheduledqueryrules, defaultQueryPack et d’autres ressources liées à l’espace de travail dont vous disposez (par exemple, un compte Automation). Ensuite, sélectionnez Appliquer.

5. Sélectionnez l’espace de travail, les solutions, les recherches enregistrées, les alertes, les packs de requêtes et les autres ressources liées à l’espace de travail dont vous disposez (par exemple, un compte Automation). Sélectionnez ensuite Exporter le modèle dans la barre d’outils.

   Notes

   Microsoft Sentinel ne peut pas être exporté avec un modèle. Vous devez intégrer Sentinel à un espace de travail cible.

6. Sélectionnez Déployer dans la barre d’outils pour modifier et préparer le modèle pour le déploiement.

7. Sélectionnez Modifier les paramètres dans la barre d’outils pour ouvrir le fichier parameters.json dans l’éditeur en ligne.

8. Pour modifier les paramètres, modifiez la propriété value sous parameters. Voici un exemple :

   {
     "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
     "contentVersion": "1.0.0.0",
     "parameters": {
       "workspaces_name": {
         "value": "my-workspace-name"
       },
       "workspaceResourceId": {
         "value": "/subscriptions/resource-id/resourceGroups/resource-group-name/providers/Microsoft.OperationalInsights/workspaces/workspace-name"
       },
       "alertName": {
         "value": "my-alert-name"
       },
       "querypacks_name": {
         "value": "my-default-query-pack-name"
       }
     }
   }
   

9. Sélectionnez Enregistrer dans l’éditeur.

Modifier le modèle

1. Sélectionnez Modifier le modèle dans la barre d’outils pour ouvrir le fichier template.json dans l’éditeur en ligne.

2. Pour modifier la région cible dans laquelle l’espace de travail Log Analytics sera déployé, modifiez la propriété location sous resources dans l’éditeur en ligne.

   Pour obtenir les codes d’emplacement des régions, consultez Résidence des données dans Azure. Le code d’une région est le nom de la région sans espace. Par exemple, Central US (nom de la région USA Centre en anglais) doit être centralus.

3. Supprimez les ressources des services liés (microsoft.operationalinsights/workspaces/linkedservices) si elles sont présentes dans le modèle. Vous devez reconfigurer ces ressources manuellement dans l’espace de travail cible.

   L’exemple de modèle suivant inclut l’espace de travail, la recherche enregistrée, les solutions, l’alerte et le pack de requêtes :

