Azure Monitor verplaatsen - Log Analytics-werkruimte naar een andere regio

Artikel
04/25/2024

Een herlocatieplan voor de Log Analytics-werkruimte moet de verplaatsing bevatten van alle resources die logboekgegevens registreren met Log Analytics Workspace.

Log Analytics-werkruimte biedt geen systeemeigen ondersteuning voor het migreren van werkruimtegegevens van de ene regio naar de andere en de bijbehorende apparaten. In plaats daarvan moet u een nieuwe Log Analytics-werkruimte maken in de doelregio en de apparaten en instellingen opnieuw configureren in de nieuwe werkruimte.

In het onderstaande diagram ziet u het herlocatiepatroon voor een Log Analytics-werkruimte. De rode stroomlijnen vertegenwoordigen het opnieuw implementeren van het doelexemplaren, samen met gegevensverplaatsing en het bijwerken van domeinen en eindpunten.

Diagram waarin het herlocatiepatroon van de Log Analytics-werkruimte wordt geïllustreerd.

Herlocatie naar ondersteuning voor beschikbaarheidszones

Azure-beschikbaarheidszones zijn ten minste drie fysiek afzonderlijke groepen datacenters binnen elke Azure-regio. Datacenters binnen elke zone zijn uitgerust met onafhankelijke energie-, koelings- en netwerkinfrastructuur. In het geval van een storing in een lokale zone worden beschikbaarheidszones zodanig ontworpen dat als de ene zone wordt beïnvloed, regionale services, capaciteit en hoge beschikbaarheid worden ondersteund door de resterende twee zones.

Fouten kunnen variëren van software- en hardwarefouten tot gebeurtenissen zoals aardbevingen, overstromingen en brand. Tolerantie voor fouten wordt bereikt met redundantie en logische isolatie van Azure-services. Zie Regio's en beschikbaarheidszones voor meer informatie over beschikbaarheidszones in Azure.

Services met azure-beschikbaarheidszones zijn ontworpen om het juiste niveau van betrouwbaarheid en flexibiliteit te bieden. Ze kunnen op twee manieren worden geconfigureerd. Ze kunnen zone-redundant zijn, met automatische replicatie tussen zones of zonegebonden, waarbij exemplaren zijn vastgemaakt aan een specifieke zone. U kunt deze benaderingen ook combineren. Zie Aanbevelingen voor meer informatie over zone-redundante versus zone-redundante architectuur voor het gebruik van beschikbaarheidszones en regio's.

Als u uw Log Analytics-werkruimte wilt verplaatsen naar een regio die beschikbaarheidszones ondersteunt:

Lees de migratiebasislijn voor azure-beschikbaarheidszones om de gereedheid van de beschikbaarheidszone van uw workload of toepassing te beoordelen.
Volg de richtlijnen in Log Analytics migreren naar ondersteuning voor beschikbaarheidszones.

Vereisten

Als u de werkruimteconfiguratie wilt exporteren naar een sjabloon die kan worden geïmplementeerd in een andere regio, hebt u de rol Log Analytics-inzender of Controlebijdrager of hoger nodig.
Identificeer alle resources die momenteel aan uw werkruimte zijn gekoppeld, waaronder:
- Verbinding maken ed agents: Voer logboeken in uw werkruimte in en voer een query uit op een heartbeat-tabel om verbonden agents weer te geven.
```
Heartbeat
| summarize by Computer, Category, OSType, _ResourceId
```
- Diagnostische instellingen: Resources kunnen logboeken verzenden naar Azure Diagnostics of toegewezen tabellen in uw werkruimte. Voer logboeken in uw werkruimte in en voer deze query uit voor resources die gegevens naar de AzureDiagnostics tabel verzenden:
```
AzureDiagnostics
| where TimeGenerated > ago(12h)
| summarize by  ResourceProvider , ResourceType, Resource
| sort by ResourceProvider, ResourceType
```
  Voer deze query uit voor resources die gegevens verzenden naar toegewezen tabellen:
```
search *
| where TimeGenerated > ago(12h)
| where isnotnull(_ResourceId)
| extend ResourceProvider = split(_ResourceId, '/')[6]
| where ResourceProvider !in ('microsoft.compute', 'microsoft.security')
| extend ResourceType = split(_ResourceId, '/')[7]
| extend Resource = split(_ResourceId, '/')[8]
| summarize by tostring(ResourceProvider) , tostring(ResourceType), tostring(Resource)
| sort by ResourceProvider, ResourceType
```
- Geïnstalleerde oplossingen: Selecteer verouderde oplossingen in het navigatiedeelvenster van de werkruimte voor een lijst met geïnstalleerde oplossingen.
- Gegevensverzamelaar-API: gegevens die binnenkomen via een Data Collector-API worden opgeslagen in aangepaste logboektabellen. Voor een lijst met aangepaste logboektabellen selecteert u Logboeken in het navigatiedeelvenster van de werkruimte en selecteert u vervolgens Aangepast logboek in het schemadeelvenster.
- Gekoppelde services: Werkruimten hebben mogelijk gekoppelde services aan afhankelijke resources, zoals een Azure Automation-account, een opslagaccount of een toegewezen cluster. Verwijder gekoppelde services uit uw werkruimte. Configureer ze handmatig opnieuw in de doelwerkruimte.
- Waarschuwingen: Als u waarschuwingen wilt weergeven, selecteert u Waarschuwingen in het navigatiedeelvenster van uw werkruimte en selecteert u waarschuwingsregels beheren op de werkbalk. Waarschuwingen in werkruimten die zijn gemaakt na 1 juni 2019 of in werkruimten die zijn bijgewerkt van de Log Analytics-waarschuwings-API naar de scheduledQueryRules-API , kunnen worden opgenomen in de sjabloon.
  
