Создание и управление выделенным кластером в журналах Azure Monitor

2025-02-23

Выделенный кластер в Azure Monitor обеспечивает расширенные возможности безопасности и управления и оптимизацию затрат. Вы можете связать новые или существующие рабочие области с кластером без прерывания приема и выполнения запросов.

Расширенные возможности

Ниже перечислены возможности, требующие использования выделенных кластеров.

Управляемые клиентом ключи — шифрование данных с помощью ключа, который вы предоставляете и управляете.
Блокировка — управление доступом инженера службы поддержки Майкрософт к вашим данным.
Двойное шифрование — дополнительный уровень шифрования данных.
Оптимизация между запросами— запросы между рабочими областями выполняются быстрее, когда в одном кластере.
Оптимизация затрат . Связывание рабочих областей в одном регионе с кластером и получение скидки на уровень обязательств для приема данных из всех связанных рабочих областей.
Зоны доступности — защита данных с помощью центров обработки данных в разных физических местах, оснащенная независимым питанием, охлаждением и сетями. Зоны доступности Azure Monitor охватывают более широкие части службы и, когда они доступны в вашем регионе, автоматически расширяют устойчивость Azure Monitor. Azure Monitor создает выделенные кластеры в качестве поддержки зон доступности (isAvailabilityZonesEnabled:true) по умолчанию в поддерживаемых регионах. Выделенные кластеры в зонах доступности в настоящее время не поддерживаются во всех регионах.
Прием данных из Центров событий Azure— позволяет получать данные непосредственно из Центров событий в рабочую область Log Analytics.

Ценовая модель кластера

Выделенные кластеры Log Analytics используют модель ценообразования на уровне обязательств, начиная с 100 ГБ в день. Объем данных, превышающий уровень обязательств, тарифицируется по ставке за ГБ. Уровень обязательств может быть увеличен в любое время, но имеет 31-дневный период обязательств, прежде чем он может быть сокращен. См. детали о ценах на журналы Azure Monitor для получения информации о уровнях обязательств.

Существует два значения типа выставления счетов, определяющие атрибуцию выставления счетов для подлежащих учету данных:

Cluster (по умолчанию): затраты на кластер относятся к кластерному ресурсу.
Workspaces: Затраты на кластер распределяются пропорционально рабочим областям в кластере, причем часть использования кластерного ресурса все равно выставляется на оплату, если общий объем принимаемых данных за день находится ниже уровня обязательств. Дополнительные сведения о модели ценообразования для кластеров см. в разделе Выделенные кластеры Log Analytics.

Необходимые разрешения

Для выполнения действий, связанных с кластером, вам потребуется следующее:

Действие	Необходимые разрешения или роли
Создать выделенный кластер	`Microsoft.Resources/deployments/*`и `Microsoft.OperationalInsights/clusters/write` разрешения, предоставляемые встроенной ролью Участника Log Analytics, например
Изменение свойств кластера	`Microsoft.OperationalInsights/clusters/write`разрешения, предоставляемые встроенной ролью Участника Log Analytics, например
Связывание рабочих областей с кластером	`Microsoft.OperationalInsights/clusters/write`, `Microsoft.OperationalInsights/workspaces/write`и `Microsoft.OperationalInsights/workspaces/linkedservices/write` разрешения, предоставляемые встроенной ролью Участника Log Analytics, например
Проверка состояния связывания рабочей области	`Microsoft.OperationalInsights/workspaces/read`разрешения на рабочую область, предоставляемые встроенной ролью Log Analytics Reader, например
Получение кластеров или проверка статуса настройки кластера	`Microsoft.OperationalInsights/clusters/read`разрешения, предоставляемые встроенной ролью Log Analytics Reader, например
Обновление уровня обязательств по тарифу или типа выставления счетов в кластере	`Microsoft.OperationalInsights/clusters/write`разрешения, предоставляемые встроенной ролью Участника Log Analytics, например
Предоставление необходимых разрешений	Роль владельца или участника с разрешениями `/write`, или встроенная роль Участника Log Analytics, которая имеет разрешения `Microsoft.OperationalInsights/`.
Отсоединение рабочей области от кластера	`Microsoft.OperationalInsights/workspaces/linkedServices/delete`разрешения, предоставляемые встроенной ролью Участника Log Analytics, например
Удалите выделенный кластер	`Microsoft.OperationalInsights/clusters/delete`разрешения, предоставляемые встроенной ролью Участника Log Analytics, например

Дополнительные сведения о разрешениях Log Analytics см. в статье Управление доступом к данным журнала и рабочей областью в Azure Monitor.

Примеры шаблонов Resource Manager

В этой статье приведены примеры шаблонов Azure Resource Manager (ARM) для создания и настройки кластеров Log Analytics в Azure Monitor. Каждый пример включает файл шаблона и файл параметров с примерами значений для использования в шаблоне.

Примечание.

См. примеры Azure Resource Manager для Azure Monitor, чтобы ознакомиться со списком доступных примеров и рекомендациями по их развертыванию в вашей подписке Azure.

Ссылки на шаблоны

Кластеры Microsoft.OperationalInsights

Подготовка

Выставление счетов на уровне обязательств кластера начинается после создания независимо от приема данных, и рекомендуется подготовить следующие параметры перед началом работы.