   {
     "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
     "contentVersion": "1.0.0.0",
     "parameters": {
       "workspaces_name": {
         "type": "String"
       },
       "workspaceResourceId": {
         "type": "String"
       },
       "alertName": {
         "type": "String"
       },
       "querypacks_name": {
         "type": "String"
       }
     },
     "variables": {},
     "resources": [
       {
         "type": "microsoft.operationalinsights/workspaces",
         "apiVersion": "2020-08-01",
         "name": "[parameters('workspaces_name')]",
         "location": "france central",
         "properties": {
           "sku": {
             "name": "pergb2018"
           },
           "retentionInDays": 30,
           "features": {
             "enableLogAccessUsingOnlyResourcePermissions": true
           },
           "workspaceCapping": {
             "dailyQuotaGb": -1
           },
           "publicNetworkAccessForIngestion": "Enabled",
           "publicNetworkAccessForQuery": "Enabled"
         }
       },
       {
         "type": "Microsoft.OperationalInsights/workspaces/savedSearches",
         "apiVersion": "2020-08-01",
         "name": "[concat(parameters('workspaces_name'), '/2b5112ec-5ad0-5eda-80e9-ad98b51d4aba')]",
         "dependsOn": [
           "[resourceId('Microsoft.OperationalInsights/workspaces', parameters('workspaces_name'))]"
         ],
         "properties": {
           "category": "VM Monitoring",
           "displayName": "List all versions of curl in use",
           "query": "VMProcess\n| where ExecutableName == \"curl\"\n| distinct ProductVersion",
           "tags": [],
           "version": 2
         }
       },
       {
         "type": "Microsoft.OperationsManagement/solutions",
         "apiVersion": "2015-11-01-preview",
         "name": "[concat('Updates(', parameters('workspaces_name'))]",
         "location": "france central",
         "dependsOn": [
           "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name'))]"
         ],
         "plan": {
           "name": "[concat('Updates(', parameters('workspaces_name'))]",
           "promotionCode": "",
           "product": "OMSGallery/Updates",
           "publisher": "Microsoft"
         },
         "properties": {
           "workspaceResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name'))]",
           "containedResources": [
             "[concat(resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name')), '/views/Updates(', parameters('workspaces_name'), ')')]"
           ]
         }
       }
       {
         "type": "Microsoft.OperationsManagement/solutions",
         "apiVersion": "2015-11-01-preview",
         "name": "[concat('VMInsights(', parameters('workspaces_name'))]",
         "location": "france central",
         "plan": {
           "name": "[concat('VMInsights(', parameters('workspaces_name'))]",
           "promotionCode": "",
           "product": "OMSGallery/VMInsights",
           "publisher": "Microsoft"
         },
         "properties": {
           "workspaceResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name'))]",
           "containedResources": [
             "[concat(resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name')), '/views/VMInsights(', parameters('workspaces_name'), ')')]"
           ]
         }
       },
       {
         "type": "microsoft.insights/scheduledqueryrules",
         "apiVersion": "2021-08-01",
         "name": "[parameters('alertName')]",
         "location": "france central",
         "properties": {
           "displayName": "[parameters('alertName')]",
           "severity": 3,
           "enabled": true,
           "evaluationFrequency": "PT5M",
           "scopes": [
             "[parameters('workspaceResourceId')]"
           ],
           "windowSize": "PT15M",
           "criteria": {
             "allOf": [
               {
                 "query": "Heartbeat | where computer == 'my computer name'",
                 "timeAggregation": "Count",
                 "operator": "LessThan",
                 "threshold": 14,
                 "failingPeriods": {
                   "numberOfEvaluationPeriods": 1,
                   "minFailingPeriodsToAlert": 1
                 }
               }
             ]
           },
           "autoMitigate": true,
           "actions": {}
         }
       },
       {
         "type": "Microsoft.OperationalInsights/querypacks",
         "apiVersion": "2019-09-01-preview",
         "name": "[parameters('querypacks_name')]",
         "location": "francecentral",
         "properties": {}
       },
       {
         "type": "Microsoft.OperationalInsights/querypacks/queries",
         "apiVersion": "2019-09-01-preview",
         "name": "[concat(parameters('querypacks_name'), '/00000000-0000-0000-0000-000000000000')]",
         "dependsOn": [
           "[resourceId('Microsoft.OperationalInsights/querypacks', parameters('querypacks_name'))]"
         ],
         "properties": {
           "displayName": "my-query-name",
           "body": "my-query-text",
           "related": {
             "categories": [],
             "resourceTypes": [
                 "microsoft.operationalinsights/workspaces"
             ]
           },
           "tags": {
             "labels": []
           }
         }
       }
     ]
   }
   

4. Sélectionnez Enregistrer dans l’éditeur en ligne.

Redeploy

1. Sélectionnez Abonnement pour choisir l’abonnement dans lequel l’espace de travail cible sera déployé.

2. Sélectionnez Groupe de ressources pour choisir le groupe de ressources dans lequel l’espace de travail cible sera déployé. Vous pouvez sélectionner Créer nouveau pour créer un groupe de ressources pour l’espace de travail cible.

3. Vérifiez que le paramètre Région est défini sur l’emplacement cible où vous voulez déployer le groupe de sécurité réseau.

