Przenoszenie usługi Azure Monitor — obszar roboczy usługi Log Analytics do innego regionu

Plan relokacji dla obszaru roboczego usługi Log Analytics musi obejmować relokację wszystkich zasobów, które rejestrują dane z obszarem roboczym usługi Log Analytics.

Obszar roboczy usługi Log Analytics nie obsługuje natywnie migrowania danych obszaru roboczego z jednego regionu do innego i skojarzonych urządzeń. Zamiast tego należy utworzyć nowy obszar roboczy usługi Log Analytics w regionie docelowym i ponownie skonfigurować urządzenia i ustawienia w nowym obszarze roboczym.

Na poniższym diagramie przedstawiono wzorzec relokacji dla obszaru roboczego usługi Log Analytics. Czerwone linie przepływu reprezentują ponowne wdrożenie wystąpienia docelowego wraz z przenoszeniem danych i aktualizowaniem domen i punktów końcowych.

Obsługa relokacji do strefy dostępności

Strefy dostępności platformy Azure to co najmniej trzy fizycznie oddzielne grupy centrów danych w każdym regionie świadczenia usługi Azure. Centra danych w każdej strefie są wyposażone w niezależną infrastrukturę zasilania, chłodzenia i sieci. W przypadku awarii strefy lokalnej strefy strefy dostępności są zaprojektowane tak, aby w przypadku wystąpienia problemu z jedną strefą usługi regionalne, pojemność i wysoka dostępność są obsługiwane przez pozostałe dwie strefy.

Awarie mogą wahać się od awarii oprogramowania i sprzętu po zdarzenia, takie jak trzęsienia ziemi, powodzie i pożary. Tolerancja awarii jest osiągana z nadmiarowością i logiczną izolacją usług platformy Azure. Aby uzyskać bardziej szczegółowe informacje na temat stref dostępności na platformie Azure, zobacz Regiony i strefy dostępności.

Usługi z obsługą stref dostępności platformy Azure zostały zaprojektowane w celu zapewnienia odpowiedniego poziomu niezawodności i elastyczności. Można je skonfigurować na dwa sposoby. Mogą być strefowo nadmiarowe, z automatyczną replikacją między strefami lub strefami, z wystąpieniami przypiętymi do określonej strefy. Możesz również połączyć te podejścia. Aby uzyskać więcej informacji na temat architektury strefowej i strefowo nadmiarowej, zobacz Rekomendacje na potrzeby korzystania ze stref dostępności i regionów.

Jeśli chcesz przenieść obszar roboczy usługi Log Analytics do regionu obsługującego strefy dostępności:

• Przeczytaj punkt odniesienia migracji strefy dostępności platformy Azure, aby ocenić gotowość strefy dostępności obciążenia lub aplikacji.
• Postępuj zgodnie ze wskazówkami w temacie Migrowanie usługi Log Analytics do obsługi stref dostępności.

Wymagania wstępne

• Aby wyeksportować konfigurację obszaru roboczego do szablonu, który można wdrożyć w innym regionie, musisz mieć rolę Współautor usługi Log Analytics lub Współautor monitorowania lub nowszą.

• Zidentyfikuj wszystkie zasoby, które są obecnie skojarzone z obszarem roboczym, w tym:

  • Połączenie agentów: wprowadź dzienniki w obszarze roboczym i wykonaj zapytanie względem tabeli pulsu, aby wyświetlić listę połączonych agentów.

    Heartbeat
    | summarize by Computer, Category, OSType, _ResourceId
    

  • Ustawienia diagnostyczne: zasoby mogą wysyłać dzienniki do Diagnostyka Azure lub dedykowanych tabel w obszarze roboczym. Wprowadź dzienniki w obszarze roboczym i uruchom to zapytanie dotyczące zasobów, które wysyłają dane do AzureDiagnostics tabeli:

    AzureDiagnostics
    | where TimeGenerated > ago(12h)
    | summarize by  ResourceProvider , ResourceType, Resource
    | sort by ResourceProvider, ResourceType
    