  U kunt controleren of de scheduledQueryRules-API wordt gebruikt voor waarschuwingen in uw werkruimte. U kunt waarschuwingen ook handmatig configureren in de doelwerkruimte.
- Querypakketten: Een werkruimte kan worden gekoppeld aan meerdere querypakketten. Als u querypakketten in uw werkruimte wilt identificeren, selecteert u Logboeken in het navigatiedeelvenster van de werkruimte, selecteert u query's in het linkerdeelvenster en selecteert u vervolgens het beletselteken rechts van het zoekvak. Aan de rechterkant wordt een dialoogvenster geopend met de geselecteerde querypakketten. Als uw querypakketten zich in dezelfde resourcegroep bevinden als de werkruimte die u verplaatst, kunt u deze opnemen bij deze migratie.
Controleer of u met uw Azure-abonnement Log Analytics-werkruimten in de doelregio kunt maken.

Uitvaltijd

Zie Cloud Adoption Framework voor Azure om inzicht te hebben in de mogelijke downtime: Selecteer een herlocatiemethode.

Voorbereiden

In de volgende procedures ziet u hoe u de werkruimte en resources voor de verplaatsing voorbereidt met behulp van een Resource Manager-sjabloon.

Notitie

Niet alle resources kunnen worden geëxporteerd via een sjabloon. U moet deze afzonderlijk configureren nadat de werkruimte is gemaakt in de doelregio.

Meld u aan bij Azure Portal en selecteer vervolgens Resourcegroepen.
Zoek de resourcegroep die uw werkruimte bevat en selecteer deze.
Als u een waarschuwingsresource wilt weergeven, schakelt u het selectievakje Verborgen typen weergeven in.
Selecteer het filter Type . Selecteer Log Analytics-werkruimte, Oplossing, SavedSearches, microsoft.insights/scheduledqueryrules, defaultQueryPack en andere werkruimtegerelateerde resources die u hebt (zoals een Automation-account). Selecteer vervolgens Toepassen.
Selecteer de werkruimte, oplossingen, opgeslagen zoekopdrachten, waarschuwingen, querypakketten en andere werkruimtegerelateerde resources (zoals een Automation-account). Selecteer vervolgens Sjabloon exporteren op de werkbalk.

Notitie

Microsoft Sentinel kan niet worden geëxporteerd met een sjabloon. U moet Sentinel onboarden naar een doelwerkruimte.
Selecteer Implementeren op de werkbalk om de sjabloon voor implementatie te bewerken en voor te bereiden.
Selecteer Parameters bewerken op de werkbalk om het bestand parameters.json te openen in de online-editor.

Als u de parameters wilt bewerken, wijzigt u de value eigenschap onder parameters. Hier volgt een voorbeeld:

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "workspaces_name": {
      "value": "my-workspace-name"
    },
    "workspaceResourceId": {
      "value": "/subscriptions/resource-id/resourceGroups/resource-group-name/providers/Microsoft.OperationalInsights/workspaces/workspace-name"
    },
    "alertName": {
      "value": "my-alert-name"
    },
    "querypacks_name": {
      "value": "my-default-query-pack-name"
    }
  }
}

Selecteer Opslaan in de editor.

De sjabloon bewerken

Selecteer Sjabloon bewerken op de werkbalk om het template.json bestand in de online-editor te openen.
Als u de doelregio wilt bewerken waarin de Log Analytics-werkruimte wordt geïmplementeerd, wijzigt u de location eigenschap onder resources in de online-editor.

Zie Gegevenslocatie in Azure om regiolocatiecodes op te halen. De code voor een regio is de regionaam zonder spaties. Bijvoorbeeld: VS - centraal moet zijn centralus.

