Rilocare Monitoraggio di Azure - Area di lavoro Log Analytics in un'altra area

Un piano di rilocazione per l'area di lavoro Log Analytics deve includere la rilocazione di tutte le risorse che registrano i dati con l'area di lavoro Log Analytics.

L'area di lavoro Log Analytics non supporta in modo nativo la migrazione dei dati dell'area di lavoro da un'area a un'altra e ai dispositivi associati. È invece necessario creare una nuova area di lavoro Log Analytics nell'area di destinazione e riconfigurare i dispositivi e le impostazioni nella nuova area di lavoro.

Il diagramma seguente illustra il modello di rilocazione per un'area di lavoro Log Analytics. Le linee di flusso rosse rappresentano la ridistribuzione dell'istanza di destinazione insieme allo spostamento dei dati e all'aggiornamento di domini ed endpoint.

Rilocazione nel supporto della zona di disponibilità

Le zone di disponibilità di Azure sono costituite da almeno tre gruppi fisicamente separati di data center all'interno di ogni area di Azure. I data center all'interno di ogni zona sono dotati di alimentazione, raffreddamento e infrastruttura di rete indipendenti. Le zone di disponibilità sono progettate in modo che, in caso di errore in una zona locale, i servizi regionali, la capacità e la disponibilità elevata della zona interessata siano supportati dalle altre due zone.

Gli errori possono essere di tipo hardware o software oppure correlati a eventi come terremoti, inondazioni e incendi. La tolleranza agli errori viene conseguita mediante la ridondanza e l'isolamento logico dei servizi di Azure. Per informazioni più dettagliate sulle zone di disponibilità in Azure, vedere Aree e zone di disponibilità.

I servizi abilitati per le zone di disponibilità sono progettati per fornire il livello adeguato di affidabilità e flessibilità. Tali servizi possono essere configurati in due modi. Possono essere con ridondanza della zona, che prevede la replica automatica tra le zone, o a zona, con istanze aggiunte in una zona specifica. È anche possibile combinare questi approcci. Per altre informazioni sulle architetture a zona e con ridondanza della zona, vedere Raccomandazioni per l'uso delle zone e delle aree di disponibilità.

Se si vuole spostare l'area di lavoro Log Analytics in un'area che supporta le zone di disponibilità:

• Leggere La baseline di migrazione della zona di disponibilità di Azure per valutare l'idoneità della zona di disponibilità del carico di lavoro o dell'applicazione.
• Seguire le indicazioni riportate in Eseguire la migrazione di Log Analytics al supporto della zona di disponibilità.

Prerequisiti

• Per esportare la configurazione dell'area di lavoro in un modello che può essere distribuito in un'altra area, è necessario il ruolo Collaboratore o Collaboratore monitoraggio di Log Analytics o superiore.

• Identificare tutte le risorse attualmente associate all'area di lavoro, tra cui:

  • agenti Connessione ed: immettere i log nell'area di lavoro ed eseguire una query su una tabella heartbeat per elencare gli agenti connessi.

    Heartbeat
    | summarize by Computer, Category, OSType, _ResourceId
    

  • Impostazioni di diagnostica: le risorse possono inviare log a Diagnostica di Azure o tabelle dedicate nell'area di lavoro. Immettere Log nell'area di lavoro ed eseguire questa query per le risorse che inviano dati alla AzureDiagnostics tabella:

    AzureDiagnostics
    | where TimeGenerated > ago(12h)
    | summarize by  ResourceProvider , ResourceType, Resource
    | sort by ResourceProvider, ResourceType
    

    Eseguire questa query per le risorse che inviano dati a tabelle dedicate:

    search *
    | where TimeGenerated > ago(12h)
    | where isnotnull(_ResourceId)
    | extend ResourceProvider = split(_ResourceId, '/')[6]
    | where ResourceProvider !in ('microsoft.compute', 'microsoft.security')
    | extend ResourceType = split(_ResourceId, '/')[7]
    | extend Resource = split(_ResourceId, '/')[8]
    | summarize by tostring(ResourceProvider) , tostring(ResourceType), tostring(Resource)
    | sort by ResourceProvider, ResourceType
    

  • Soluzioni installate: selezionare Soluzioni legacy nel riquadro di spostamento dell'area di lavoro per un elenco di soluzioni installate.

  • API dell'agente di raccolta dati: i dati in arrivo tramite un'API dell'agente di raccolta dati vengono archiviati in tabelle di log personalizzate. Per un elenco di tabelle di log personalizzate, selezionare Log nel riquadro di spostamento dell'area di lavoro e quindi selezionare Log personalizzato nel riquadro dello schema.