    Uruchom to zapytanie dla zasobów, które wysyłają dane do dedykowanych tabel:

    search *
    | where TimeGenerated > ago(12h)
    | where isnotnull(_ResourceId)
    | extend ResourceProvider = split(_ResourceId, '/')[6]
    | where ResourceProvider !in ('microsoft.compute', 'microsoft.security')
    | extend ResourceType = split(_ResourceId, '/')[7]
    | extend Resource = split(_ResourceId, '/')[8]
    | summarize by tostring(ResourceProvider) , tostring(ResourceType), tostring(Resource)
    | sort by ResourceProvider, ResourceType
    

  • Zainstalowane rozwiązania: wybierz pozycję Starsze rozwiązania w okienku nawigacji obszaru roboczego, aby wyświetlić listę zainstalowanych rozwiązań.

  • Interfejs API modułu zbierającego dane: dane odbierane za pośrednictwem interfejsu API modułu zbierającego dane są przechowywane w niestandardowych tabelach dzienników. Aby uzyskać listę niestandardowych tabel dzienników, wybierz pozycję Dzienniki w okienku nawigacji obszaru roboczego, a następnie wybierz pozycję Dziennik niestandardowy w okienku schematu.

  • Połączone usługi: Obszary robocze mogą mieć połączone usługi z zasobami zależnymi, takimi jak konto usługi Azure Automation, konto magazynu lub dedykowany klaster. Usuń połączone usługi z obszaru roboczego. Skonfiguruj je ręcznie w docelowym obszarze roboczym.

  • Alerty: aby wyświetlić listę alertów, wybierz pozycję Alerty w okienku nawigacji obszaru roboczego, a następnie wybierz pozycję Zarządzaj regułami alertów na pasku narzędzi. Alerty w obszarach roboczych utworzonych po 1 czerwca 2019 r. lub w obszarach roboczych uaktualnionych z interfejsu API alertów usługi Log Analytics do interfejsu API scheduledQueryRules można uwzględnić w szablonie.

    Możesz sprawdzić, czy interfejs API scheduledQueryRules jest używany dla alertów w obszarze roboczym. Możesz też ręcznie skonfigurować alerty w docelowym obszarze roboczym.

  • Pakiety zapytań: obszar roboczy może być skojarzony z wieloma pakietami zapytań. Aby zidentyfikować pakiety zapytań w obszarze roboczym, wybierz pozycję Dzienniki w okienku nawigacji obszaru roboczego, wybierz zapytania w okienku po lewej stronie, a następnie wybierz wielokropek po prawej stronie pola wyszukiwania. Po prawej stronie zostanie otwarte okno dialogowe z wybranymi pakietami zapytań. Jeśli pakiety zapytań znajdują się w tej samej grupie zasobów co przenoszony obszar roboczy, możesz dołączyć go do tej migracji.

• Sprawdź, czy subskrypcja platformy Azure umożliwia tworzenie obszarów roboczych usługi Log Analytics w regionie docelowym.

Przestój

Aby zrozumieć możliwe przestoje, zobacz Cloud Adoption Framework for Azure: Select a relocation method (Przewodnik Cloud Adoption Framework dla platformy Azure: wybieranie metody relokacji).

Przygotowywanie

Poniższe procedury pokazują, jak przygotować obszar roboczy i zasoby do przeniesienia przy użyciu szablonu usługi Resource Manager.

Uwaga

Nie wszystkie zasoby można wyeksportować za pomocą szablonu. Należy je skonfigurować oddzielnie po utworzeniu obszaru roboczego w regionie docelowym.

1. Zaloguj się do witryny Azure Portal, a następnie wybierz pozycję Grupy zasobów.

2. Znajdź grupę zasobów zawierającą obszar roboczy i wybierz ją.

3. Aby wyświetlić zasób alertu, zaznacz pole wyboru Pokaż ukryte typy .

4. Wybierz filtr Typ. Wybierz kolejno pozycje Obszar roboczy usługi Log Analytics, Rozwiązanie, SavedSearches, microsoft.insights/scheduledqueryrules, defaultQueryPack i inne zasoby związane z obszarem roboczym (takie jak konto usługi Automation). Następnie wybierz pozycję Zastosuj.