Verwijder resources voor gekoppelde services (microsoft.operationalinsights/workspaces/linkedservices) als ze aanwezig zijn in de sjabloon. U moet deze resources handmatig opnieuw configureren in de doelwerkruimte.

De volgende voorbeeldsjabloon bevat de werkruimte, opgeslagen zoekopdrachten, oplossingen, waarschuwingen en querypack:

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "workspaces_name": {
      "type": "String"
    },
    "workspaceResourceId": {
      "type": "String"
    },
    "alertName": {
      "type": "String"
    },
    "querypacks_name": {
      "type": "String"
    }
  },
  "variables": {},
  "resources": [
    {
      "type": "microsoft.operationalinsights/workspaces",
      "apiVersion": "2020-08-01",
      "name": "[parameters('workspaces_name')]",
      "location": "france central",
      "properties": {
        "sku": {
          "name": "pergb2018"
        },
        "retentionInDays": 30,
        "features": {
          "enableLogAccessUsingOnlyResourcePermissions": true
        },
        "workspaceCapping": {
          "dailyQuotaGb": -1
        },
        "publicNetworkAccessForIngestion": "Enabled",
        "publicNetworkAccessForQuery": "Enabled"
      }
    },
    {
      "type": "Microsoft.OperationalInsights/workspaces/savedSearches",
      "apiVersion": "2020-08-01",
      "name": "[concat(parameters('workspaces_name'), '/2b5112ec-5ad0-5eda-80e9-ad98b51d4aba')]",
      "dependsOn": [
        "[resourceId('Microsoft.OperationalInsights/workspaces', parameters('workspaces_name'))]"
      ],
      "properties": {
        "category": "VM Monitoring",
        "displayName": "List all versions of curl in use",
        "query": "VMProcess\n| where ExecutableName == \"curl\"\n| distinct ProductVersion",
        "tags": [],
        "version": 2
      }
    },
    {
      "type": "Microsoft.OperationsManagement/solutions",
      "apiVersion": "2015-11-01-preview",
      "name": "[concat('Updates(', parameters('workspaces_name'))]",
      "location": "france central",
      "dependsOn": [
        "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name'))]"
      ],
      "plan": {
        "name": "[concat('Updates(', parameters('workspaces_name'))]",
        "promotionCode": "",
        "product": "OMSGallery/Updates",
        "publisher": "Microsoft"
      },
      "properties": {
        "workspaceResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name'))]",
        "containedResources": [
          "[concat(resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name')), '/views/Updates(', parameters('workspaces_name'), ')')]"
        ]
      }
    }
    {
      "type": "Microsoft.OperationsManagement/solutions",
      "apiVersion": "2015-11-01-preview",
      "name": "[concat('VMInsights(', parameters('workspaces_name'))]",
      "location": "france central",
      "plan": {
        "name": "[concat('VMInsights(', parameters('workspaces_name'))]",
        "promotionCode": "",
        "product": "OMSGallery/VMInsights",
        "publisher": "Microsoft"
      },
      "properties": {
        "workspaceResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name'))]",
        "containedResources": [
          "[concat(resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name')), '/views/VMInsights(', parameters('workspaces_name'), ')')]"
        ]
      }
    },
    {
      "type": "microsoft.insights/scheduledqueryrules",
      "apiVersion": "2021-08-01",
      "name": "[parameters('alertName')]",
      "location": "france central",
      "properties": {
        "displayName": "[parameters('alertName')]",
        "severity": 3,
        "enabled": true,
        "evaluationFrequency": "PT5M",
        "scopes": [
          "[parameters('workspaceResourceId')]"
        ],
        "windowSize": "PT15M",
        "criteria": {
          "allOf": [
            {
              "query": "Heartbeat | where computer == 'my computer name'",
              "timeAggregation": "Count",
              "operator": "LessThan",
              "threshold": 14,
              "failingPeriods": {
                "numberOfEvaluationPeriods": 1,
                "minFailingPeriodsToAlert": 1
              }
            }
          ]
        },
        "autoMitigate": true,
        "actions": {}
      }
    },
    {
      "type": "Microsoft.OperationalInsights/querypacks",
      "apiVersion": "2019-09-01-preview",
      "name": "[parameters('querypacks_name')]",
      "location": "francecentral",
      "properties": {}
    },
    {
      "type": "Microsoft.OperationalInsights/querypacks/queries",
      "apiVersion": "2019-09-01-preview",
      "name": "[concat(parameters('querypacks_name'), '/00000000-0000-0000-0000-000000000000')]",
      "dependsOn": [
        "[resourceId('Microsoft.OperationalInsights/querypacks', parameters('querypacks_name'))]"
      ],
      "properties": {
        "displayName": "my-query-name",
        "body": "my-query-text",
        "related": {
          "categories": [],
          "resourceTypes": [
              "microsoft.operationalinsights/workspaces"
          ]
        },
        "tags": {
          "labels": []
        }
      }
    }
  ]
}

Selecteer Opslaan in de online-editor.

