Az Azure Monitor áthelyezése – Log Analytics-munkaterület egy másik régióba

Különböző helyzetekben érdemes lehet áthelyezni a meglévő Azure-erőforrásokat egyik régióból a másikba. Ilyenek például a kezelhetőség, a cégirányítási okok, vagy a cégegyesítések és a felvásárlások.

A Log Analytics-munkaterület áthelyezési tervének tartalmaznia kell minden olyan erőforrás áthelyezését, amely naplózza az adatokat a Log Analytics-munkaterülettel.

A Log Analytics-munkaterület natív módon nem támogatja a munkaterület adatainak áttelepítését egyik régióból a másikba és a társított eszközökre. Ehelyett létre kell hoznia egy új Log Analytics-munkaterületet a célrégióban, és újra kell konfigurálnia az eszközöket és beállításokat az új munkaterületen.

Az alábbi ábra egy Log Analytics-munkaterület áthelyezési mintáját mutatja be. A vörös áramlási vonalak a célpéldány ismételt üzembe helyezését, valamint a tartományok és végpontok áthelyezését és frissítését jelölik.

Áthelyezés a rendelkezésre állási zónába támogatás

Az Azure rendelkezésre állási zónái legalább három fizikailag különálló adatközpont-csoport az egyes Azure-régiókban. Az egyes zónákban lévő adatközpontok független energiaellátási, hűtési és hálózati infrastruktúrával rendelkeznek. Helyi zónahiba esetén a rendelkezésre állási zónák úgy vannak kialakítva, hogy az egy zóna érintettsége esetén a fennmaradó két zóna támogassa a regionális szolgáltatásokat, a kapacitást és a magas rendelkezésre állást.

A hibák a szoftver- és hardverhibáktól az olyan eseményekig terjedhetnek, mint a földrengések, árvizek és tűzesetek. A hibáktól való tolerancia az Azure-szolgáltatások redundanciával és logikai elkülönítésével érhető el. Az Azure-beli rendelkezésre állási zónákkal kapcsolatos részletesebb információkért tekintse meg a Régiók és a rendelkezésre állási zónák című témakört.

Az Azure rendelkezésre állási zónákkal kompatibilis szolgáltatások a megfelelő megbízhatósági és rugalmassági szintet biztosítják. Ezek kétféleképpen konfigurálhatók. Ezek lehetnek zónaredundánsak, a zónák közötti automatikus replikációval vagy a zónák közötti automatikus replikációval, egy adott zónába rögzített példányokkal. Ezeket a megközelítéseket kombinálhatja is. A zónaredundáns és a zónaredundáns architektúráról további információt a rendelkezésre állási zónák és régiók használatára vonatkozó javaslatok című témakörben talál.

Ha a Log Analytics-munkaterületet olyan régióba szeretné áthelyezni, amely támogatja a rendelkezésre állási zónákat:

• Olvassa el az Azure rendelkezésre állási zónák migrálási alapkonfigurációját a számítási feladat vagy alkalmazás rendelkezésre állási zónájának készültségének felméréséhez.
• Kövesse a Log Analytics migrálásával kapcsolatos útmutatást a rendelkezésre állási zónák támogatásához.

Előfeltételek

• Ha egy másik régióban üzembe helyezhető sablonba szeretné exportálni a munkaterület konfigurációját, a Log Analytics közreműködői vagy figyelési közreműködői szerepkörére van szükség, vagy annál magasabb szintűre.

• Azonosítsa a munkaterülethez jelenleg társított összes erőforrást, beleértve a következőket:

  • Csatlakoztatott ügynökök: Adja meg a naplókat a munkaterületen, és lekérdez egy szívverési táblát a csatlakoztatott ügynökök listázásához.