5. Wybierz obszar roboczy, rozwiązania, zapisane wyszukiwania, alerty, pakiety zapytań i inne zasoby związane z obszarem roboczym (takie jak konto usługi Automation). Następnie wybierz pozycję Eksportuj szablon na pasku narzędzi.

   Uwaga

   Nie można wyeksportować usługi Microsoft Sentinel z szablonem. Musisz dołączyć usługę Sentinel do docelowego obszaru roboczego.

6. Wybierz pozycję Wdróż na pasku narzędzi, aby edytować i przygotować szablon do wdrożenia.

7. Wybierz pozycję Edytuj parametry na pasku narzędzi, aby otworzyć plik parameters.json w edytorze online.

8. Aby edytować parametry, zmień value właściwość w obszarze parameters. Oto przykład:

   {
     "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
     "contentVersion": "1.0.0.0",
     "parameters": {
       "workspaces_name": {
         "value": "my-workspace-name"
       },
       "workspaceResourceId": {
         "value": "/subscriptions/resource-id/resourceGroups/resource-group-name/providers/Microsoft.OperationalInsights/workspaces/workspace-name"
       },
       "alertName": {
         "value": "my-alert-name"
       },
       "querypacks_name": {
         "value": "my-default-query-pack-name"
       }
     }
   }
   

9. Wybierz pozycję Zapisz w edytorze.

Edytowanie szablonu

1. Wybierz pozycję Edytuj szablon na pasku narzędzi, aby otworzyć plik template.json w edytorze online.

2. Aby edytować region docelowy, w którym zostanie wdrożony obszar roboczy usługi Log Analytics, zmień location właściwość w obszarze resources w edytorze online.

   Aby uzyskać kody lokalizacji regionu, zobacz Miejsce przechowywania danych na platformie Azure. Kod regionu to nazwa regionu bez spacji. Na przykład środkowe stany USA powinny mieć wartość centralus.

3. Usuń zasoby połączone usług (microsoft.operationalinsights/workspaces/linkedservices), jeśli są obecne w szablonie. Należy ponownie skonfigurować te zasoby ręcznie w docelowym obszarze roboczym.

   Poniższy przykładowy szablon zawiera obszar roboczy, zapisane wyszukiwanie, rozwiązania, alerty i pakiet zapytań:

   {
     "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
     "contentVersion": "1.0.0.0",
     "parameters": {
       "workspaces_name": {
         "type": "String"
       },
       "workspaceResourceId": {
         "type": "String"
       },
       "alertName": {
         "type": "String"
       },
       "querypacks_name": {
         "type": "String"
       }
     },
     "variables": {},
     "resources": [
       {
         "type": "microsoft.operationalinsights/workspaces",
         "apiVersion": "2020-08-01",
         "name": "[parameters('workspaces_name')]",
         "location": "france central",
         "properties": {
           "sku": {
             "name": "pergb2018"
           },
           "retentionInDays": 30,
           "features": {
             "enableLogAccessUsingOnlyResourcePermissions": true
           },
           "workspaceCapping": {
             "dailyQuotaGb": -1
           },
           "publicNetworkAccessForIngestion": "Enabled",
           "publicNetworkAccessForQuery": "Enabled"
         }
       },
       {
         "type": "Microsoft.OperationalInsights/workspaces/savedSearches",
         "apiVersion": "2020-08-01",
         "name": "[concat(parameters('workspaces_name'), '/2b5112ec-5ad0-5eda-80e9-ad98b51d4aba')]",
         "dependsOn": [
           "[resourceId('Microsoft.OperationalInsights/workspaces', parameters('workspaces_name'))]"
         ],
         "properties": {
           "category": "VM Monitoring",
           "displayName": "List all versions of curl in use",
           "query": "VMProcess\n| where ExecutableName == \"curl\"\n| distinct ProductVersion",
           "tags": [],
           "version": 2
         }
       },
       {
         "type": "Microsoft.OperationsManagement/solutions",
         "apiVersion": "2015-11-01-preview",
         "name": "[concat('Updates(', parameters('workspaces_name'))]",
         "location": "france central",
         "dependsOn": [
           "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name'))]"
         ],
         "plan": {
           "name": "[concat('Updates(', parameters('workspaces_name'))]",
           "promotionCode": "",
           "product": "OMSGallery/Updates",
           "publisher": "Microsoft"
         },
         "properties": {
           "workspaceResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name'))]",
           "containedResources": [
             "[concat(resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name')), '/views/Updates(', parameters('workspaces_name'), ')')]"
           ]
         }
       }
       {
         "type": "Microsoft.OperationsManagement/solutions",
         "apiVersion": "2015-11-01-preview",
         "name": "[concat('VMInsights(', parameters('workspaces_name'))]",
         "location": "france central",
         "plan": {
           "name": "[concat('VMInsights(', parameters('workspaces_name'))]",
           "promotionCode": "",
           "product": "OMSGallery/VMInsights",
           "publisher": "Microsoft"
         },
         "properties": {
           "workspaceResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name'))]",
           "containedResources": [
             "[concat(resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name')), '/views/VMInsights(', parameters('workspaces_name'), ')')]"
           ]
         }
       },
       {
         "type": "microsoft.insights/scheduledqueryrules",
         "apiVersion": "2021-08-01",
         "name": "[parameters('alertName')]",
         "location": "france central",
         "properties": {
           "displayName": "[parameters('alertName')]",
           "severity": 3,
           "enabled": true,
           "evaluationFrequency": "PT5M",
           "scopes": [
             "[parameters('workspaceResourceId')]"
           ],
           "windowSize": "PT15M",
           "criteria": {
             "allOf": [
               {
                 "query": "Heartbeat | where computer == 'my computer name'",
                 "timeAggregation": "Count",
                 "operator": "LessThan",
                 "threshold": 14,
                 "failingPeriods": {
                   "numberOfEvaluationPeriods": 1,
                   "minFailingPeriodsToAlert": 1
                 }
               }
             ]
           },
           "autoMitigate": true,
           "actions": {}
         }
       },
       {
         "type": "Microsoft.OperationalInsights/querypacks",
         "apiVersion": "2019-09-01-preview",
         "name": "[parameters('querypacks_name')]",
         "location": "francecentral",
         "properties": {}
       },
       {
         "type": "Microsoft.OperationalInsights/querypacks/queries",
         "apiVersion": "2019-09-01-preview",
         "name": "[concat(parameters('querypacks_name'), '/00000000-0000-0000-0000-000000000000')]",
         "dependsOn": [
           "[resourceId('Microsoft.OperationalInsights/querypacks', parameters('querypacks_name'))]"
         ],
         "properties": {
           "displayName": "my-query-name",
           "body": "my-query-text",
           "related": {
             "categories": [],
             "resourceTypes": [
                 "microsoft.operationalinsights/workspaces"
             ]
           },
           "tags": {
             "labels": []
           }
         }
       }
     ]
   }
   

4. Wybierz pozycję Zapisz w edytorze online.

Wdróż ponownie

1. Wybierz pozycję Subskrypcja , aby wybrać subskrypcję, w której zostanie wdrożony docelowy obszar roboczy.

2. Wybierz pozycję Grupa zasobów, aby wybrać grupę zasobów, w której zostanie wdrożony docelowy obszar roboczy. Możesz wybrać pozycję Utwórz nową , aby utworzyć nową grupę zasobów dla docelowego obszaru roboczego.

3. Sprawdź, czy region jest ustawiony na lokalizację docelową, w której ma zostać wdrożona sieciowa grupa zabezpieczeń.

4. Wybierz przycisk Przejrzyj i utwórz, aby zweryfikować szablon.

5. Wybierz pozycję Utwórz , aby wdrożyć obszar roboczy i wybrany zasób w regionie docelowym.

6. Obszar roboczy, w tym wybrane zasoby, jest teraz wdrażany w regionie docelowym. Możesz ukończyć pozostałą konfigurację w obszarze roboczym na potrzeby analizowania funkcji do oryginalnego obszaru roboczego.