Подписка, в которой создается кластер
Укажите список рабочих областей, которые планируется связать с кластером. Они должны находиться в том же регионе, что и кластер.
Завершите выбор типа выставления счетов и атрибуции, будь то для кластера (по умолчанию) или пропорционально для связанных рабочих областей.
Проверка разрешений на создание кластера и связывание рабочих областей

Примечание.

Создание кластера и связывание рабочих областей выполняются в асинхронных операциях, которые могут занять несколько часов.
Связывание или отмена связывания рабочих областей в кластере не влияет на ингеcтацию или выполнение запросов в ходе этих операций.

Создать выделенный кластер

Укажите следующие свойства при создании выделенного кластера:

ClusterName: должно быть уникальным для группы ресурсов.
ResourceGroupName: используйте центральную ИТ-группу ресурсов, так как многие команды в организации обычно используют кластеры. Дополнительные рекомендации по проектированию см. в статье "Проектирование конфигурации рабочей области Log Analytics".
Местонахождение
SkuCapacity: Вы можете задать уровень обязательств 100, 200, 300, 400, 500, 1000, 2000, 5000, 10000, 25000 или 50000 ГБ в день. Минимальный уровень обязательств, поддерживаемый в CLI, составляет 500 ГБ. Используйте REST для настройки более низких уровней обязательств с минимальным количеством 100 ГБ. Дополнительные сведения о затратах на кластер см. в разделе "Выделенные кластеры".
Управляемое удостоверение: кластеры поддерживают два типа управляемых удостоверений:
- Управляемое удостоверение, назначаемое системой, создается автоматически при создании кластера, если для удостоверения type задано значение SystemAssigned. Это удостоверение можно использовать позже для предоставления доступа к хранилищу Key Vault для операций упаковки и распаковки.
  
  Идентификация в REST-вызове кластера
```
{
  "identity": {
    "type": "SystemAssigned"
    }
}
```
- Управляемое удостоверение, назначаемое пользователем, позволяет настроить ключ, управляемый клиентом, при создании кластера, предоставляя ему разрешения в Key Vault до создания кластера.
  
  Идентификация в REST-вызове кластера
```
{
"identity": {
  "type": "UserAssigned",
    "userAssignedIdentities": {
      "subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.ManagedIdentity/UserAssignedIdentities/<cluster-assigned-managed-identity>"
    }
  }  
}
```

После создания ресурса кластера можно изменить такие свойства, как sku, keyVaultProperties или billingType. Дополнительные сведения см. ниже.

Удаленные кластеры полностью удаляются за две недели. Вы можете иметь до семи кластеров на подписку и регион — пять активных и два удаленных за последние две недели.

Примечание.

Создание кластера включает несколько ресурсов, и операция обычно завершается в два часа. Как только выделенный кластер будет настроен, начисление будет производиться независимо от приема данных. Рекомендуется подготовить развертывание для ускорения предоставления услуг и связки рабочих областей с кластером. Проверьте выполнение следующих условий.

Определяется список начальных рабочих областей, связанных с кластером.
У вас есть разрешения на подписку, предназначенную для кластера, и любую рабочую область, которую необходимо связать.

Щелкните Создать в меню выделенных кластеров Log Analytics в портале Azure. Вам будет предложено получить подробные сведения, такие как имя кластера и уровень обязательств.

Примечание.

Минимальный уровень обязательств, поддерживаемый в CLI, составляет 500 ГБ. Используйте REST для настройки более низких уровней обязательств с минимальным количеством 100 ГБ.

az account set --subscription "cluster-subscription-id"

az monitor log-analytics cluster create --no-wait --resource-group "resource-group-name" --name "cluster-name" --location "region-name" --sku-capacity "daily-ingestion-gigabyte"

# Wait for job completion when `--no-wait` was used
$clusterResourceId = az monitor log-analytics cluster list --resource-group "resource-group-name" --query "[?contains(name, 'cluster-name')].[id]" --output tsv
az resource wait --created --ids $clusterResourceId --include-response-body true

Примечание.

Минимальный уровень обязательств, поддерживаемый в PowerShell, составляет 500 ГБ. Используйте REST для настройки более низких уровней обязательств с минимальным количеством 100 ГБ.

Select-AzSubscription "cluster-subscription-id"

New-AzOperationalInsightsCluster -ResourceGroupName "resource-group-name" -ClusterName "cluster-name" -Location "region-name" -SkuCapacity "daily-ingestion-gigabyte" -AsJob

# Check when the job is done when `-AsJob` was used
Get-Job -Command "New-AzOperationalInsightsCluster*" | Format-List -Property *

Позвонить

PUT https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.OperationalInsights/clusters/<cluster-name>?api-version=2023-09-01
Authorization: Bearer <token>
Content-type: application/json

{
  "identity": {
    "type": "systemAssigned"
    },
  "sku": {
    "name": "capacityReservation",
    "Capacity": 100
    },
  "properties": {
    "billingType": "Cluster",
    },
  "location": "<region>",
}

Ответ

Должно быть 202 (принято) и заголовок.