    Heartbeat
    | summarize by Computer, Category, OSType, _ResourceId
    

  • Diagnosztikai beállítások: Az erőforrások naplókat küldhetnek az Azure Diagnosticsnak vagy a munkaterület dedikált tábláinak. Írja be a naplókat a munkaterületen, és futtassa ezt a lekérdezést a AzureDiagnostics táblába adatokat küldő erőforrásokhoz:

    AzureDiagnostics
    | where TimeGenerated > ago(12h)
    | summarize by  ResourceProvider , ResourceType, Resource
    | sort by ResourceProvider, ResourceType
    

    Futtassa ezt a lekérdezést olyan erőforrásokhoz, amelyek dedikált táblákba küldenek adatokat:

    search *
    | where TimeGenerated > ago(12h)
    | where isnotnull(_ResourceId)
    | extend ResourceProvider = split(_ResourceId, '/')[6]
    | where ResourceProvider !in ('microsoft.compute', 'microsoft.security')
    | extend ResourceType = split(_ResourceId, '/')[7]
    | extend Resource = split(_ResourceId, '/')[8]
    | summarize by tostring(ResourceProvider) , tostring(ResourceType), tostring(Resource)
    | sort by ResourceProvider, ResourceType
    

  • Telepített megoldások: A munkaterület navigációs paneljén válassza ki az örökölt megoldásokat a telepített megoldások listájához.

  • Adatgyűjtő API: A Data Collector API-val érkező adatokat egyéni naplótáblák tárolják. Az egyéni naplótáblák listájához válassza a Munkaterület navigációs ablakában a Naplók lehetőséget, majd válassza az Egyéni napló lehetőséget a sémapanelen.

  • Társított szolgáltatások: A munkaterületek függő erőforrásokhoz, például Azure Automation-fiókhoz, tárfiókhoz vagy dedikált fürthöz kapcsolódó szolgáltatásokkal rendelkezhetnek. A társított szolgáltatások eltávolítása a munkaterületről. Manuálisan konfigurálja újra őket a cél-munkaterületen.

  • Riasztások: A riasztások listázásához válassza a Riasztások lehetőséget a munkaterület navigációs paneljén, majd válassza a Riasztási szabályok kezelése lehetőséget az eszköztáron. A sablon tartalmazhat riasztásokat a 2019. június 1. után létrehozott munkaterületeken vagy a Log Analytics Alert API-ról az ütemezettQueryRules API-ra frissített munkaterületeken.

    Ellenőrizheti, hogy az ütemezettQueryRules API-t használja-e a munkaterület riasztásaihoz. Másik lehetőségként manuálisan is konfigurálhatja a riasztásokat a célmunkaterületen.

  • Lekérdezéscsomagok: Egy munkaterület több lekérdezéscsomaghoz is társítható. A munkaterületen található lekérdezéscsomagok azonosításához válassza a Munkaterület navigációs paneljén a Naplók lehetőséget, válassza ki a lekérdezéseket a bal oldali panelen, majd válassza a keresőmező jobb oldalán található három pontot. A jobb oldalon megnyílik egy párbeszédpanel a kiválasztott lekérdezéscsomagokkal. Ha a lekérdezéscsomagok ugyanabban az erőforráscsoportban vannak, mint az áthelyezett munkaterület, az áttelepítésbe belefoglalhatja.

• Ellenőrizze, hogy az Azure-előfizetése lehetővé teszi-e Log Analytics-munkaterületek létrehozását a célrégióban.

Leállás

A lehetséges állásidők megismeréséhez tekintse meg az Azure felhőadaptálási keretrendszer: Áthelyezési módszer kiválasztása című témakört.

Előkészítés

Az alábbi eljárások azt mutatják be, hogyan készítheti elő a munkaterületet és az erőforrásokat az áthelyezéshez Egy Resource Manager-sablon használatával.

Feljegyzés

Nem minden erőforrás exportálható sablonon keresztül. Ezeket külön kell konfigurálnia, miután a munkaterület létrejött a célrégióban.

1. Jelentkezzen be az Azure Portalra, majd válassza az Erőforráscsoportok lehetőséget.

2. Keresse meg a munkaterületet tartalmazó erőforráscsoportot, és jelölje ki.

3. Riasztási erőforrás megtekintéséhez jelölje be a Rejtett típusok megjelenítése jelölőnégyzetet.

4. Válassza ki a Típus szűrőt. Válassza a Log Analytics-munkaterület, a Megoldás, a SavedSearches, a microsoft.insights/scheduledqueryrules, a defaultQueryPack és más munkaterülethez kapcsolódó erőforrások (például egy Automation-fiók) kiválasztását. Ezután válassza az Alkalmaz lehetőséget.