  • Servizi collegati: le aree di lavoro potrebbero avere servizi collegati a risorse dipendenti, ad esempio un account di Automazione di Azure, un account di archiviazione o un cluster dedicato. Rimuovere i servizi collegati dall'area di lavoro. Riconfigurarli manualmente nell'area di lavoro di destinazione.

  • Avvisi: per elencare gli avvisi, selezionare Avvisi nel riquadro di spostamento dell'area di lavoro e quindi selezionare Gestisci regole di avviso sulla barra degli strumenti. Gli avvisi nelle aree di lavoro create dopo il 1° giugno 2019 o nelle aree di lavoro aggiornate dall'API di avviso di Log Analytics all'API scheduledQueryRules possono essere inclusi nel modello.

    È possibile verificare se l'API scheduledQueryRules viene usata per gli avvisi nell'area di lavoro. In alternativa, è possibile configurare manualmente gli avvisi nell'area di lavoro di destinazione.

  • Pacchetti di query: un'area di lavoro può essere associata a più Query Pack. Per identificare i pacchetti di query nell'area di lavoro, selezionare Log nel riquadro di spostamento dell'area di lavoro, selezionare query nel riquadro sinistro e quindi selezionare i puntini di sospensione a destra della casella di ricerca. Viene visualizzata una finestra di dialogo con i Query Pack selezionati a destra. Se i pacchetti di query si trovano nello stesso gruppo di risorse dell'area di lavoro che si sta spostando, è possibile includerlo con questa migrazione.

• Verificare che la sottoscrizione di Azure consenta di creare aree di lavoro Log Analytics nell'area di destinazione.

Tempo di inattività

Per comprendere i possibili tempi di inattività coinvolti, vedere Cloud Adoption Framework per Azure: Selezionare un metodo di rilocazione.

Preparazione

Le procedure seguenti illustrano come preparare l'area di lavoro e le risorse per lo spostamento usando un modello di Resource Manager.

Nota

Non tutte le risorse possono essere esportate tramite un modello. Sarà necessario configurare questi elementi separatamente dopo la creazione dell'area di lavoro nell'area di destinazione.

1. Accedere al portale di Azure e quindi selezionare Gruppi di risorse.

2. Trovare il gruppo di risorse che contiene l'area di lavoro e selezionarlo.

3. Per visualizzare una risorsa di avviso, selezionare la casella di controllo Mostra tipi nascosti.

4. Selezionare il filtro Tipo . Selezionare area di lavoro Log Analytics, Soluzione, SavedSearches, microsoft.insights/scheduledqueryrules, defaultQueryPack e altre risorse correlate all'area di lavoro disponibili, ad esempio un account di Automazione. Quindi seleziona Applica.

5. Selezionare l'area di lavoro, le soluzioni, le ricerche salvate, gli avvisi, i query pack e altre risorse correlate all'area di lavoro disponibili, ad esempio un account di Automazione. Selezionare quindi Esporta modello sulla barra degli strumenti.

   Nota

   Non è possibile esportare Microsoft Sentinel con un modello. È necessario eseguire l'onboarding di Sentinel in un'area di lavoro di destinazione.

6. Selezionare Distribuisci sulla barra degli strumenti per modificare e preparare il modello per la distribuzione.

7. Selezionare Modifica parametri sulla barra degli strumenti per aprire il file parameters.json nell'editor online.

8. Per modificare i parametri, modificare la value proprietà in parameters. Ecco un esempio:

   {
     "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
     "contentVersion": "1.0.0.0",
     "parameters": {
       "workspaces_name": {
         "value": "my-workspace-name"
       },
       "workspaceResourceId": {
         "value": "/subscriptions/resource-id/resourceGroups/resource-group-name/providers/Microsoft.OperationalInsights/workspaces/workspace-name"
       },
       "alertName": {
         "value": "my-alert-name"
       },
       "querypacks_name": {
         "value": "my-default-query-pack-name"
       }
     }
   }
   

9. Selezionare Salva nell'editor.

Modificare il modello

1. Selezionare Modifica modello sulla barra degli strumenti per aprire il file template.json nell'editor online.

2. Per modificare l'area di destinazione in cui verrà distribuita l'area di lavoro Log Analytics, modificare la location proprietà in resources nell'editor online.

   Per ottenere i codici di località dell'area, vedere Residenza dei dati in Azure. Il codice di un'area è il nome dell'area senza spazi. Ad esempio, gli Stati Uniti centrali devono essere centralus.

3. Rimuovere le risorse dei servizi collegati (microsoft.operationalinsights/workspaces/linkedservices) se presenti nel modello. È necessario riconfigurare queste risorse manualmente nell'area di lavoro di destinazione.