Opnieuw implementeren

Selecteer Abonnement om het abonnement te kiezen waarin de doelwerkruimte wordt geïmplementeerd.
Selecteer Resourcegroep om de resourcegroep te kiezen waarin de doelwerkruimte wordt geïmplementeerd. U kunt Nieuw maken selecteren om een nieuwe resourcegroep te maken voor de doelwerkruimte.
Controleer of Regio is ingesteld op de doellocatie waar u de netwerkbeveiligingsgroep wilt implementeren.
Selecteer de knop Beoordelen en maken om uw sjabloon te verifiëren.
Selecteer Maken om de werkruimte en de geselecteerde resource in de doelregio te implementeren.
Uw werkruimte, inclusief geselecteerde resources, wordt nu geïmplementeerd in de doelregio. U kunt de resterende configuratie in de werkruimte voltooien om de functionaliteit te parseren naar de oorspronkelijke werkruimte.
- Verbinding maken agents: gebruik een van de beschikbare opties, waaronder regels voor gegevensverzameling, om de vereiste agents op virtuele machines en virtuele-machineschaalsets te configureren en om de nieuwe doelwerkruimte op te geven als de bestemming.
- Diagnostische instellingen: werk diagnostische instellingen bij in geïdentificeerde resources, met de doelwerkruimte als doel.
- Installatieoplossingen: Sommige oplossingen, zoals Microsoft Sentinel, vereisen bepaalde onboardingprocedures en zijn niet opgenomen in de sjabloon. U moet ze afzonderlijk onboarden naar de nieuwe werkruimte.
- Configureer de Data Collector-API: Gegevensverzamelaar-API-exemplaren configureren om gegevens naar de doelwerkruimte te verzenden.
- Waarschuwingsregels configureren: wanneer waarschuwingen niet in de sjabloon worden geëxporteerd, moet u deze handmatig configureren in de doelwerkruimte.
Controleer of nieuwe gegevens niet zijn opgenomen in de oorspronkelijke werkruimte. Voer de volgende query uit in uw oorspronkelijke werkruimte en merk op dat er geen opname is na de migratie:
```
search *
| where TimeGenerated > ago(12h)
| summarize max(TimeGenerated) by Type
```

Nadat gegevensbronnen zijn verbonden met de doelwerkruimte, worden opgenomen gegevens opgeslagen in de doelwerkruimte. Oudere gegevens blijven in de oorspronkelijke werkruimte en vallen onder het bewaarbeleid. U kunt een query voor meerdere werkruimten uitvoeren. Als aan beide werkruimten dezelfde naam is toegewezen, gebruikt u een gekwalificeerde naam (subscriptionName/resourceGroup/componentName) in de werkruimteverwijzing.

Hier volgt een voorbeeld voor een query in twee werkruimten met dezelfde naam:

union 
  workspace('subscription-name1/<resource-group-name1/<original-workspace-name>')Update, 
  workspace('subscription-name2/<resource-group-name2/<target-workspace-name>').Update, 
| where TimeGenerated >= ago(1h)
| where UpdateState == "Needed"
| summarize dcount(Computer) by Classification

Verwijderen

Als u de bronwerkruimte wilt verwijderen, verwijdert u de geëxporteerde resources of de resourcegroep die deze resources bevat:

Selecteer de doelresourcegroep in Azure Portal.
Op de overzichtspagina :
- Als u een nieuwe resourcegroep voor deze implementatie hebt gemaakt, selecteert u Resourcegroep verwijderen op de werkbalk om de resourcegroep te verwijderen.
- Als de sjabloon is geïmplementeerd in een bestaande resourcegroep, selecteert u de resources die met de sjabloon zijn geïmplementeerd en selecteert u Verwijderen op de werkbalk om geselecteerde resources te verwijderen.

Opschonen

Terwijl nieuwe gegevens worden opgenomen in uw nieuwe werkruimte, blijven oudere gegevens in de oorspronkelijke werkruimte beschikbaar voor query's en zijn ze onderworpen aan het bewaarbeleid dat in de werkruimte is gedefinieerd. U wordt aangeraden de oorspronkelijke werkruimte zolang u oudere gegevens nodig hebt om query's uit te voeren in werkruimten.

Als u geen toegang meer nodig hebt tot oudere gegevens in de oorspronkelijke werkruimte:

Selecteer de oorspronkelijke resourcegroep in Azure Portal.
Selecteer alle resources die u wilt verwijderen en selecteer vervolgens Verwijderen op de werkbalk.