В следующем примере создается пустой кластер Log Analytics с уровнем обязательств размером 500 ГБ.

@description('Specify the name of the Log Analytics cluster.')
param clusterName string

@description('Specify the location of the resources.')
param location string = resourceGroup().location

@description('Specify the capacity reservation value.')
@allowed([
  100
  200
  300
  400
  500
  1000
  2000
  5000
])
param CommitmentTier int

@description('Specify the billing type settings. Can be \'Cluster\' (default) or \'Workspaces\' for proportional billing on workspaces.')
@allowed([
  'Cluster'
  'Workspaces'
])
param billingType string

resource cluster 'Microsoft.OperationalInsights/clusters@2021-06-01' = {
  name: clusterName
  location: location
  identity: {
    type: 'SystemAssigned'
  }
  sku: {
    name: 'CapacityReservation'
    capacity: CommitmentTier
  }
  properties: {
    billingType: billingType
  }
}

Файл параметров

{
  "$schema": "https://schema.management.azure.com/schemas/2019-08-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "clusterName": {
      "value": "MyCluster"
    },
    "CommitmentTier": {
      "value": 500
    },
    "billingType": {
      "value": "Cluster"
    }
  }
}

В следующем примере создается пустой кластер Log Analytics с уровнем обязательств размером 500 ГБ.

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "clusterName": {
      "type": "string",
      "metadata": {
        "description": "Specify the name of the Log Analytics cluster."
      }
    },
    "location": {
      "type": "string",
      "defaultValue": "[resourceGroup().location]",
      "metadata": {
        "description": "Specify the location of the resources."
      }
    },
    "CommitmentTier": {
      "type": "int",
      "allowedValues": [
        100,
        200,
        300,
        400,
        500,
        1000,
        2000,
        5000
      ],
      "metadata": {
        "description": "Specify the capacity reservation value."
      }
    },
    "billingType": {
      "type": "string",
      "allowedValues": [
        "Cluster",
        "Workspaces"
      ],
      "metadata": {
        "description": "Specify the billing type settings. Can be 'Cluster' (default) or 'Workspaces' for proportional billing on workspaces."
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.OperationalInsights/clusters",
      "apiVersion": "2021-06-01",
      "name": "[parameters('clusterName')]",
      "location": "[parameters('location')]",
      "identity": {
        "type": "SystemAssigned"
      },
      "sku": {
        "name": "CapacityReservation",
        "capacity": "[parameters('CommitmentTier')]"
      },
      "properties": {
        "billingType": "[parameters('billingType')]"
      }
    }
  ]
}

Файл параметров

{
  "$schema": "https://schema.management.azure.com/schemas/2019-08-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "clusterName": {
      "value": "MyCluster"
    },
    "CommitmentTier": {
      "value": 500
    },
    "billingType": {
      "value": "Cluster"
    }
  }
}

Проверка состояния подготовки кластера

Подготовка кластера Log Analytics занимает некоторое время. Чтобы проверить свойство ProvisioningState, используйте один из описанных ниже способов. Его значение должно быть равным ProvisioningAccount во время подготовки и Succeeded после завершения.

Портал предоставит состояние подготовки кластера.

az account set --subscription "cluster-subscription-id"

az monitor log-analytics cluster show --resource-group "resource-group-name" --name "cluster-name"

Select-AzSubscription "cluster-subscription-id"

Get-AzOperationalInsightsCluster -ResourceGroupName "resource-group-name" -ClusterName "cluster-name"

Отправьте запрос GET к кластерному ресурсу и проверьте значение provisioningState. Его значение должно быть равным ProvisioningAccount во время подготовки и Succeeded после завершения.

GET https://management.azure.com/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.OperationalInsights/clusters/cluster-name?api-version=2023-09-01
Authorization: Bearer <token>

Ответ

{
  "identity": {
    "type": "SystemAssigned",
    "tenantId": "tenant-id",
    "principalId": "principal-id"
  },
  "sku": {
    "name": "capacityreservation",
    "capacity": 100
  },
  "properties": {
    "provisioningState": "ProvisioningAccount",
    "clusterId": "cluster-id",
    "billingType": "Cluster",
    "lastModifiedDate": "last-modified-date",
    "createdDate": "created-date",
    "isDoubleEncryptionEnabled": false,
    "isAvailabilityZonesEnabled": false,
    "capacityReservationProperties": {
      "lastSkuUpdate": "last-sku-modified-date",
      "minCapacity": 100
    }
  },
  "id": "/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.OperationalInsights/clusters/cluster-name",
  "name": "cluster-name",
  "type": "Microsoft.OperationalInsights/clusters",
  "location": "cluster-region"
}

Служба управляемых удостоверений создаёт GUID principalId при создании кластера.

Связывание рабочей области с кластером

Примечание.

Связывание рабочей области может выполняться только после завершения развертывания кластера Log Analytics.
Связывание рабочей области с кластером включает синхронизацию нескольких внутренних компонентов и гидратации кэша, которые обычно выполняются в два часа.
При связывании рабочей области Log Analytics план выставления счетов рабочей области изменяется на LACluster, и необходимо удалить SKU в шаблоне рабочей области, чтобы предотвратить конфликт во время развертывания рабочей области.
Кроме аспектов выставления счетов, управляемых планом кластера, все конфигурации рабочей области и аспекты запросов остаются неизменными во время и после ссылки.