5. Válassza ki a munkaterületet, a megoldásokat, a mentett kereséseket, a riasztásokat, a lekérdezéscsomagokat és a munkaterülethez kapcsolódó egyéb erőforrásokat (például egy Automation-fiókot). Ezután válassza a Sablon exportálása lehetőséget az eszköztáron.

   Feljegyzés

   A Microsoft Sentinel nem exportálható sablonnal. A Sentinelt egy cél-munkaterületre kell előkészítenie.

6. Válassza az Eszköztár Üzembe helyezés elemét a sablon szerkesztéséhez és üzembe helyezéséhez való előkészítéséhez.

7. Válassza a Paraméterek szerkesztése lehetőséget az eszköztáron a parameters.json fájl online szerkesztőben való megnyitásához.

8. A paraméterek szerkesztéséhez módosítsa a tulajdonságot a value következő alatt parameters: . Példa:

   {
     "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
     "contentVersion": "1.0.0.0",
     "parameters": {
       "workspaces_name": {
         "value": "my-workspace-name"
       },
       "workspaceResourceId": {
         "value": "/subscriptions/resource-id/resourceGroups/resource-group-name/providers/Microsoft.OperationalInsights/workspaces/workspace-name"
       },
       "alertName": {
         "value": "my-alert-name"
       },
       "querypacks_name": {
         "value": "my-default-query-pack-name"
       }
     }
   }
   

9. Válassza a Mentés lehetőséget a szerkesztőben.

A sablon szerkesztése

1. Válassza a Sablon szerkesztése lehetőséget az eszköztáron a template.json fájl online szerkesztőben való megnyitásához.

2. A Log Analytics-munkaterületet üzembe helyező célrégió szerkesztéséhez módosítsa a location tulajdonságot resources az online szerkesztőben.

   A régió helykódjainak lekéréséhez tekintse meg az Azure-beli adattárolást. A régió kódja a szóközök nélküli régiónév. Az USA középső régiójának például a következőnek kell lenniecentralus: .

3. Távolítsa el a csatolt szolgáltatások erőforrásait (microsoft.operationalinsights/workspaces/linkedservices), ha szerepelnek a sablonban. Ezeket az erőforrásokat manuálisan kell újrakonfigurálni a cél-munkaterületen.

   Az alábbi példasablon tartalmazza a munkaterületet, a mentett keresést, a megoldásokat, a riasztásokat és a lekérdezéscsomagot:

