Criar e gerenciar um cluster dedicado nos Logs do Azure Monitor

Um cluster dedicado no Azure Monitor permite recursos avançados de segurança e controle e otimização de custos. Você pode vincular workspaces novos ou existentes ao cluster sem interrupções nas operações de ingestão e consulta.

Recursos avançados

Os recursos que exigem clusters dedicados são:

Chaves gerenciadas pelo cliente: criptografe dados usando uma chave que você fornece e controla.
Cofre: controle o acesso dos engenheiros de suporte da Microsoft aos seus dados.
Dupla criptografia: camada extra de criptografia para seus dados.
Otimização entre consultas: as consultas entre workspaces são executadas mais rapidamente quando estão no mesmo cluster.
Otimização de custos: vincule workspaces na mesma região ao cluster e aproveite os descontos por nível de compromisso para os dados ingeridos de todos os workspaces vinculados.
Zonas de disponibilidade: Proteja seus dados com datacenters em diferentes localizações físicas, equipadas com energia, resfriamento e rede independentes. As zonas de disponibilidade do Azure Monitor abrangem partes mais amplas do serviço e, quando disponíveis na sua região, estendem automaticamente a resiliência do Azure Monitor. O Azure Monitor cria clusters dedicados como habilitados para zonas de disponibilidade (isAvailabilityZonesEnabled: ”true”) por padrão nas regiões com suporte. Atualmente, não há suporte para zonas de disponibilidade de clusters dedicados em todas as regiões.
Ingerir a partir de Hubs de Eventos do Azure: permite ingerir dados diretamente dos Hubs de Eventos para um workspace do Log Analytics.

Modelo de preço do cluster

Os clusters dedicados do Log Analytics usam um modelo de preços baseado em níveis de compromisso, começando em 100 GB por dia. A ingestão que exceder o nível de compromisso será cobrada com base na taxa por megabyte. Uma camada de compromisso pode ser aumentada a qualquer momento, mas tem um período de compromisso de 31 dias antes de ser reduzida. Confira os Detalhes de preços dos Logs do Azure Monitor para mais informações sobre os níveis de compromisso.

Exitem dois valores de tipo de cobrança que determinam a atribuição de cobrança para dados ingeridos:

Cluster (padrão): os custos do seu cluster são atribuídos ao recurso de cluster.
Workspaces: os custos do seu cluster são atribuídos proporcionalmente aos workspaces no cluster, com o recurso de cluster sendo cobrado por parte do uso se o total de dados ingeridos por dia estiver abaixo do nível de compromisso. Confira Clusters dedicados do Log Analytics para saber mais sobre o modelo de preço do cluster.

Permissões necessárias

Para executar ações relacionadas ao cluster, você precisa ter estas permissões:

Ação	Permissões ou função necessárias
Criar um cluster dedicado	Permissões `Microsoft.Resources/deployments/*` e `Microsoft.OperationalInsights/clusters/write`, conforme fornecidas pela função interna de Colaborador do Log Analytics, por exemplo
Alterar propriedades do cluster	`Microsoft.OperationalInsights/clusters/write` permissões, conforme fornecido pela função interna do Log Analytics Contributor, por exemplo
Vincular espaços de trabalho a um cluster	`Microsoft.OperationalInsights/clusters/write`, `Microsoft.OperationalInsights/workspaces/write`, e `Microsoft.OperationalInsights/workspaces/linkedservices/write` permissões, conforme fornecido pela função interna do Log Analytics Contributor, por exemplo
Verificar status do link do espaço de trabalho	`Microsoft.OperationalInsights/workspaces/read` permissões para o espaço de trabalho, conforme fornecido pela função interna do Log Analytics Reader, por exemplo
Obter clusters ou verificar o status de provisionamento de um cluster	`Microsoft.OperationalInsights/clusters/read` permissões, conforme fornecido pela função interna Log Analytics Reader, por exemplo
Atualizar a camada de compromisso ou billingType em um cluster	`Microsoft.OperationalInsights/clusters/write` permissões, conforme fornecido pela função interna do Log Analytics Contributor, por exemplo
Conceder as permissões necessárias	Função de proprietário ou colaborador que tem `/write` permissões ou a função integrada Colaborador do Log Analytics que tem `Microsoft.OperationalInsights/` permissões
Desvincular um espaço de trabalho do cluster	`Microsoft.OperationalInsights/workspaces/linkedServices/delete` permissões, conforme fornecido pela função interna do Log Analytics Contributor, por exemplo
Excluir um cluster dedicado	`Microsoft.OperationalInsights/clusters/delete` permissões, conforme fornecido pela função interna do Log Analytics Contributor, por exemplo

Para obter mais informações sobre as permissões do Log Analytics, confira Gerenciar o acesso a dados de log e workspaces no Azure Monitor.

Exemplos de modelo do Resource Manager

Este artigo inclui exemplos de modelos do ARM (Azure Resource Manager) usados para criar e configurar clusters do Log Analytics no Azure Monitor. Cada amostra inclui um arquivo de modelo e um arquivo de parâmetros com valores de amostra para fornecer ao modelo.

Observação

Consulte Amostras do Azure Resource Manager do Azure Monitor para obter uma lista de amostras disponíveis e diretrizes sobre como implantá-las em sua assinatura do Azure.

