Mover um workspace do Log Analytics para uma assinatura ou um grupo de recursos diferente

2025-04-22

Este artigo explica como mover um workspace do Log Analytics para outro grupo de recursos ou assinatura na mesma região. Mover um workspace do Log Analytics na mesma região não afeta os dados de log ou as configurações de retenção de dados.

Dica

Para saber mais sobre como mover recursos do Azure por meio do portal do Azure, do PowerShell, da CLI do Azure ou da API REST, consulte Mover recursos para um novo grupo de recursos ou assinatura.

Pré-requisitos

A assinatura ou o grupo de recursos para onde você deseja mover seu workspace do Log Analytics deve estar localizado na mesma região que o workspace do Log Analytics que você está movendo.
A operação de mudança exige que nenhum serviço possa ser vinculado ao workspace. Antes da mudança, exclua as soluções que dependem dos serviços vinculados, incluindo uma conta de Automação do Azure. Essas soluções precisam ser removidas antes que você possa desvincular a conta de Automação. A coleta de dados para as soluções será interrompida e as respectivas tabelas serão removidas da interface do usuário, mas os dados permanecerão no workspace até o final do período de retenção definido para a tabela. Quando você adiciona soluções após a migração, a ingestão é restaurada e as tabelas ficam visíveis com os dados. Os serviços vinculados incluem:
- Gerenciamento de atualizações
- Controle de alterações
- Iniciar/Parar VMs durante os horários inativos
- Microsoft Defender para Nuvem
Os agentes do Log Analytics e agente do Azure Monitor conectados permanecem conectados ao workspace após a mudança, sem interrupção na ingestão.
Os alertas devem ser recriados após a migração, já que as permissões de alertas são baseadas na ID do recurso do workspace que é alterada com a migração. Os alertas criados após 1º de junho de 2019 ou em workspaces cujas APIs foram atualizadas da API de Alerta herdada do Log Analytics para a API scheduledQueryRules podem ser exportados em modelos e implantados após a migração. Você pode verificar se a API scheduledQueryRules é usada para alertas em seu workspace. Como alternativa, você pode configurar os alertas manualmente no workspace de destino.
Atualize os caminhos do recurso após um workspace ser migrado para o Azure ou para recursos externos que apontem para o workspace. Por exemplo: regras de alerta do Azure Monitor, aplicativos de terceiros, scripts personalizados etc.

Permissões necessárias

Ação	Permissões necessárias
Verificar o locatário do Microsoft Entra.	As permissões `Microsoft.AzureActiveDirectory/b2cDirectories/read`, conforme fornecidas pela função interna do Leitor do Log Analytics, por exemplo.
Excluir uma solução.	As permissões `Microsoft.OperationsManagement/solutions/delete` na solução, conforme fornecido pela função interna Colaborador do Log Analytics, por exemplo.
Remover regras de alerta para a solução Iniciar/Parar VMs.	As permissões `microsoft.insights/scheduledqueryrules/delete`, conforme fornecidas pela função interna Colaborador do monitoramento, por exemplo.
Desvincular a conta de Automação	As permissões `Microsoft.OperationalInsights/workspaces/linkedServices/delete` no workspace do Log Analytics conectado, conforme fornecido pela função interna Colaborador do Log Analytics, por exemplo.
Mover um workspace do Log Analytics.	As permissões `Microsoft.OperationalInsights/workspaces/delete` e `Microsoft.OperationalInsights/workspaces/write` no workspace do Log Analytics, conforme fornecido pela função interna colaborador do Log Analytics, por exemplo.

Considerações

O Azure Resource Manager pode precisar de algumas horas para concluir esse processo. As soluções podem não responder durante a operação.
Os dados de log e as configurações de retenção de dados permanecerão inalterados.
As soluções gerenciadas instaladas no workspace também serão movidas.
Soluções gerenciadas são objetos de workspace e não podem ser movidas independentemente.
As chaves (primárias e secundárias) do workspace são regeneradas com a operação de mudança do workspace. Se você mantiver uma cópia das chaves do workspace no Azure Key Vault, atualize-as com as novas chaves geradas após a mudança do workspace.

Importante

Clientes do Microsoft Sentinel

Atualmente, depois que o Microsoft Sentinel é implantado em um workspace, não há suporte para migrar o workspace para outro grupo de recurso ou assinatura.
Se você já moveu o workspace, desabilite todas as regras ativas em Análise e habilite-as novamente após cinco minutos. Essa solução deve ser eficaz na maioria dos casos, embora não haja suporte para ela e ela traga riscos.

Verificar o locatário do Microsoft Entra

As assinaturas de workspaces de origem e destino precisam existir no mesmo locatário da Microsoft. Use o Azure PowerShell para verificar se ambas as assinaturas têm a mesma ID de locatário do Entra.