   {
     "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
     "contentVersion": "1.0.0.0",
     "parameters": {
       "workspaces_name": {
         "type": "String"
       },
       "workspaceResourceId": {
         "type": "String"
       },
       "alertName": {
         "type": "String"
       },
       "querypacks_name": {
         "type": "String"
       }
     },
     "variables": {},
     "resources": [
       {
         "type": "microsoft.operationalinsights/workspaces",
         "apiVersion": "2020-08-01",
         "name": "[parameters('workspaces_name')]",
         "location": "france central",
         "properties": {
           "sku": {
             "name": "pergb2018"
           },
           "retentionInDays": 30,
           "features": {
             "enableLogAccessUsingOnlyResourcePermissions": true
           },
           "workspaceCapping": {
             "dailyQuotaGb": -1
           },
           "publicNetworkAccessForIngestion": "Enabled",
           "publicNetworkAccessForQuery": "Enabled"
         }
       },
       {
         "type": "Microsoft.OperationalInsights/workspaces/savedSearches",
         "apiVersion": "2020-08-01",
         "name": "[concat(parameters('workspaces_name'), '/2b5112ec-5ad0-5eda-80e9-ad98b51d4aba')]",
         "dependsOn": [
           "[resourceId('Microsoft.OperationalInsights/workspaces', parameters('workspaces_name'))]"
         ],
         "properties": {
           "category": "VM Monitoring",
           "displayName": "List all versions of curl in use",
           "query": "VMProcess\n| where ExecutableName == \"curl\"\n| distinct ProductVersion",
           "tags": [],
           "version": 2
         }
       },
       {
         "type": "Microsoft.OperationsManagement/solutions",
         "apiVersion": "2015-11-01-preview",
         "name": "[concat('Updates(', parameters('workspaces_name'))]",
         "location": "france central",
         "dependsOn": [
           "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name'))]"
         ],
         "plan": {
           "name": "[concat('Updates(', parameters('workspaces_name'))]",
           "promotionCode": "",
           "product": "OMSGallery/Updates",
           "publisher": "Microsoft"
         },
         "properties": {
           "workspaceResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name'))]",
           "containedResources": [
             "[concat(resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name')), '/views/Updates(', parameters('workspaces_name'), ')')]"
           ]
         }
       }
       {
         "type": "Microsoft.OperationsManagement/solutions",
         "apiVersion": "2015-11-01-preview",
         "name": "[concat('VMInsights(', parameters('workspaces_name'))]",
         "location": "france central",
         "plan": {
           "name": "[concat('VMInsights(', parameters('workspaces_name'))]",
           "promotionCode": "",
           "product": "OMSGallery/VMInsights",
           "publisher": "Microsoft"
         },
         "properties": {
           "workspaceResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name'))]",
           "containedResources": [
             "[concat(resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name')), '/views/VMInsights(', parameters('workspaces_name'), ')')]"
           ]
         }
       },
       {
         "type": "microsoft.insights/scheduledqueryrules",
         "apiVersion": "2021-08-01",
         "name": "[parameters('alertName')]",
         "location": "france central",
         "properties": {
           "displayName": "[parameters('alertName')]",
           "severity": 3,
           "enabled": true,
           "evaluationFrequency": "PT5M",
           "scopes": [
             "[parameters('workspaceResourceId')]"
           ],
           "windowSize": "PT15M",
           "criteria": {
             "allOf": [
               {
                 "query": "Heartbeat | where computer == 'my computer name'",
                 "timeAggregation": "Count",
                 "operator": "LessThan",
                 "threshold": 14,
                 "failingPeriods": {
                   "numberOfEvaluationPeriods": 1,
                   "minFailingPeriodsToAlert": 1
                 }
               }
             ]
           },
           "autoMitigate": true,
           "actions": {}
         }
       },
       {
         "type": "Microsoft.OperationalInsights/querypacks",
         "apiVersion": "2019-09-01-preview",
         "name": "[parameters('querypacks_name')]",
         "location": "francecentral",
         "properties": {}
       },
       {
         "type": "Microsoft.OperationalInsights/querypacks/queries",
         "apiVersion": "2019-09-01-preview",
         "name": "[concat(parameters('querypacks_name'), '/00000000-0000-0000-0000-000000000000')]",
         "dependsOn": [
           "[resourceId('Microsoft.OperationalInsights/querypacks', parameters('querypacks_name'))]"
         ],
         "properties": {
           "displayName": "my-query-name",
           "body": "my-query-text",
           "related": {
             "categories": [],
             "resourceTypes": [
                 "microsoft.operationalinsights/workspaces"
             ]
           },
           "tags": {
             "labels": []
           }
         }
       }
     ]
   }
   

4. Válassza a Mentés lehetőséget az online szerkesztőben.

Ismételt üzembe helyezés

1. Válassza az Előfizetés lehetőséget annak az előfizetésnek a kiválasztásához, amelyben a cél-munkaterület üzembe lesz helyezve.

2. Az Erőforráscsoport lehetőséget választva válassza ki azt az erőforráscsoportot, amelyben a cél-munkaterület üzembe lesz helyezve. Az Új létrehozása lehetőséget választva új erőforráscsoportot hozhat létre a cél-munkaterülethez.

3. Ellenőrizze, hogy a régió arra a célhelyre van-e beállítva, ahol telepíteni szeretné a hálózati biztonsági csoportot.

4. A sablon ellenőrzéséhez válassza a Véleményezés + létrehozás gombot.

5. Válassza a Létrehozás lehetőséget a munkaterület és a kijelölt erőforrás célrégióban való üzembe helyezéséhez.

6. A munkaterület , beleértve a kijelölt erőforrásokat is, most már a célrégióban van üzembe helyezve. A fennmaradó konfigurációt elvégezheti a munkaterületen, hogy a funkciók az eredeti munkaterületre való paringolását végezhesse el.