Referências de modelo

clusters do Microsoft.OperationalInsights

Preparação

A cobrança da camada de serviço de compromisso do cluster é iniciada uma vez criada, independentemente da ingestão de dados, e é recomendável ter os seguintes itens prontos antes de começar:

Ter uma assinatura em que o cluster será criado.
Prepare a lista de workspaces que você pretende vincular ao cluster. Eles devem estar na mesma região do cluster.
Concluir o tipo de cobrança e a atribuição, seja para o cluster (padrão) ou para os workspaces vinculados proporcionalmente.
Verifique suas permissões para criar um cluster e vincular workspaces

Observação

A criação de um cluster e a vinculação de workspaces são operações assíncronas que podem levar algumas horas para serem concluídas
Vincular ou desvincular workspaces de um cluster não tem efeito sobre a ingestão ou consultas durante as operações.

Criar um cluster dedicado

Forneça as seguintes propriedades ao criar um novo cluster dedicado:

ClusterName: deve ser exclusivo para o grupo de recursos.
ResourceGroupName: use um grupo de recursos de TI central, porque muitas equipes da organização costumam compartilhar clusters. Para ver mais considerações de design, examine Como criar uma configuração de workspace do Log Analytics.
Localidade
SkuCapacity: as camadas de compromisso válidas são 100, 200, 300, 400, 500, 1000, 2000, 5000, 10000, 25000 ou 50000 GB por dia. A camada de compromisso mínima com suporte na CLI e nos modelos de implantação é de 500 GB. Use a API REST para configurar camadas de compromisso inferiores a 500 GB. Para obter mais informações sobre os custos do cluster, consulte Clusters dedicados.
Identidade gerenciada: os clusters dão suporte a dois tipos de identidade gerenciada:
- Identidade gerenciada atribuída pelo sistema - Automaticamente gerada com a criação do cluster quando a identidade type é configurada como "SystemAssigned". Essa identidade pode ser usada posteriormente para conceder acesso de armazenamento à sua Key Vault para operações de encapsulamento e desencapsulamento.
  
  Identidade na chamada REST do cluster
```
{
  "identity": {
    "type": "SystemAssigned"
    }
}
```
- Identidade gerenciada atribuída pelo usuário – Permite configurar a chave gerenciada pelo cliente na criação do cluster, ao conceder a ela permissões no Key Vault antes da criação do cluster.
  
  Identidade na chamada REST do cluster
```
{
"identity": {
  "type": "UserAssigned",
    "userAssignedIdentities": {
      "subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.ManagedIdentity/UserAssignedIdentities/<cluster-assigned-managed-identity>"
    }
  }  
}
```

Depois de criar o recurso de cluster, você pode editar propriedades como sku, keyVaultProperties ou billingType. Veja mais detalhes abaixo.

Os clusters excluídos levam duas semanas para serem completamente removidos. Você pode ter até sete clusters por assinatura e região - cinco ativos e dois excluídos nas últimas duas semanas.

Observação

A criação de um cluster envolve vários recursos e a operação normalmente é concluída em duas horas. Um cluster dedicado é cobrado assim que provisionado, independentemente da ingestão de dados. Recomenda-se preparar a implantação para agilizar o provisionamento e a conexão dos workspaces ao cluster. Verifique o seguinte:

Uma lista de workspaces iniciais a serem vinculados ao cluster é identificada
Você tem permissões para a assinatura destinada ao cluster e a qualquer workspace a ser vinculado

Clique em Criar no menu Clusters dedicados do Log Analytics no portal do Azure. Detalhes serão solicitados, como o nome do cluster e o nível de compromisso.

Observação

A camada de compromisso mínima com suporte na CLI é de 500 GB atualmente. Use REST para configurar camadas de compromisso inferiores com um mínimo de 100 GB.

az account set --subscription "cluster-subscription-id"

az monitor log-analytics cluster create --no-wait --resource-group "resource-group-name" --name "cluster-name" --location "region-name" --sku-capacity "daily-ingestion-gigabyte"

# Wait for job completion when `--no-wait` was used
$clusterResourceId = az monitor log-analytics cluster list --resource-group "resource-group-name" --query "[?contains(name, 'cluster-name')].[id]" --output tsv
az resource wait --created --ids $clusterResourceId --include-response-body true

Observação

A camada de compromisso mínima com suporte no PowerShell é de 500 GB atualmente. Use REST para configurar camadas de compromisso inferiores com no mínimo 100 GB.

Select-AzSubscription "cluster-subscription-id"

New-AzOperationalInsightsCluster -ResourceGroupName "resource-group-name" -ClusterName "cluster-name" -Location "region-name" -SkuCapacity "daily-ingestion-gigabyte" -AsJob

# Check when the job is done when `-AsJob` was used
Get-Job -Command "New-AzOperationalInsightsCluster*" | Format-List -Property *

Chamada

PUT https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.OperationalInsights/clusters/<cluster-name>?api-version=2023-09-01
Authorization: Bearer <token>
Content-type: application/json

{
  "identity": {
    "type": "systemAssigned"
    },
  "sku": {
    "name": "capacityReservation",
    "Capacity": 100
    },
  "properties": {
    "billingType": "Cluster",
    },
  "location": "<region>",
}

Resposta

Deve ser 202 (Aceito) e um cabeçalho.