   Il modello di esempio seguente include l'area di lavoro, la ricerca salvata, le soluzioni, gli avvisi e il pacchetto di query:

   {
     "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
     "contentVersion": "1.0.0.0",
     "parameters": {
       "workspaces_name": {
         "type": "String"
       },
       "workspaceResourceId": {
         "type": "String"
       },
       "alertName": {
         "type": "String"
       },
       "querypacks_name": {
         "type": "String"
       }
     },
     "variables": {},
     "resources": [
       {
         "type": "microsoft.operationalinsights/workspaces",
         "apiVersion": "2020-08-01",
         "name": "[parameters('workspaces_name')]",
         "location": "france central",
         "properties": {
           "sku": {
             "name": "pergb2018"
           },
           "retentionInDays": 30,
           "features": {
             "enableLogAccessUsingOnlyResourcePermissions": true
           },
           "workspaceCapping": {
             "dailyQuotaGb": -1
           },
           "publicNetworkAccessForIngestion": "Enabled",
           "publicNetworkAccessForQuery": "Enabled"
         }
       },
       {
         "type": "Microsoft.OperationalInsights/workspaces/savedSearches",
         "apiVersion": "2020-08-01",
         "name": "[concat(parameters('workspaces_name'), '/2b5112ec-5ad0-5eda-80e9-ad98b51d4aba')]",
         "dependsOn": [
           "[resourceId('Microsoft.OperationalInsights/workspaces', parameters('workspaces_name'))]"
         ],
         "properties": {
           "category": "VM Monitoring",
           "displayName": "List all versions of curl in use",
           "query": "VMProcess\n| where ExecutableName == \"curl\"\n| distinct ProductVersion",
           "tags": [],
           "version": 2
         }
       },
       {
         "type": "Microsoft.OperationsManagement/solutions",
         "apiVersion": "2015-11-01-preview",
         "name": "[concat('Updates(', parameters('workspaces_name'))]",
         "location": "france central",
         "dependsOn": [
           "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name'))]"
         ],
         "plan": {
           "name": "[concat('Updates(', parameters('workspaces_name'))]",
           "promotionCode": "",
           "product": "OMSGallery/Updates",
           "publisher": "Microsoft"
         },
         "properties": {
           "workspaceResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name'))]",
           "containedResources": [
             "[concat(resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name')), '/views/Updates(', parameters('workspaces_name'), ')')]"
           ]
         }
       }
       {
         "type": "Microsoft.OperationsManagement/solutions",
         "apiVersion": "2015-11-01-preview",
         "name": "[concat('VMInsights(', parameters('workspaces_name'))]",
         "location": "france central",
         "plan": {
           "name": "[concat('VMInsights(', parameters('workspaces_name'))]",
           "promotionCode": "",
           "product": "OMSGallery/VMInsights",
           "publisher": "Microsoft"
         },
         "properties": {
           "workspaceResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name'))]",
           "containedResources": [
             "[concat(resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name')), '/views/VMInsights(', parameters('workspaces_name'), ')')]"
           ]
         }
       },
       {
         "type": "microsoft.insights/scheduledqueryrules",
         "apiVersion": "2021-08-01",
         "name": "[parameters('alertName')]",
         "location": "france central",
         "properties": {
           "displayName": "[parameters('alertName')]",
           "severity": 3,
           "enabled": true,
           "evaluationFrequency": "PT5M",
           "scopes": [
             "[parameters('workspaceResourceId')]"
           ],
           "windowSize": "PT15M",
           "criteria": {
             "allOf": [
               {
                 "query": "Heartbeat | where computer == 'my computer name'",
                 "timeAggregation": "Count",
                 "operator": "LessThan",
                 "threshold": 14,
                 "failingPeriods": {
                   "numberOfEvaluationPeriods": 1,
                   "minFailingPeriodsToAlert": 1
                 }
               }
             ]
           },
           "autoMitigate": true,
           "actions": {}
         }
       },
       {
         "type": "Microsoft.OperationalInsights/querypacks",
         "apiVersion": "2019-09-01-preview",
         "name": "[parameters('querypacks_name')]",
         "location": "francecentral",
         "properties": {}
       },
       {
         "type": "Microsoft.OperationalInsights/querypacks/queries",
         "apiVersion": "2019-09-01-preview",
         "name": "[concat(parameters('querypacks_name'), '/00000000-0000-0000-0000-000000000000')]",
         "dependsOn": [
           "[resourceId('Microsoft.OperationalInsights/querypacks', parameters('querypacks_name'))]"
         ],
         "properties": {
           "displayName": "my-query-name",
           "body": "my-query-text",
           "related": {
             "categories": [],
             "resourceTypes": [
                 "microsoft.operationalinsights/workspaces"
             ]
           },
           "tags": {
             "labels": []
           }
         }
       }
     ]
   }
   

4. Selezionare Salva nell'editor online.

Ripetere la distribuzione

1. Selezionare Sottoscrizione per scegliere la sottoscrizione in cui verrà distribuita l'area di lavoro di destinazione.

2. Selezionare Gruppo di risorse per scegliere il gruppo di risorse in cui verrà distribuita l'area di lavoro di destinazione. È possibile selezionare Crea nuovo per creare un nuovo gruppo di risorse per l'area di lavoro di destinazione.