Для операции ссылки на рабочую область и ресурс кластера требуются разрешения на запись:

В рабочей области: Microsoft.OperationalInsights/workspaces/write
В ресурсе кластера: Microsoft.OperationalInsights/clusters/write

После связывания рабочей области Log Analytics с выделенным кластером новые данные, отправленные в рабочую область, передаются в выделенный кластер, а ранее приемируемые данные остаются в кластере Log Analytics. Связывание рабочей области не влияет на работу рабочей области, включая сбор данных и выполнение запросов. Подсистема запросов Log Analytics автоматически объединяет данные из старых и новых кластеров, и результаты запросов полные.

Кластеры являются региональными и могут быть связаны с 1000 рабочими областями, расположенными в том же регионе, что и кластер. Рабочая область не может быть связана с кластером более двух раз в месяц, чтобы предотвратить фрагментацию данных.

Связанные рабочие области могут находиться в подписках, отличающихся от подписки, в которой находится кластер. Рабочая область и кластер могут находиться в разных арендаторах, если используется Azure Lighthouse для их сопоставления с одним арендатором.

При настройке выделенного кластера с помощью ключа, управляемого клиентом (CMK), вновь передаваемые данные шифруются с помощью ключа, а старые данные остаются зашифрованными с помощью управляемого корпорацией Майкрософт ключа (MMK). Ключевая конфигурация абстрагируется системой Log Analytics, и запрос через старые и новые шифрования данных выполняется бесшовно.

Чтобы связать рабочую область с кластером, выполните следующие действия. Вы можете использовать автоматизацию для связывания нескольких рабочих областей:

Выберите кластер из меню выделенных кластеров Log Analytics в портал Azure и выберите связанные рабочие области, чтобы просмотреть все рабочие области, связанные с выделенным кластером. Щелкните "Связать рабочие области" , чтобы связать дополнительные рабочие области.

Примечание.

Используйте значение кластера для связанной службы name.

# Find cluster resource ID
az account set --subscription "cluster-subscription-id"
$clusterResourceId = az monitor log-analytics cluster list --resource-group "resource-group-name" --query "[?contains(name, 'cluster-name')].[id]" --output tsv

# Link workspace
az account set --subscription "workspace-subscription-id"
az monitor log-analytics workspace linked-service create --no-wait --name cluster --resource-group "resource-group-name" --workspace-name "workspace-name" --write-access-resource-id $clusterResourceId

# Wait for job completion when `--no-wait` was used
$workspaceResourceId = az monitor log-analytics workspace list --resource-group "resource-group-name" --query "[?contains(name, 'workspace-name')].[id]" --output tsv
az resource wait --deleted --ids $workspaceResourceId --include-response-body true

Примечание.

Используйте значение кластера для LinkedServiceName.

Select-AzSubscription "cluster-subscription-id"

# Find cluster resource ID
$clusterResourceId = (Get-AzOperationalInsightsCluster -ResourceGroupName "resource-group-name" -ClusterName "cluster-name").id

Select-AzSubscription "workspace-subscription-id"

# Link the workspace to the cluster
Set-AzOperationalInsightsLinkedService -ResourceGroupName "resource-group-name" -WorkspaceName "workspace-name" -LinkedServiceName cluster -WriteAccessResourceId $clusterResourceId -AsJob

# Check when the job is done
Get-Job -Command "Set-AzOperationalInsightsLinkedService" | Format-List -Property *

Для связывания с кластером используйте следующий вызов REST:

Отправка

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/microsoft.operationalinsights/workspaces/<workspace-name>/linkedservices/cluster?api-version=2020-08-01 
Authorization: Bearer <token>
Content-type: application/json

{
  "properties": {
    "WriteAccessResourceId": "/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/microsoft.operationalinsights/clusters/<cluster-name>"
    }
}

Ответ

202 (принято) и заголовок.

Проверка состояния связывания рабочей области

Операция связывания рабочей области может занять до 90 минут. Состояние можно проверить как в связанных рабочих областях, так и в кластере. По завершении ресурсы рабочей области будут включать свойство clusterResourceId в разделе features, а кластер будет включать связанные рабочие области в разделе associatedWorkspaces.

Когда кластер настроен с помощью ключа, управляемого клиентом, данные, передаваемые в рабочие области после завершения операции связывания, будут храниться в зашифрованном виде с помощью ключа.