O exemplo a seguir cria um novo cluster vazio do Log Analytics com uma camada de compromisso de 500 GB.

@description('Specify the name of the Log Analytics cluster.')
param clusterName string

@description('Specify the location of the resources.')
param location string = resourceGroup().location

@description('Specify the capacity reservation value.')
@allowed([
  100
  200
  300
  400
  500
  1000
  2000
  5000
])
param CommitmentTier int

@description('Specify the billing type settings. Can be \'Cluster\' (default) or \'Workspaces\' for proportional billing on workspaces.')
@allowed([
  'Cluster'
  'Workspaces'
])
param billingType string

resource cluster 'Microsoft.OperationalInsights/clusters@2021-06-01' = {
  name: clusterName
  location: location
  identity: {
    type: 'SystemAssigned'
  }
  sku: {
    name: 'CapacityReservation'
    capacity: CommitmentTier
  }
  properties: {
    billingType: billingType
  }
}

Arquivo de parâmetros

{
  "$schema": "https://schema.management.azure.com/schemas/2019-08-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "clusterName": {
      "value": "MyCluster"
    },
    "CommitmentTier": {
      "value": 500
    },
    "billingType": {
      "value": "Cluster"
    }
  }
}

O exemplo a seguir cria um novo cluster vazio do Log Analytics com uma camada de compromisso de 500 GB.

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "clusterName": {
      "type": "string",
      "metadata": {
        "description": "Specify the name of the Log Analytics cluster."
      }
    },
    "location": {
      "type": "string",
      "defaultValue": "[resourceGroup().location]",
      "metadata": {
        "description": "Specify the location of the resources."
      }
    },
    "CommitmentTier": {
      "type": "int",
      "allowedValues": [
        100,
        200,
        300,
        400,
        500,
        1000,
        2000,
        5000
      ],
      "metadata": {
        "description": "Specify the capacity reservation value."
      }
    },
    "billingType": {
      "type": "string",
      "allowedValues": [
        "Cluster",
        "Workspaces"
      ],
      "metadata": {
        "description": "Specify the billing type settings. Can be 'Cluster' (default) or 'Workspaces' for proportional billing on workspaces."
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.OperationalInsights/clusters",
      "apiVersion": "2021-06-01",
      "name": "[parameters('clusterName')]",
      "location": "[parameters('location')]",
      "identity": {
        "type": "SystemAssigned"
      },
      "sku": {
        "name": "CapacityReservation",
        "capacity": "[parameters('CommitmentTier')]"
      },
      "properties": {
        "billingType": "[parameters('billingType')]"
      }
    }
  ]
}

Arquivo de parâmetros

{
  "$schema": "https://schema.management.azure.com/schemas/2019-08-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "clusterName": {
      "value": "MyCluster"
    },
    "CommitmentTier": {
      "value": 500
    },
    "billingType": {
      "value": "Cluster"
    }
  }
}

Verificar o status do provisionamento do cluster

O provisionamento do cluster do Log Analytics leva algum tempo para ser concluído. Use um dos seguintes métodos para verificar a propriedade ProvisioningState. O valor é Criando durante o provisionamento e Bem-sucedido quando concluído.

O portal fornecerá um status à medida que o cluster estiver sendo provisionado.

az account set --subscription "cluster-subscription-id"

az monitor log-analytics cluster show --resource-group "resource-group-name" --name "cluster-name"

Select-AzSubscription "cluster-subscription-id"

Get-AzOperationalInsightsCluster -ResourceGroupName "resource-group-name" -ClusterName "cluster-name"

Envie uma solicitação GET no recurso de cluster e observe o valor provisioningState. O valor é Criando durante o provisionamento e Bem-sucedido quando concluído.

GET https://management.azure.com/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.OperationalInsights/clusters/cluster-name?api-version=2023-09-01
Authorization: Bearer <token>

Resposta

{
  "identity": {
    "type": "SystemAssigned",
    "tenantId": "tenant-id",
    "principalId": "principal-id"
  },
  "sku": {
    "name": "capacityreservation",
    "capacity": 100
  },
  "properties": {
    "provisioningState": "Creating",
    "clusterId": "cluster-id",
    "billingType": "Cluster",
    "lastModifiedDate": "last-modified-date",
    "createdDate": "created-date",
    "isDoubleEncryptionEnabled": false,
    "isAvailabilityZonesEnabled": false,
    "capacityReservationProperties": {
      "lastSkuUpdate": "last-sku-modified-date",
      "minCapacity": 100
    }
  },
  "id": "/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.OperationalInsights/clusters/cluster-name",
  "name": "cluster-name",
  "type": "Microsoft.OperationalInsights/clusters",
  "location": "cluster-region"
}

O serviço de identidade gerenciada gera o GUID principalId quando você cria o cluster.

Vincular um workspace a um cluster

Observação

A vinculação de um workspace só pode ser realizada após a conclusão do provisionamento do cluster de Log Analytics.
Vincular um workspace a um cluster envolve a sincronização de vários componentes de back-end e hidratação de cache, que normalmente é concluída em duas horas.
Ao vincular um workspace do Log Analytics, o plano de cobrança do workspace foi alterado para LACluster e você deve remover o SKU no modelo de workspace para evitar conflitos durante a implantação do workspace.
Além dos aspectos de cobrança que são regidos pelo plano de cluster, todas as configurações do espaço de trabalho e os aspectos de consultas permanecem inalterados durante e após a vinculação.