Localize o locatário do Microsoft Entra para as assinaturas de origem e destino.

Para buscar a ID do locatário para as assinaturas de origem e de destino, chame Assinaturas – Obter API:

GET https://management.azure.com/subscriptions/{subscriptionId}?api-version=2020-01-01

Execute o comando az account tenant:

az account tenant list --subscription <your-source-subscription>
az account tenant list --subscription <your-destination-subscription>

Execute o comando Get-AzSubscription:

(Get-AzSubscription -SubscriptionName <your-source-subscription>).TenantId
(Get-AzSubscription -SubscriptionName <your-destination-subscription>).TenantId

Excluir soluções

Abra o menu do grupo de recursos em que as soluções estão instaladas.
Selecione as soluções a remover.
Selecione Excluir Recursos e, a seguir, confirme os recursos que serão removidos selecionando Excluir.

Para excluir a solução, chame os Recursos - Excluir API:

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{parentResourcePath}/{resourceType}/{resourceName}?api-version=2021-04-01

Para remover as soluções, execute o comando az resource delete. Você precisa especificar o nome do recurso, o tipo de recurso e o grupo de recursos da solução que deseja Excluir:

az resource delete --name <resource-name> --resource-type <resource-type> --resource-group <resource-group-name>

Para remover soluções, utilize o cmdlet Remove-AzResource, conforme mostrado no exemplo a seguir:

Remove-AzResource -ResourceType 'Microsoft.OperationsManagement/solutions' -ResourceName "ChangeTracking(<workspace-name>)" -ResourceGroupName <resource-group-name>
Remove-AzResource -ResourceType 'Microsoft.OperationsManagement/solutions' -ResourceName "Updates(<workspace-name>)" -ResourceGroupName <resource-group-name>
Remove-AzResource -ResourceType 'Microsoft.OperationsManagement/solutions' -ResourceName "Start-Stop-VM(<workspace-name>)" -ResourceGroupName <resource-group-name>

Remover regras de alerta para a solução de Início/Parada de VMs

Para remover a solução Iniciar/Parar VMs, você também precisa remover as regras de alerta criadas por ela.

Abra o menu Monitorar e selecione Alertas.
Selecione Gerenciar regras de alerta.
Selecione as seguintes três regras de alerta e selecione Excluir:
- AutoStop_VM_Child
- ScheduledStartStop_Parent
- SequencedStartStop_Parent

Exclua as seguintes regras de alerta chamando as Regras de Consulta Agendadas – Excluir API:

AutoStop_VM_Child
ScheduledStartStop_Parent
SequencedStartStop_Parent

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/scheduledQueryRules/{ruleName}?api-version=2023-03-15-preview

Exclua as seguintes regras de alerta executando o comando az monitor scheduled-query delete:

AutoStop_VM_Child
ScheduledStartStop_Parent
SequencedStartStop_Parent

az monitor scheduled-query delete [--ids]
                                  [--name]
                                  [--resource-group]
                                  [--subscription]
                                  [--yes]

Desvincular a conta de Automação

Consulte Excluir uma conta de Automação autônoma vinculada ao workspace.

Chame os Serviços Vinculados – Excluir API.

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/linkedServices/{linkedServiceName}?api-version=2020-08-01

Mover o workspace

Abra o menu Workspaces do Log Analytics e selecione seu workspace.
Na página de Visão geral, selecione alterar ao lado de Grupo de recursos ou Nome da assinatura.
Uma nova página é aberta com uma lista de recursos relacionados ao workspace. Selecione os recursos a serem movidos para a mesma assinatura de destino e grupo de recursos que o workspace.
Selecione uma Assinatura de destino e um Grupo de recursos. Se estiver movendo o workspace para outro grupo de recursos na mesma assinatura, você não verá a opção Assinatura.
Selecione OK para mover o workspace e os recursos selecionados.

Para mover seu espaço de trabalho, chame a API de movimentação de recursos.

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{sourceResourceGroupName}/moveResources?api-version=2021-04-01

Para mover seu espaço de trabalho, execute o comando az resource move:

az resource move --destination-group
                 --ids
                 [--destination-subscription-id]

Para mover seu espaço de trabalho, execute o cmdlet Move-AzResource, conforme mostrado no exemplo a seguir:

Move-AzResource -ResourceId "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/MyResourceGroup01/providers/Microsoft.OperationalInsights/workspaces/MyWorkspace" -DestinationSubscriptionId "00000000-0000-0000-0000-000000000000" -DestinationResourceGroupName "MyResourceGroup02"

Importante

Após a operação de mudança, as soluções removidas e o link da conta de Automação devem ser reconfigurados para restaurar o espaço de trabalho ao seu estado anterior.

Próximas etapas

Para obter uma lista dos recursos que dão suporte à operação de mudança, consulte Suporte à operação de mudança de recursos.