На странице "Обзор" для выделенного кластера выберите представление JSON. В associatedWorkspaces разделе перечислены рабочие области, связанные с кластером.

az account set --subscription "workspace-subscription-id"

az monitor log-analytics workspace show --resource-group "resource-group-name" --workspace-name "workspace-name"

Select-AzSubscription "workspace-subscription-id"

Get-AzOperationalInsightsWorkspace -ResourceGroupName "resource-group-name" -Name "workspace-name"

Позвонить

GET https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/microsoft.operationalinsights/workspaces/<workspace-name>?api-version=2023-09-01
Authorization: Bearer <token>

Ответ

{
  "properties": {
    "source": "Azure",
    "customerId": "workspace-name",
    "provisioningState": "Succeeded",
    "sku": {
      "name": "pricing-tier-name",
      "lastSkuUpdate": "Tue, 28 Jan 2020 12:26:30 GMT"
    },
    "retentionInDays": 31,
    "features": {
      "legacy": 0,
      "searchVersion": 1,
      "enableLogAccessUsingOnlyResourcePermissions": true,
      "clusterResourceId": "/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.OperationalInsights/clusters/cluster-name"
    },
    "workspaceCapping": {
      "dailyQuotaGb": -1.0,
      "quotaNextResetTime": "Tue, 28 Jan 2020 14:00:00 GMT",
      "dataIngestionStatus": "RespectQuota"
    }
  },
  "id": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/microsoft.operationalinsights/workspaces/workspace-name",
  "name": "workspace-name",
  "type": "Microsoft.OperationalInsights/workspaces",
  "location": "region"
}

Изменение свойств кластера

После создания ресурса кластера и его полной подготовки можно изменить свойства кластера с помощью интерфейса командной строки, PowerShell или REST API. Свойства, которые можно задать после подготовки кластера:

keyVaultProperties: содержит ключ Azure Key Vault с параметрами KeyVaultUri, KeyName и KeyVersion. См. Обновление кластера с деталями идентификатора ключа.
Identity: удостоверение, которое будет использоваться для проверки подлинности в Key Vault. Оно может быть назначено системой или пользователем.
billingType: тип выставления счетов для кластерного ресурса и его данных. Включает следующие значения:
- Cluster (по умолчанию) - затраты на кластер относятся к кластерному ресурсу.
- Workspaces: затраты на кластер распределяются пропорционально рабочим областям в кластере. Некоторая часть использования кластерного ресурса оплачивается, если общий объем данных, принятых за день, находится ниже уровня обязательств. Дополнительные сведения о модели ценообразования для кластеров см. в разделе Выделенные кластеры Log Analytics.

Внимание

Обновление одного кластера не должно содержать сведения об идентификаторе и идентификаторе ключа в одной операции. Если необходимо обновить оба компонента, совершите две отдельные операции.

Неприменимо

В следующем примере обновляется тип выставления счетов.

az account set --subscription "cluster-subscription-id"

az monitor log-analytics cluster update --resource-group "resource-group-name" --name "cluster-name"  --billing-type {Cluster, Workspaces}

В следующем примере обновляется тип выставления счетов.

Select-AzSubscription "cluster-subscription-id"

Update-AzOperationalInsightsCluster -ResourceGroupName "resource-group-name" -ClusterName "cluster-name" -BillingType "Workspaces"

В следующем примере обновляется тип выставления счетов.

Позвонить

PATCH https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.OperationalInsights/clusters/<cluster-name>?api-version=2023-09-01
Authorization: Bearer <token>
Content-type: application/json

{
  "properties": {
    "billingType": "Workspaces"
    },
    "location": "region"
}

В следующем примере кластер Log Analytics обновляется для использования ключа, управляемого клиентом.

@description('Specify the name of the Log Analytics cluster.')
param clusterName string
@description('Specify the location of the resources')
param location string = resourceGroup().location
@description('Specify the key vault name.')
param keyVaultName string
@description('Specify the key name.')
param keyName string
@description('Specify the key version. When empty, latest key version is used.')
param keyVersion string
var keyVaultUri = format('{0}{1}', keyVaultName, environment().suffixes.keyvaultDns)
resource cluster 'Microsoft.OperationalInsights/clusters@2021-06-01' = {
  name: clusterName
  location: location
  identity: {
    type: 'SystemAssigned'
  }
  properties: {
    keyVaultProperties: {
      keyVaultUri: keyVaultUri
      keyName: keyName
      keyVersion: keyVersion
    }
  }
}

Файл параметров

{
  "$schema": "https://schema.management.azure.com/schemas/2019-08-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "clusterName": {
      "value": "MyCluster"
    },
    "keyVaultUri": {
      "value": "https://key-vault-name.vault.azure.net"
    },
    "keyName": {
      "value": "MyKeyName"
    },
    "keyVersion": {
      "value": ""
    }
  }
}

В следующем примере кластер Log Analytics обновляется для использования ключа, управляемого клиентом.

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "clusterName": {
      "type": "string",
      "metadata": {
        "description": "Specify the name of the Log Analytics cluster."
      }
    },
    "location": {
      "type": "string",
      "defaultValue": "[resourceGroup().location]",
      "metadata": {
        "description": "Specify the location of the resources"
      }
    },
    "keyVaultName": {
      "type": "string",
      "metadata": {
        "description": "Specify the key vault name."
      }
    },
    "keyName": {
      "type": "string",
      "metadata": {
        "description": "Specify the key name."
      }
    },
    "keyVersion": {
      "type": "string",
      "metadata": {
        "description": "Specify the key version. When empty, latest key version is used."
      }
    }
  },
  "variables": {
    "keyVaultUri": "[format('{0}{1}', parameters('keyVaultName'), environment().suffixes.keyvaultDns)]"
  },
  "resources": [
    {
      "type": "Microsoft.OperationalInsights/clusters",
      "apiVersion": "2021-06-01",
      "name": "[parameters('clusterName')]",
      "location": "[parameters('location')]",
      "identity": {
        "type": "SystemAssigned"
      },
      "properties": {
        "keyVaultProperties": {
          "keyVaultUri": "[variables('keyVaultUri')]",
          "keyName": "[parameters('keyName')]",
          "keyVersion": "[parameters('keyVersion')]"
        }
      }
    }
  ]
}