Você precisa que o workspace e o recurso de cluster tenham permissões de ”gravação” para a operação de link do workspace:

No workspace: Microsoft.OperationalInsights/workspaces/write
No recurso de cluster: Microsoft.OperationalInsights/clusters/write

Quando um workspace do Log Analytics é vinculado a um cluster dedicado, novos dados enviados para o workspace são ingeridos para seu cluster dedicado, enquanto os dados ingeridos anteriormente permanecem no cluster do Log Analytics. A vinculação de um workspace não tem efeito sobre a operação do workspace, incluindo as experiências de ingestão e de consulta. O mecanismo de consulta do Log Analytics integra dados de clusters antigos e novos automaticamente, e os resultados das consultas são completos.

Os clusters são regionais e podem ser vinculados a até 1.000 workspaces localizados na mesma região do cluster. Um workspace não pode ser vinculado a um cluster mais de duas vezes por mês, para evitar a fragmentação de dados.

Os workspaces vinculados podem estar em assinaturas diferentes da assinatura em que o cluster está localizado. O workspace e o cluster poderão estar em locatários diferentes se o Azure Lighthouse for usado para mapeá-los para um único locatário.

Quando um cluster dedicado é configurado com uma chave gerenciada pelo cliente (CMK), os dados recém-ingeridos são criptografados com sua chave, enquanto os dados mais antigos permanecem criptografados com uma chave gerenciada pela Microsoft (MMK). A configuração de chave é abstraída pelo Log Analytics e a consulta entre criptografias de dados antigas e novas é executada perfeitamente.

Use as seguintes etapas para vincular um workspace a um cluster. Você pode usar automação para vincular vários workspaces:

Selecione seu cluster no menu Clusters dedicados do Log Analytics no portal do Azure e clique em Workspaces vinculados para exibir todos os workspaces atualmente vinculados ao cluster dedicado. Clique em Vincular workspaces para vincular workspaces adicionais.

Observação

Use o valor cluster para serviço vinculado name.

# Find cluster resource ID
az account set --subscription "cluster-subscription-id"
$clusterResourceId = az monitor log-analytics cluster list --resource-group "resource-group-name" --query "[?contains(name, 'cluster-name')].[id]" --output tsv

# Link workspace
az account set --subscription "workspace-subscription-id"
az monitor log-analytics workspace linked-service create --no-wait --name cluster --resource-group "resource-group-name" --workspace-name "workspace-name" --write-access-resource-id $clusterResourceId

# Wait for job completion when `--no-wait` was used
$workspaceResourceId = az monitor log-analytics workspace list --resource-group "resource-group-name" --query "[?contains(name, 'workspace-name')].[id]" --output tsv
az resource wait --deleted --ids $workspaceResourceId --include-response-body true

Observação

Use o valor do cluster para LinkedServiceName.

Select-AzSubscription "cluster-subscription-id"

# Find cluster resource ID
$clusterResourceId = (Get-AzOperationalInsightsCluster -ResourceGroupName "resource-group-name" -ClusterName "cluster-name").id

Select-AzSubscription "workspace-subscription-id"

# Link the workspace to the cluster
Set-AzOperationalInsightsLinkedService -ResourceGroupName "resource-group-name" -WorkspaceName "workspace-name" -LinkedServiceName cluster -WriteAccessResourceId $clusterResourceId -AsJob

# Check when the job is done
Get-Job -Command "Set-AzOperationalInsightsLinkedService" | Format-List -Property *

Use a seguinte chamada REST para vincular a um cluster:

Enviar

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/microsoft.operationalinsights/workspaces/<workspace-name>/linkedservices/cluster?api-version=2020-08-01 
Authorization: Bearer <token>
Content-type: application/json

{
  "properties": {
    "WriteAccessResourceId": "/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/microsoft.operationalinsights/clusters/<cluster-name>"
    }
}

Resposta

202 (Aceito) e cabeçalho.

Verificar status do link do espaço de trabalho

A operação de vinculação do workspace pode levar até 90 minutos para ser concluída. Você pode verificar o status nos workspaces vinculados e no cluster. Quando concluído, os recursos do workspace incluirão a propriedade clusterResourceId em features, e o cluster incluirá workspaces vinculados na seção associatedWorkspaces.

Quando um cluster é configurado com uma chave gerenciada pelo cliente, os dados ingeridos nos workspaces após a conclusão da operação de link serão armazenados criptografados com sua chave.