4. Sélectionnez le bouton Vérifier + créer pour vérifier votre modèle.

5. Sélectionnez Créer pour déployer l’espace de travail et la ressource sélectionnée dans la région cible.

6. Votre espace de travail, y compris les ressources sélectionnées, est maintenant déployé dans la région cible. Vous pouvez terminer la configuration restante dans l’espace de travail pour jumeler les fonctionnalités avec celles de l’espace de travail d’origine.

   • Connecter des agents : Utilisez l’une des options disponibles, notamment Règles de collecte de données, pour configurer les agents requis sur les machines virtuelles et les groupes de machines virtuelles identiques et pour spécifier le nouvel espace de travail cible comme destination.
   • Paramètres de diagnostic : Mettez à jour les paramètres de diagnostic dans les ressources identifiées, avec l’espace de travail cible comme destination.
   • Installer des solutions : Certaines solutions, comme Microsoft Sentinel, nécessitent des procédures d’intégration particulières et n’ont pas été incluses dans le modèle. Vous devez les intégrer séparément au nouvel espace de travail.
   • Configurer l’API de collecte de données : Configurez les instances de l’API de collecte de données pour envoyer des données à l’espace de travail cible.
   • Configurer des règles d’alerte : Lorsque les alertes ne sont pas exportées dans le modèle, vous devez les configurer manuellement dans l’espace de travail cible.

7. Vérifiez que les nouvelles données ne sont pas ingérées dans l’espace de travail d’origine. Exécutez la requête suivante dans votre espace de travail d’origine, et observez qu’il n’y a pas d’ingestion après la migration :

   search *
   | where TimeGenerated > ago(12h)
   | summarize max(TimeGenerated) by Type
   

Une fois les sources de données connectées à l’espace de travail cible, les données ingérées sont stockées dans l’espace de travail cible. Les anciennes données restent dans l’espace de travail d’origine et sont soumises à la stratégie de rétention. Vous pouvez effectuer une requête sur plusieurs espaces de travail. Si les deux espaces de travail ont reçu le même nom, utilisez un nom qualifié (subscriptionName/resourceGroup/componentName) dans la référence de l’espace de travail.

Voici un exemple de requête sur deux espaces de travail portant le même nom :

union 
  workspace('subscription-name1/<resource-group-name1/<original-workspace-name>')Update, 
  workspace('subscription-name2/<resource-group-name2/<target-workspace-name>').Update, 
| where TimeGenerated >= ago(1h)
| where UpdateState == "Needed"
| summarize dcount(Computer) by Classification

Abandonner

Si vous souhaitez abandonner l’espace de travail source, supprimez les ressources exportées ou le groupe de ressources qui les contient :

1. Sélectionnez le groupe de ressources cible dans le portail Azure.

2. Sur la page Vue d’ensemble :

   • Si vous avez créé un nouveau groupe de ressources pour ce déploiement, sélectionnez Supprimer le groupe de ressources dans la barre d’outils pour supprimer le groupe de ressources.
   • Si le modèle a été déployé dans un groupe de ressources existant, sélectionnez les ressources qui ont été déployées avec le modèle, puis sélectionnez Supprimer dans la barre d’outils pour supprimer les ressources sélectionnées.

Nettoyage

Alors que les nouvelles données sont ingérées dans votre nouvel espace de travail, les anciennes données de l’espace de travail d’origine restent disponibles pour les requêtes et sont soumises à la stratégie de rétention définie dans l’espace de travail. Nous vous recommandons de conserver l’espace de travail d’origine aussi longtemps que vous aurez besoin des anciennes données pour interroger plusieurs espaces de travail.

Si vous n’avez plus besoin d’accéder aux anciennes données de l’espace de travail d’origine :

1. Sélectionnez le groupe de ressources d’origine dans le portail Azure.
2. Sélectionnez toutes les ressources que vous souhaitez supprimer, puis sélectionnez Supprimer dans la barre d’outils.

Contenu connexe

• Déplacer des ressources vers un nouveau groupe de ressource ou un nouvel abonnement

• Déplacer des machines virtuelles Azure vers une autre région