Файл параметров

{
  "$schema": "https://schema.management.azure.com/schemas/2019-08-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "clusterName": {
      "value": "MyCluster"
    },
    "keyVaultUri": {
      "value": "https://key-vault-name.vault.azure.net"
    },
    "keyName": {
      "value": "MyKeyName"
    },
    "keyVersion": {
      "value": ""
    }
  }
}

Получите все кластеры в группе ресурсов

В меню выделенных кластеров Log Analytics в портале Azure выберите фильтр группу ресурсов.

az account set --subscription "cluster-subscription-id"

az monitor log-analytics cluster list --resource-group "resource-group-name"

Select-AzSubscription "cluster-subscription-id"

Get-AzOperationalInsightsCluster -ResourceGroupName "resource-group-name"

Позвонить

GET https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.OperationalInsights/clusters?api-version=2023-09-01
Authorization: Bearer <token>

Ответ

{
  "value": [
    {
      "identity": {
        "type": "SystemAssigned",
        "tenantId": "tenant-id",
        "principalId": "principal-id"
      },
      "sku": {
        "name": "capacityreservation",
        "capacity": 100
      },
      "properties": {
        "provisioningState": "Succeeded",
        "clusterId": "cluster-id",
        "billingType": "Cluster",
        "lastModifiedDate": "last-modified-date",
        "createdDate": "created-date",
        "isDoubleEncryptionEnabled": false,
        "isAvailabilityZonesEnabled": false,
        "capacityReservationProperties": {
          "lastSkuUpdate": "last-sku-modified-date",
          "minCapacity": 100
        }
      },
      "id": "/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.OperationalInsights/clusters/cluster-name",
      "name": "cluster-name",
      "type": "Microsoft.OperationalInsights/clusters",
      "location": "cluster-region"
    }
  ]
}

Получите все кластеры в подписке

В меню выделенных кластеров Log Analytics в портале Azure выберите фильтр подписки.

az account set --subscription "cluster-subscription-id"

az monitor log-analytics cluster list

Select-AzSubscription "cluster-subscription-id"

Get-AzOperationalInsightsCluster

Позвонить

GET https://management.azure.com/subscriptions/<subscription-id>/providers/Microsoft.OperationalInsights/clusters?api-version=2023-09-01
Authorization: Bearer <token>

Ответ

То же самое, что и для "кластеров в группе ресурсов", но в границах подписки.

Обновление уровня обязательств в кластере

Когда объем данных для связанных рабочих областей изменяется с течением времени, вы можете соответствующим образом обновить уровень обязательств для оптимизации затрат. Уровень указан в единицах Гигабайт (ГБ) и может иметь значения 100, 200, 300, 400, 500, 1000, 2000, 5000, 1000, 25000, 5000 ГБ в день. Вам не нужно предоставить полный текст запроса REST, но необходимо включить номер SKU.

В течение периода обязательств вы можете переходить на более высокий уровень обязательств, который перезапускает 31-дневный период обязательств. Вы не можете вернуться на оплату по мере использования или на более низкий уровень обязательств до тех пор, пока не завершите период обязательств.

Выберите кластер из меню выделенных кластеров Log Analytics в портал Azure и нажмите кнопку "Изменить рядом с уровнем обязательств"

az account set --subscription "cluster-subscription-id"

az monitor log-analytics cluster update --resource-group "resource-group-name" --name "cluster-name"  --sku-capacity 500

Select-AzSubscription "cluster-subscription-id"

Update-AzOperationalInsightsCluster -ResourceGroupName "resource-group-name" -ClusterName "cluster-name" -SkuCapacity 500

Позвонить

PATCH https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.OperationalInsights/clusters/<cluster-name>?api-version=2023-09-01
Authorization: Bearer <token>
Content-type: application/json

{
  "sku": {
    "name": "capacityReservation",
    "Capacity": 2000
  }
}

Отсоединение рабочей области от кластера

Вы можете в любое время отвязать рабочую область от кластера. Ценовая категория рабочей области изменена на расчёт за гигабайт, данные, поступившие в кластер до операции разъединения, остаются в кластере, а новые данные, отправляемые в рабочую область, поглощаются кластером Log Analytics.

Предупреждение

Отмена связывания рабочей области не перемещает данные рабочей области из кластера. Все данные, собранные для рабочей области, связанные с кластером, остаются в кластере в течение периода хранения, определенного в рабочей области, и доступны до тех пор, пока кластер не удаляется.

Запросы не затрагиваются, если рабочая область не связана, и служба выполняет запросы между кластерами без проблем. Если кластер был настроен с использованием ключа, управляемого клиентом (CMK), данные, поступившие в рабочую область в период ее связывания, остаются зашифрованными вашим ключом и остаются доступными, пока ваш ключ и разрешения на доступ к Key Vault сохраняются.