Na página Visão geral do cluster dedicado, selecione Exibição JSON. A seção associatedWorkspaces lista os workspaces vinculados ao cluster.

az account set --subscription "workspace-subscription-id"

az monitor log-analytics workspace show --resource-group "resource-group-name" --workspace-name "workspace-name"

Select-AzSubscription "workspace-subscription-id"

Get-AzOperationalInsightsWorkspace -ResourceGroupName "resource-group-name" -Name "workspace-name"

Chamada

GET https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/microsoft.operationalinsights/workspaces/<workspace-name>?api-version=2023-09-01
Authorization: Bearer <token>

Resposta

{
  "properties": {
    "source": "Azure",
    "customerId": "workspace-name",
    "provisioningState": "Succeeded",
    "sku": {
      "name": "pricing-tier-name",
      "lastSkuUpdate": "Tue, 28 Jan 2020 12:26:30 GMT"
    },
    "retentionInDays": 31,
    "features": {
      "legacy": 0,
      "searchVersion": 1,
      "enableLogAccessUsingOnlyResourcePermissions": true,
      "clusterResourceId": "/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.OperationalInsights/clusters/cluster-name"
    },
    "workspaceCapping": {
      "dailyQuotaGb": -1.0,
      "quotaNextResetTime": "Tue, 28 Jan 2020 14:00:00 GMT",
      "dataIngestionStatus": "RespectQuota"
    }
  },
  "id": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/microsoft.operationalinsights/workspaces/workspace-name",
  "name": "workspace-name",
  "type": "Microsoft.OperationalInsights/workspaces",
  "location": "region"
}

Alterar propriedades do cluster

Depois que você criar o recurso de cluster e ele estiver totalmente provisionado, edite as propriedades do cluster usando a CLI, o PowerShell ou a API REST. As propriedades que você poderá definir depois que o cluster for provisionado incluem:

keyVaultProperties – contém a chave no Azure Key Vault com os seguintes parâmetros: KeyVaultUri, KeyName, KeyVersion. Confira Atualizar cluster com detalhes do identificador de chave.
Identidade – a identidade usada para autenticar o Key Vault. Pode ser atribuída pelo sistema ou pelo usuário.
billingType – atribuição de cobrança para o recurso de cluster e seus dados. Inclui os seguintes valores:
- Cluster (padrão) – os custos do cluster são atribuídos ao recurso de cluster.
- Workspaces: os custos do seu cluster são atribuídos proporcionalmente aos workspaces no cluster, com o recurso de cluster sendo cobrado por parte do uso se o total de dados ingeridos por dia estiver abaixo da camada de serviço de compromisso. Confira Clusters dedicados do Log Analytics para saber mais sobre o modelo de preço do cluster.

Importante

Uma única atualização de cluster não deve incluir detalhes de identidade e identificador de chave na mesma operação. Se você precisar atualizar ambos, a atualização deverá ocorrer em duas operações consecutivas.

Não aplicável

O exemplo a seguir atualiza o tipo de cobrança.

az account set --subscription "cluster-subscription-id"

az monitor log-analytics cluster update --resource-group "resource-group-name" --name "cluster-name"  --billing-type {Cluster, Workspaces}

O exemplo a seguir atualiza o tipo de cobrança.

Select-AzSubscription "cluster-subscription-id"

Update-AzOperationalInsightsCluster -ResourceGroupName "resource-group-name" -ClusterName "cluster-name" -BillingType "Workspaces"

O exemplo a seguir atualiza o tipo de cobrança.

Chamada

PATCH https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.OperationalInsights/clusters/<cluster-name>?api-version=2023-09-01
Authorization: Bearer <token>
Content-type: application/json

{
  "properties": {
    "billingType": "Workspaces"
    },
    "location": "region"
}

O exemplo a seguir atualiza um cluster do Log Analytics para usar uma chave gerenciada pelo cliente.

@description('Specify the name of the Log Analytics cluster.')
param clusterName string
@description('Specify the location of the resources')
param location string = resourceGroup().location
@description('Specify the key vault name.')
param keyVaultName string
@description('Specify the key name.')
param keyName string
@description('Specify the key version. When empty, latest key version is used.')
param keyVersion string
var keyVaultUri = format('{0}{1}', keyVaultName, environment().suffixes.keyvaultDns)
resource cluster 'Microsoft.OperationalInsights/clusters@2021-06-01' = {
  name: clusterName
  location: location
  identity: {
    type: 'SystemAssigned'
  }
  properties: {
    keyVaultProperties: {
      keyVaultUri: keyVaultUri
      keyName: keyName
      keyVersion: keyVersion
    }
  }
}

Arquivo de parâmetros

{
  "$schema": "https://schema.management.azure.com/schemas/2019-08-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "clusterName": {
      "value": "MyCluster"
    },
    "keyVaultUri": {
      "value": "https://key-vault-name.vault.azure.net"
    },
    "keyName": {
      "value": "MyKeyName"
    },
    "keyVersion": {
      "value": ""
    }
  }
}

O exemplo a seguir atualiza um cluster do Log Analytics para usar uma chave gerenciada pelo cliente.

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "clusterName": {
      "type": "string",
      "metadata": {
        "description": "Specify the name of the Log Analytics cluster."
      }
    },
    "location": {
      "type": "string",
      "defaultValue": "[resourceGroup().location]",
      "metadata": {
        "description": "Specify the location of the resources"
      }
    },
    "keyVaultName": {
      "type": "string",
      "metadata": {
        "description": "Specify the key vault name."
      }
    },
    "keyName": {
      "type": "string",
      "metadata": {
        "description": "Specify the key name."
      }
    },
    "keyVersion": {
      "type": "string",
      "metadata": {
        "description": "Specify the key version. When empty, latest key version is used."
      }
    }
  },
  "variables": {
    "keyVaultUri": "[format('{0}{1}', parameters('keyVaultName'), environment().suffixes.keyvaultDns)]"
  },
  "resources": [
    {
      "type": "Microsoft.OperationalInsights/clusters",
      "apiVersion": "2021-06-01",
      "name": "[parameters('clusterName')]",
      "location": "[parameters('location')]",
      "identity": {
        "type": "SystemAssigned"
      },
      "properties": {
        "keyVaultProperties": {
          "keyVaultUri": "[variables('keyVaultUri')]",
          "keyName": "[parameters('keyName')]",
          "keyVersion": "[parameters('keyVersion')]"
        }
      }
    }
  ]
}