   • Połączenie agentów: użyj dowolnej z dostępnych opcji, w tym reguł zbierania danych, aby skonfigurować wymaganych agentów na maszynach wirtualnych i zestawach skalowania maszyn wirtualnych oraz określić nowy docelowy obszar roboczy jako miejsce docelowe.
   • Ustawienia diagnostyczne: zaktualizuj ustawienia diagnostyczne w zidentyfikowanych zasobach przy użyciu docelowego obszaru roboczego jako miejsca docelowego.
   • Instalowanie rozwiązań: niektóre rozwiązania, takie jak Microsoft Sentinel, wymagają pewnych procedur dołączania i nie zostały uwzględnione w szablonie. Należy je dołączyć oddzielnie do nowego obszaru roboczego.
   • Konfigurowanie interfejsu API modułu zbierającego dane: konfigurowanie wystąpień interfejsu API modułu zbierającego dane w celu wysyłania danych do docelowego obszaru roboczego.
   • Konfigurowanie reguł alertów: jeśli alerty nie są eksportowane w szablonie, należy skonfigurować je ręcznie w docelowym obszarze roboczym.

7. Sprawdź, czy nowe dane nie są pozyskiwane do oryginalnego obszaru roboczego. Uruchom następujące zapytanie w oryginalnym obszarze roboczym i sprawdź, czy nie ma pozyskiwania po migracji:

   search *
   | where TimeGenerated > ago(12h)
   | summarize max(TimeGenerated) by Type
   

Po nawiązaniu połączenia ze źródłami danych z docelowym obszarem roboczym pozyskane dane są przechowywane w docelowym obszarze roboczym. Starsze dane pozostają w oryginalnym obszarze roboczym i podlegają zasadom przechowywania. Możesz wykonać zapytanie obejmujące wiele obszarów roboczych. Jeśli do obu obszarów roboczych przypisano tę samą nazwę, użyj kwalifikowanej nazwy (subscriptionName/resourceGroup/componentName) w dokumentacji obszaru roboczego.

Oto przykład zapytania w dwóch obszarach roboczych o tej samej nazwie:

union 
  workspace('subscription-name1/<resource-group-name1/<original-workspace-name>')Update, 
  workspace('subscription-name2/<resource-group-name2/<target-workspace-name>').Update, 
| where TimeGenerated >= ago(1h)
| where UpdateState == "Needed"
| summarize dcount(Computer) by Classification

Odrzuć

Jeśli chcesz odrzucić źródłowy obszar roboczy, usuń wyeksportowane zasoby lub grupę zasobów zawierającą następujące zasoby:

1. Wybierz docelową grupę zasobów w witrynie Azure Portal.

2. Na stronie Przegląd:

   • Jeśli utworzono nową grupę zasobów dla tego wdrożenia, wybierz pozycję Usuń grupę zasobów na pasku narzędzi, aby usunąć grupę zasobów.
   • Jeśli szablon został wdrożony w istniejącej grupie zasobów, wybierz zasoby wdrożone za pomocą szablonu, a następnie wybierz pozycję Usuń na pasku narzędzi, aby usunąć wybrane zasoby.

Czyszczenie

Podczas pozyskiwania nowych danych do nowego obszaru roboczego starsze dane w oryginalnym obszarze roboczym pozostają dostępne dla zapytania i podlegają zasadom przechowywania zdefiniowanym w obszarze roboczym. Zalecamy przechowywanie oryginalnego obszaru roboczego tak długo, jak potrzebne są starsze dane do wykonywania zapytań w różnych obszarach roboczych.

Jeśli nie potrzebujesz już dostępu do starszych danych w oryginalnym obszarze roboczym:

1. Wybierz oryginalną grupę zasobów w witrynie Azure Portal.
2. Wybierz wszystkie zasoby, które chcesz usunąć, a następnie wybierz pozycję Usuń na pasku narzędzi.

Powiązana zawartość

• Przenoszenie zasobów do nowej grupy zasobów lub subskrypcji

• Przenoszenie maszyn wirtualnych platformy Azure do innego regionu