Примечание.

Существует ограничение двух операций связи для определенной рабочей области в течение месяца, чтобы предотвратить распределение данных между кластерами. Обратитесь в службу поддержки, если достигнут предел.
Неподключенные рабочие области перемещаются в ценовую категориюYou-Go платежей по фактическому использованию.

Используйте следующие команды для отсоединения рабочей области от кластера:

Выберите кластер из меню выделенных кластеров Log Analytics в портал Azure и выберите связанные рабочие области, чтобы просмотреть все рабочие области, связанные с выделенным кластером. Выберите любые рабочие области, которые вы хотите отвязать, и нажмите "Отвязать".

az account set --subscription "workspace-subscription-id"

az monitor log-analytics workspace linked-service delete --resource-group "resource-group-name" --workspace-name "workspace-name" --name cluster

Select-AzSubscription "workspace-subscription-id"

# Unlink a workspace from cluster
Remove-AzOperationalInsightsLinkedService -ResourceGroupName "resource-group-name" -WorkspaceName {workspace-name} -LinkedServiceName cluster

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/linkedServices/{linkedServiceName}?api-version=2020-08-01

Удаление кластера

Необходимы разрешения на запись в ресурс кластера.

Операция удаления кластера должна выполняться с осторожностью, так как операция не восстанавливается. Все данные, полученные в кластер из связанных рабочих областей, удаляются безвозвратно.

Выставление счетов кластера останавливается при удалении кластера независимо от периода обязательств за 31 день, определенный в кластере.

Если удалить кластер с связанными рабочими областями, рабочие области автоматически отсоединяются от кластера, они перемещаются в ценовую категорию с оплатой по мере использования, а новые данные, отправленные в рабочие области, передаются в кластеры Log Analytics. Вы можете запросить рабочую область в диапазоне времени, прежде чем она была связана с кластером, и после отмены связи, а служба выполняет запросы между кластерами без проблем.

Примечание.

Существует ограничение в семь кластеров на подписку и регион, пять активных, а также два, которые были удалены за последние две недели.
Имя кластера остается зарезервированным через две недели после удаления и не может использоваться для создания нового кластера.

Используйте следующие команды для удаления кластера:

Выберите кластер из меню выделенных кластеров Log Analytics в портал Azure и нажмите кнопку "Удалить".

az account set --subscription "cluster-subscription-id"

az monitor log-analytics cluster delete --resource-group "resource-group-name" --name $clusterName

Select-AzSubscription "cluster-subscription-id"

Remove-AzOperationalInsightsCluster -ResourceGroupName "resource-group-name" -ClusterName "cluster-name"

Для удаления кластера используйте следующий вызов REST:

DELETE https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.OperationalInsights/clusters/<cluster-name>?api-version=2023-09-01
Authorization: Bearer <token>

Ответ

200 OK (Запрос выполнен успешно)

Изменение типа управляемого удостоверения

Тип удостоверения можно изменить после создания кластера без прерывания передачи данных или запросов, учитывая следующие моменты:

Обновление SystemAssigned на UserAssigned: сначала предоставьте удостоверение UserAssigned в Key Vault, затем обновите тип удостоверения в кластере.
Обновление UserAssigned до SystemAssigned. Так как назначаемое системой управляемое удостоверение создано после обновления типа удостоверения кластера с помощью SystemAssigned, необходимо выполнить следующие действия:
1. Обновите кластер, чтобы удалить ключ— задайте keyVaultUri, keyName и keyVersion значение ""
2. Обновление типа идентификации кластера на SystemAssigned
3. Обновление Key Vault и предоставление разрешений для удостоверения
4. Обновление ключа в кластере

Предельные значения и ограничения

Для каждого региона и каждой подписки можно создать до пяти активных кластеров.
Максимум семь кластеров, разрешенных для каждой подписки и региона, пять активных, а также два, которые были удалены за последние 2 недели.
С кластером можно связать до 1000 рабочих областей Log Analytics.
В течение 30-дневного периода в конкретной рабочей области разрешено выполнять максимум две операции по связыванию рабочих областей.
Перемещение кластера в другую группу ресурсов или подписку в настоящее время не поддерживается.
Перемещение кластера в другой регион не поддерживается.
Обновление кластера не должно содержать сведения об идентификаторе и идентификаторе ключа в одной операции. Если необходимо обновить оба компонента, выполните две отдельные операции.
Защищенное хранилище в настоящее время недоступно в Китае.
Lockbox в настоящее время не может применяться к таблицам с Вспомогательным планом.
Двойное шифрование настраивается автоматически для кластеров, созданных начиная с октября 2020 года в поддерживаемых регионах. Вы можете проверить, настроено ли для кластера двойное шифрование, отправив запрос GET в кластер и убедившись, что значение isDoubleEncryptionEnabled равно true для кластеров с включенным двойным шифрованием.
- Если вы создаете кластер и получаете сообщение об ошибке "<имя_региона> не поддерживает двойное шифрование для кластеров", вы по-прежнему можете создать кластер с двойным шифрованием, добавив "properties": {"isDoubleEncryptionEnabled": false} в текст запроса REST.
- После создания кластера невозможно изменить параметр двойного шифрования.
Удаление рабочей области разрешено при связывании с кластером. Если вы решите восстановить рабочую область во время обратимого удаления , рабочая область возвращается в предыдущее состояние и остается связанной с кластером.
В течение периода обязательств вы можете переходить на более высокий уровень обязательств, который перезапускает 31-дневный период обязательств. Вы не можете вернуться на оплату по мере использования или на более низкий уровень обязательств до тех пор, пока не завершите период обязательств.