Arquivo de parâmetros

{
  "$schema": "https://schema.management.azure.com/schemas/2019-08-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "clusterName": {
      "value": "MyCluster"
    },
    "keyVaultUri": {
      "value": "https://key-vault-name.vault.azure.net"
    },
    "keyName": {
      "value": "MyKeyName"
    },
    "keyVersion": {
      "value": ""
    }
  }
}

Obter todos os clusters no grupo de recursos

No menu Clusters dedicados do Log Analytics no portal do Azure, selecione o filtro Grupo de recursos.

az account set --subscription "cluster-subscription-id"

az monitor log-analytics cluster list --resource-group "resource-group-name"

Select-AzSubscription "cluster-subscription-id"

Get-AzOperationalInsightsCluster -ResourceGroupName "resource-group-name"

Chamada

GET https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.OperationalInsights/clusters?api-version=2023-09-01
Authorization: Bearer <token>

Resposta

{
  "value": [
    {
      "identity": {
        "type": "SystemAssigned",
        "tenantId": "tenant-id",
        "principalId": "principal-id"
      },
      "sku": {
        "name": "capacityreservation",
        "capacity": 100
      },
      "properties": {
        "provisioningState": "Succeeded",
        "clusterId": "cluster-id",
        "billingType": "Cluster",
        "lastModifiedDate": "last-modified-date",
        "createdDate": "created-date",
        "isDoubleEncryptionEnabled": false,
        "isAvailabilityZonesEnabled": false,
        "capacityReservationProperties": {
          "lastSkuUpdate": "last-sku-modified-date",
          "minCapacity": 100
        }
      },
      "id": "/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.OperationalInsights/clusters/cluster-name",
      "name": "cluster-name",
      "type": "Microsoft.OperationalInsights/clusters",
      "location": "cluster-region"
    }
  ]
}

Obter todos os clusters na assinatura

No menu Clusters dedicados do Log Analytics no portal do Azure, selecione o filtro Assinatura.

az account set --subscription "cluster-subscription-id"

az monitor log-analytics cluster list

Select-AzSubscription "cluster-subscription-id"

Get-AzOperationalInsightsCluster

Chamada

GET https://management.azure.com/subscriptions/<subscription-id>/providers/Microsoft.OperationalInsights/clusters?api-version=2023-09-01
Authorization: Bearer <token>

Resposta

O mesmo que para "clusters em um grupo de recursos", mas no escopo da assinatura.

Atualizar o nível de compromisso no cluster

Quando o volume de dados nos workspaces vinculados mudar ao longo do tempo, você pode atualizar o nível da Camada de serviço de Compromisso adequadamente para otimizar o custo. O nível é especificado em unidades de Gigabytes (GB) e pode ter valores de 100, 200, 300, 400, 500, 1.000, 2.000, 5.000, 10.000, 25.000, 50.000 GB por dia. Você não precisa fornecer o corpo completo da solicitação REST, mas deve incluir o SKU.

Durante o período de compromisso, você pode alterar para um nível de compromisso mais alta, que reinicia o período de compromisso de 31 dias. Você não pode voltar para o pagamento conforme o uso ou para uma camada de serviço de compromisso inferior até terminar o período de compromisso.

Selecione seu cluster no menu Clusters dedicados do Log Analytics no portal do Azure e clique em Alterar ao lado do Nível de compromisso

az account set --subscription "cluster-subscription-id"

az monitor log-analytics cluster update --resource-group "resource-group-name" --name "cluster-name"  --sku-capacity 500

Select-AzSubscription "cluster-subscription-id"

Update-AzOperationalInsightsCluster -ResourceGroupName "resource-group-name" -ClusterName "cluster-name" -SkuCapacity 500

Chamada

PATCH https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.OperationalInsights/clusters/<cluster-name>?api-version=2023-09-01
Authorization: Bearer <token>
Content-type: application/json

{
  "sku": {
    "name": "capacityReservation",
    "Capacity": 2000
  }
}

Desvincular um espaço de trabalho do cluster

Você pode desvincular um workspace de um cluster a qualquer momento. O tipo de preço do workspace é alterado para por GB, os dados são ingeridos no cluster antes que a operação de desvinculação permaneça no cluster e novos dados para o workspace são ingeridos no Log Analytics.

Aviso

Desvincular um workspace não move os dados do workspace para fora do cluster. Todos os dados coletados para o workspace enquanto estiverem vinculados ao cluster, permanecerão no cluster durante o período de retenção definido no workspace e poderão ser acessados desde que o cluster não seja excluído.

As consultas não são afetadas quando o workspace está desvinculado e o serviço executa consultas entre clusters perfeitamente. Se o cluster tiver sido configurado com uma chave gerenciada pelo cliente (CMK), os dados ingeridos no workspace enquanto vinculados continuam criptografados e acessíveis com sua chave, enquanto sua chave e suas permissões para o Key Vault permanecerem.