3. Verificare che l'area sia impostata sul percorso di destinazione in cui si vuole distribuire il gruppo di sicurezza di rete.

4. Selezionare il pulsante Rivedi e crea per verificare il modello.

5. Selezionare Crea per distribuire l'area di lavoro e la risorsa selezionata nell'area di destinazione.

6. L'area di lavoro, incluse le risorse selezionate, viene ora distribuita nell'area di destinazione. È possibile completare la configurazione rimanente nell'area di lavoro per la funzionalità di paring all'area di lavoro originale.

   • Connessione agenti: usare una delle opzioni disponibili, incluse le regole di raccolta dati, per configurare gli agenti necessari nelle macchine virtuali e nei set di scalabilità di macchine virtuali e per specificare la nuova area di lavoro di destinazione come destinazione.
   • Impostazioni di diagnostica: aggiornare le impostazioni di diagnostica nelle risorse identificate, con l'area di lavoro di destinazione come destinazione.
   • Installare soluzioni: alcune soluzioni, ad esempio Microsoft Sentinel, richiedono determinate procedure di onboarding e non sono state incluse nel modello. È consigliabile eseguirne l'onboarding separatamente nella nuova area di lavoro.
   • Configurare l'API dell'agente di raccolta dati: configurare le istanze dell'API dell'agente di raccolta dati per inviare dati all'area di lavoro di destinazione.
   • Configurare le regole di avviso: quando gli avvisi non vengono esportati nel modello, è necessario configurarli manualmente nell'area di lavoro di destinazione.

7. Verificare che i nuovi dati non siano inseriti nell'area di lavoro originale. Eseguire la query seguente nell'area di lavoro originale e osservare che non è presente alcun inserimento dopo la migrazione:

   search *
   | where TimeGenerated > ago(12h)
   | summarize max(TimeGenerated) by Type
   

Dopo la connessione delle origini dati all'area di lavoro di destinazione, i dati inseriti vengono archiviati nell'area di lavoro di destinazione. I dati meno recenti rimangono nell'area di lavoro originale e sono soggetti ai criteri di conservazione. È possibile eseguire una query tra aree di lavoro. Se a entrambe le aree di lavoro è stato assegnato lo stesso nome, usare un nome completo (subscriptionName/resourceGroup/componentName) nel riferimento all'area di lavoro.

Ecco un esempio per una query in due aree di lavoro con lo stesso nome:

union 
  workspace('subscription-name1/<resource-group-name1/<original-workspace-name>')Update, 
  workspace('subscription-name2/<resource-group-name2/<target-workspace-name>').Update, 
| where TimeGenerated >= ago(1h)
| where UpdateState == "Needed"
| summarize dcount(Computer) by Classification

Discard

Se si vuole eliminare l'area di lavoro di origine, eliminare le risorse esportate o il gruppo di risorse che contiene queste risorse:

1. Selezionare il gruppo di risorse di destinazione nel portale di Azure.

2. Nella pagina Panoramica :

   • Se è stato creato un nuovo gruppo di risorse per questa distribuzione, selezionare Elimina gruppo di risorse sulla barra degli strumenti per eliminare il gruppo di risorse.
   • Se il modello è stato distribuito in un gruppo di risorse esistente, selezionare le risorse distribuite con il modello e quindi selezionare Elimina sulla barra degli strumenti per eliminare le risorse selezionate.

Eseguire la pulizia

Mentre vengono inseriti nuovi dati nella nuova area di lavoro, i dati meno recenti nell'area di lavoro originale rimangono disponibili per la query e sono soggetti ai criteri di conservazione definiti nell'area di lavoro. È consigliabile mantenere l'area di lavoro originale finché sono necessari dati meno recenti per eseguire query tra aree di lavoro.

Se non è più necessario accedere ai dati meno recenti nell'area di lavoro originale:

1. Selezionare il gruppo di risorse originale nel portale di Azure.
2. Selezionare le risorse da rimuovere e quindi selezionare Elimina sulla barra degli strumenti.

Contenuto correlato

• Spostare le risorse in un nuovo gruppo di risorse o una nuova sottoscrizione

• Spostare macchine virtuali di Azure in un'altra area