   • Ügynökök csatlakoztatása: A virtuális gépeken és a virtuálisgép-méretezési csoportokban a szükséges ügynökök konfigurálásához és az új cél-munkaterület célként való megadásához használja az elérhető lehetőségeket, beleértve az adatgyűjtési szabályokat is.
   • Diagnosztikai beállítások: Az azonosított erőforrások diagnosztikai beállításainak frissítése célként a cél-munkaterülettel.
   • Megoldások telepítése: Egyes megoldások, például a Microsoft Sentinel bizonyos előkészítési eljárásokat igényelnek, és nem szerepelnek a sablonban. Ezeket külön kell előkészítenie az új munkaterületre.
   • Konfigurálja a Data Collector API-t: Data Collector API-példányok konfigurálása adatok cél-munkaterületre való küldéséhez.
   • Riasztási szabályok konfigurálása: Ha a riasztásokat nem exportálja a sablon, manuálisan kell konfigurálnia őket a cél-munkaterületen.

7. Ellenőrizze, hogy az új adatok nincsenek-e betöltve az eredeti munkaterületre. Futtassa a következő lekérdezést az eredeti munkaterületen, és figyelje meg, hogy az áttelepítés után nincs betöltés:

   search *
   | where TimeGenerated > ago(12h)
   | summarize max(TimeGenerated) by Type
   

Miután az adatforrások csatlakoztak a cél-munkaterülethez, a betöltendő adatok a cél-munkaterületen lesznek tárolva. A régebbi adatok az eredeti munkaterületen maradnak, és az adatmegőrzési szabályzat hatálya alá tartoznak. Több munkaterületet tartalmazó lekérdezést is végrehajthat. Ha mindkét munkaterülethez ugyanaz a név lett hozzárendelve, használjon egy minősített nevet (subscriptionName/resourceGroup/componentName) a munkaterület-referenciaban.

Íme egy példa egy lekérdezésre két azonos nevű munkaterületen:

union 
  workspace('subscription-name1/<resource-group-name1/<original-workspace-name>')Update, 
  workspace('subscription-name2/<resource-group-name2/<target-workspace-name>').Update, 
| where TimeGenerated >= ago(1h)
| where UpdateState == "Needed"
| summarize dcount(Computer) by Classification

Elvetés

Ha el szeretné vetni a forrás-munkaterületet, törölje az exportált erőforrásokat vagy az erőforrásokat tartalmazó erőforráscsoportot:

1. Válassza ki a célerőforrás-csoportot az Azure Portalon.

2. Az Áttekintés lapon:

   • Ha új erőforráscsoportot hozott létre ehhez az üzembe helyezéshez, az eszköztáron az Erőforráscsoport törlése lehetőséget választva törölheti az erőforráscsoportot.
   • Ha a sablont egy meglévő erőforráscsoportban helyezték üzembe, jelölje ki a sablonnal üzembe helyezett erőforrásokat, majd válassza a Törlés lehetőséget az eszköztáron a kijelölt erőforrások törléséhez.

A fölöslegessé vált elemek eltávolítása

Miközben az új adatokat betölti az új munkaterületre, az eredeti munkaterület régebbi adatai továbbra is elérhetők maradnak a lekérdezéshez, és a munkaterületen meghatározott megőrzési szabályzat hatálya alá tartoznak. Javasoljuk, hogy tartsa meg az eredeti munkaterületet mindaddig, amíg régebbi adatokra van szüksége a munkaterületek közötti lekérdezéshez.

Ha már nincs szüksége a régebbi adatokhoz az eredeti munkaterületen:

1. Válassza ki az eredeti erőforráscsoportot az Azure Portalon.
2. Jelölje ki az eltávolítani kívánt erőforrásokat, majd válassza a Törlés lehetőséget az eszköztáron.

Kapcsolódó tartalom

• Erőforrások áthelyezése új erőforráscsoportba vagy előfizetésbe

• Azure-beli virtuális gépek áthelyezése egy másik régióba