Observação

Há um limite de duas operações de vinculação para um workspace específico dentro de um mês para impedir a distribuição de dados entre clusters. Entre em contato com o suporte se você atingir o limite.
Os workspaces desvinculados são movidos para um tipo de preço de Pagamento Conforme o Uso.

Use os seguintes comandos para desvincular um workspace do cluster:

Selecione seu cluster no menu Clusters dedicados do Log Analytics no portal do Azure e clique em Workspaces vinculados para exibir todos os workspaces atualmente vinculados ao cluster dedicado. Selecione os workspaces que você deseja desvincular e clique em Desvincular.

az account set --subscription "workspace-subscription-id"

az monitor log-analytics workspace linked-service delete --resource-group "resource-group-name" --workspace-name "workspace-name" --name cluster

Select-AzSubscription "workspace-subscription-id"

# Unlink a workspace from cluster
Remove-AzOperationalInsightsLinkedService -ResourceGroupName "resource-group-name" -WorkspaceName {workspace-name} -LinkedServiceName cluster

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/linkedServices/{linkedServiceName}?api-version=2020-08-01

Excluir cluster

Você precisa ter permissões de gravação no recurso de cluster.

A operação de exclusão de cluster deve ser feita com cuidado, pois a operação não é recuperável. Todos os dados ingeridos no cluster por meio de workspaces vinculados são excluídos permanentemente.

A cobrança do cluster é interrompida quando o cluster é excluído, independentemente do período de compromisso de 31 dias definido no cluster.

Se você excluir um cluster que tenha workspaces vinculados, eles serão desvinculados automaticamente do cluster, os workspaces serão movidos para o tipo de preço pagamento conforme o uso e novos dados para workspaces serão ingeridos para clusters do Log Analytics. Você poderá consultar o workspace durante o intervalo de tempo antes da vinculação ao cluster e após a desvinculação, e o serviço executará perfeitamente consultas entre clusters.

Observação

Há um limite de sete clusters por assinatura e região, cinco ativos e dois excluídos nas últimas duas semanas.
O nome de um cluster permanece reservado duas semanas após a exclusão e não pode ser usado para criar um novo cluster.

Use os seguintes comandos para excluir um cluster:

Selecione seu cluster no menu Clusters dedicados do Log Analytics no portal do Azure e clique em Excluir.

az account set --subscription "cluster-subscription-id"

az monitor log-analytics cluster delete --resource-group "resource-group-name" --name $clusterName

Select-AzSubscription "cluster-subscription-id"

Remove-AzOperationalInsightsCluster -ResourceGroupName "resource-group-name" -ClusterName "cluster-name"

Use a seguinte chamada REST para excluir um cluster:

DELETE https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.OperationalInsights/clusters/<cluster-name>?api-version=2023-09-01
Authorization: Bearer <token>

Resposta

200 OK

Alterar o tipo de identidade gerenciada

O tipo de identidade pode ser alterado após a criação do cluster sem interrupção na ingestão ou nas consultas, com as seguintes considerações:

Atualizando SystemAssigned para UserAssigned: conceda UserAssign no Key Vault e atualize o tipo de identidade no cluster
Atualizando UserAssigned para SystemAssigned – como a identidade gerenciada atribuída pelo sistema foi criada após atualizar o tipo de identidade do cluster com SystemAssigned, as seguintes etapas devem ser seguidas:
1. Atualizar o cluster para remover a chave – definir keyVaultUri, keyName e keyVersion como valor ""
2. Atualizar o tipo de identidade do cluster para SystemAssigned
3. Atualizar o Key Vault e conceder permissões à identidade
4. Atualizar chave no cluster

Limites e restrições

É possível criar um máximo de cinco clusters ativos em cada região e assinatura.
Um máximo de sete clusters permitidos por assinatura e região, cinco ativos, mais dois que foram excluídos nas últimas duas semanas.
No máximo 1.000 workspaces do Log Analytics podem ser vinculados a um cluster.
Um máximo de duas operações de vinculação de workspace em um workspace específico é permitido no período de 30 dias.
No momento, não há suporte para mover o cluster para outro grupo de recursos ou assinatura.
Não há suporte para a movimentação de um cluster para outra região.
Uma atualização de cluster não deve incluir detalhes de identidade e identificador de chave na mesma operação. Se você precisar atualizar ambos, a atualização deverá ocorrer em duas operações consecutivas.
No momento, o Lockbox não está disponível na China.
Atualmente, o Lockbox não pode ser aplicado a tabelas com o plano Auxiliar.
A criptografia dupla é configurada automaticamente para clusters criados a partir de outubro de 2020 em regiões com suporte. Para verificar se o cluster está configurado para criptografia dupla, envie uma solicitação GET ao cluster e observe se o valor isDoubleEncryptionEnabled é true para clusters com criptografia dupla habilitada.
- Se você criar um cluster e receber um erro "Nome-da-região não dá suporte à criptografia dupla para clusters.", ainda poderá criar o cluster sem criptografia dupla adicionando "properties": {"isDoubleEncryptionEnabled": false} ao corpo da solicitação REST.
- A configuração de criptografia dupla não pode ser alterada após a criação do cluster.
A exclusão de um workspace é permitida quando está vinculada a um cluster. Se você decidir recuperar o workspace durante o período de exclusão temporária, ele retornará ao estado anterior e permanecerá vinculado ao cluster.
Durante o período de compromisso, você pode alterar para um nível de compromisso mais alta, que reinicia o período de compromisso de 31 dias. Você não pode voltar para o pagamento conforme o uso ou para uma camada de serviço de compromisso inferior até terminar o período de compromisso.