Устранение неполадок

Если при создании кластера возникает ошибка конфликта, возможно, она была удалена за последние 2 недели и по-прежнему находится в процессе удаления. Имя кластера остается зарезервированным в течение 2-недельного периода удаления, и вы не можете создать новый кластер с таким именем.
Если вы обновите кластер, когда он находится в состоянии подготовки или обновления, обновление завершится ошибкой.
Некоторые операции являются продолжительными, и их выполнение может занять много времени. К примерам таких операций относятся создание кластера, обновление ключей кластера и удаление кластера. Вы можете проверить состояние операции, отправив запрос GET в кластер или рабочую область и наблюдая за ответом. Например, в рабочей области без связи не будет clusterResourceId под функциями.
Если вы пытаетесь связать рабочую область Log Analytics, которая уже связана с другим кластером, операция завершится ошибкой.

Сообщения об ошибках

Создание кластера

Недопустимое имя кластера. Имя кластера может содержать символы a-z, A-Z, 0-9 и длину 3-63.
400 — тело запроса пустое или имеет неправильный формат.
400 — недопустимое имя SKU. Установите имя SKU на capacityReservation.
400--Емкость была предоставлена, но SKU не является резервированием емкости. Установите имя SKU на capacityReservation.
400 — отсутствие емкости в SKU. Задайте значение емкости 100, 200, 300, 400, 500, 1000, 2000, 5000, 1000, 25000, 5000 ГБ в день.
400 — емкость заблокирована на 30 дней. Уменьшение емкости разрешено через 30 дней после обновления.
400 — номер SKU не задан. Установите имя SKU как capacityReservation и значение емкости 100, 200, 300, 400, 500, 1000, 2000, 5000, 10000, 25000, 50000 ГБ в день.
400--Операция не может быть выполнена сейчас. Асинхронная операция находится в состоянии, отличном от "Выполнено". Перед выполнением операции обновления кластер должен завершить операцию.

Обновление кластера

400: кластер находится в состоянии удаления. Выполняется асинхронная операция. Перед выполнением операции обновления кластер должен завершить операцию.
400--KeyVaultProperties не пуст, но имеет неправильный формат. См. раздел об обновлении идентификатора ключа.
400 — не удалось проверить ключ в Key Vault. Это может быть связано с отсутствием разрешений или ключа. Убедитесь, что задали ключ и политику доступа в Key Vault.
400---Key не может восстановиться. Для Key Vault должны быть включены функции обратимого удаления и защиты от удаления. См. документацию по Key Vault.
400--Операция не может быть выполнена сейчас. Дождитесь завершения асинхронной операции и повторите попытку.
400: кластер находится в состоянии удаления. Дождитесь завершения асинхронной операции и повторите попытку.

Получение кластера

404--Cluster не найден, кластер может быть удален. Если вы пытаетесь создать кластер с таким именем и сталкиваетесь с конфликтом, кластер находится в процессе удаления.

Удаление кластера

409 — нельзя удалить кластер в состоянии подготовки. Дождитесь завершения асинхронной операции и повторите попытку.

Ссылка на рабочую область

404 — рабочая область не найдена. Указанная рабочая область не существует или была удалена.
409 — операция привязки или отмены привязки рабочей области в процессе.
400 — кластер не найден, указанный кластер не существует или был удален.

Отсоединение рабочей области

404 — рабочая область не найдена. Указанная рабочая область не существует или была удалена.
409 — операция привязки или отмены привязки рабочей области в процессе.

Следующие шаги

Узнайте о выставлении счетов за выделенный кластер Log Analytics.
Узнайте о правильном проектировании рабочих областей Log Analytics.
Получите другие образцы шаблонов для Azure Monitor.

Поделиться через

Создание и управление выделенным кластером в журналах Azure Monitor

Расширенные возможности

Ценовая модель кластера

Необходимые разрешения

Примеры шаблонов Resource Manager

Ссылки на шаблоны

Подготовка

Создать выделенный кластер

Проверка состояния подготовки кластера

Связывание рабочей области с кластером

Проверка состояния связывания рабочей области

Изменение свойств кластера

Получите все кластеры в группе ресурсов

Получите все кластеры в подписке

Обновление уровня обязательств в кластере

Отсоединение рабочей области от кластера

Удаление кластера

Изменение типа управляемого удостоверения

Предельные значения и ограничения

Устранение неполадок

Сообщения об ошибках

Создание кластера

Обновление кластера

Получение кластера

Удаление кластера

Ссылка на рабочую область

Отсоединение рабочей области

Следующие шаги

Обратная связь

Дополнительные ресурсы