Solução de problemas

Se você receber um erro de conflito ao criar um cluster, ele poderá ter sido excluído nas últimas 2 semanas e ainda estiver no processo de exclusão. O nome do cluster permanece reservado durante o período de exclusão de duas semanas e você não pode criar um novo cluster com esse nome.
Se você atualizar o cluster enquanto o cluster estiver no estado de provisionamento ou atualização, a atualização falhará.
Algumas operações são longas e podem demorar um pouco para serem concluídas. Elas incluem: criação de cluster, atualização de chave de cluster e exclusão de cluster. Você pode verificar o status da operação enviando uma solicitação GET para o cluster ou workspace e observar a resposta. Por exemplo, um workspace desvinculado não terá o clusterResourceId em features.
Se você tentar vincular um workspace do Log Analytics que já esteja vinculado a outro cluster, ocorrerá uma falha na operação.

Mensagens de erro

Criação de Cluster

400 – O nome do cluster não é válido. O nome do cluster pode conter caracteres a-z, A-Z, 0-9 e um comprimento de 3 a 63.
400 – O corpo da solicitação é nulo ou está em formato inadequado.
400 – O nome do SKU é inválido. Defina o nome do SKU como capacityReservation.
400 – A capacidade foi fornecida, mas o SKU não é capacityReservation. Defina o nome do SKU como capacityReservation.
400 – Capacidade ausente no SKU. Defina o valor da capacidade como 100, 200, 300, 400, 500, 1.000, 2.000, 5.000, 10.000, 25.000, 50.000 GB por dia.
400 – A capacidade está bloqueada por 30 dias. A redução da capacidade é permitida 30 dias após a atualização.
400 – Nenhum SKU definido. Defina o nome da SKU como capacityReservation e o valor da capacidade como 100, 200, 300, 400, 500, 1.000, 2.000, 5.000, 10.000, 25.000, 50.000 GB por dia.
400 – A operação não pode ser executada agora. A operação assíncrona está em um estado diferente de bem-sucedido. O cluster precisa concluir a operação antes que uma atualização seja executada.

Atualização do cluster

400 – O cluster está em estado de exclusão. A operação assíncrona está em andamento. O cluster precisa concluir a operação antes que uma atualização seja executada.
400 – KeyVaultProperties não está vazio, mas tem um formato inválido. Confira a atualização do identificador de chave.
400 – Falha ao validar a chave no Key Vault. Pode ser que faltem permissões ou que a chave não exista. Verifique se você definiu a política de acesso e chave no Key Vault.
400 – A chave não pode ser recuperada. O Key Vault precisa ser configurado para exclusão temporária e proteção de limpeza. Confira a documentação do Key Vault
400 – A operação não pode ser executada agora. Espere pela conclusão da operação assíncrona e tente de novo.
400 – O cluster está em estado de exclusão. Espere pela conclusão da operação assíncrona e tente de novo.

Obtenção de cluster

404 – Cluster não encontrado. Ele pode ter sido excluído. Se você tentar criar um cluster com esse nome e obter um conflito, o cluster estará em processo de exclusão.

Exclusão de cluster

409 – Não é possível excluir um cluster no estado de provisionamento. Espere pela conclusão da operação assíncrona e tente de novo.

Vinculação de workspace

404 – Espaço de trabalho não encontrado. O workspace especificado não existe ou foi excluído.
409 – Operação de vinculação ou desvinculação do workspace em andamento.
400 – Cluster não encontrado. O cluster especificado não existe ou foi excluído.

Desvinculação de workspace

404 – Espaço de trabalho não encontrado. O workspace especificado não existe ou foi excluído.
409 – Operação de vinculação ou desvinculação do workspace em andamento.

Próximas etapas

Saiba mais sobre o faturamento de clusters dedicados do Log Analytics.
Saiba mais sobre o design correto dos workspaces do Log Analytics.
Obtenha outros modelos de amostra para o Azure Monitor.

Comentários

Esta página foi útil?

Last updated on 2025-07-07

Compartilhar via

Criar e gerenciar um cluster dedicado nos Logs do Azure Monitor

Recursos avançados

Modelo de preço do cluster

Permissões necessárias

Exemplos de modelo do Resource Manager

Referências de modelo

Preparação

Criar um cluster dedicado

Verificar o status do provisionamento do cluster

Vincular um workspace a um cluster

Verificar status do link do espaço de trabalho

Alterar propriedades do cluster

Obter todos os clusters no grupo de recursos

Obter todos os clusters na assinatura

Atualizar o nível de compromisso no cluster

Desvincular um espaço de trabalho do cluster

Excluir cluster

Alterar o tipo de identidade gerenciada

Limites e restrições

Solução de problemas

Mensagens de erro

Criação de Cluster

Atualização do cluster

Obtenção de cluster

Exclusão de cluster

Vinculação de workspace

Desvinculação de workspace

Próximas etapas

Comentários

Recursos adicionais