Skapa och hantera ett dedikerat kluster i Azure Monitor-loggar

Artikel
10/30/2024

Länkning av en Log Analytics-arbetsyta till ett dedikerat kluster i Azure Monitor ger avancerade funktioner och högre frågeanvändning. Kluster kräver ett minsta inmatningsåtagande på 100 GB per dag. Du kan länka och ta bort länkar till arbetsytor från ett dedikerat kluster utan dataförlust eller avbrott i tjänsten.

Avancerade funktioner

Funktioner som kräver dedikerade kluster:

Kundhanterade nycklar – Kryptera klusterdata med hjälp av nycklar som du tillhandahåller och kontrollerar.
Lockbox – Kontrollera microsofts supportteknikers åtkomstbegäranden till dina data.
Dubbel kryptering – Skydda mot ett scenario där en av krypteringsalgoritmerna eller nycklarna kan komprometteras. I det här fallet fortsätter det extra krypteringslagret att skydda dina data.
Optimering mellan frågor – Frågor mellan arbetsytor körs snabbare när arbetsytor finns i samma kluster.
Kostnadsoptimering – Länka dina arbetsytor i samma region till klustret för att få rabatt på åtagandenivå till alla arbetsytor, även till arbetsytor med låg inmatning som är berättigad till rabatt på åtagandenivå.
Tillgänglighetszoner – Skydda dina data från datacenterfel genom att förlita sig på datacenter på olika fysiska platser, utrustade med oberoende ström, kylning och nätverk. Den fysiska separationen i zoner och oberoende infrastruktur gör en incident mycket mindre sannolik eftersom arbetsytan kan förlita sig på resurserna från någon av zonerna. Azure Monitor-tillgänglighetszoner omfattar bredare delar av tjänsten och utökar din Azure Monitor-motståndskraft automatiskt när den är tillgänglig i din region. Azure Monitor skapar dedikerade kluster som tillgänglighetszonaktiverade (isAvailabilityZonesEnabled: "true") som standard i regioner som stöds. Dedikerade kluster Tillgänglighetszoner stöds inte i alla regioner för närvarande.
Mata in från Azure Event Hubs – Låter dig mata in data direkt från en händelsehubb till en Log Analytics-arbetsyta. Med dedikerade kluster kan du använda funktionen när inmatning från alla länkade arbetsytor kombineras med åtagandenivån.

Prismodell för kluster

Log Analytics Dedikerade kluster använder en prismodell på åtagandenivå på minst 100 GB/dag. All användning över nivånivån medför avgifter baserat på åtagandenivån per GB. Se prisinformation för Azure Monitor-loggar för prisinformation för dedikerade kluster. Åtagandenivåerna har en åtagandeperiod på 31 dagar från det att en åtagandenivå har valts.

Förutsättningar

Dedikerade kluster kräver ett minsta inmatningsåtagande på 100 GB per dag.
När du skapar ett dedikerat kluster kan du inte namnge det med samma namn som ett kluster som har tagits bort under de senaste två veckorna.

Behörigheter som krävs

Om du vill utföra klusterrelaterade åtgärder behöver du följande behörigheter:

Åtgärd	Behörigheter eller roller som behövs
Skapa ett dedikerat kluster	`Microsoft.Resources/deployments/*`och `Microsoft.OperationalInsights/clusters/write` behörigheter, som tillhandahålls av log analytics-deltagarens inbyggda roll, till exempel
Ändra klusteregenskaper	`Microsoft.OperationalInsights/clusters/write` behörigheter, som tillhandahålls av log analytics-deltagarens inbyggda roll, till exempel
Länka arbetsytor till ett kluster	`Microsoft.OperationalInsights/clusters/write`, `Microsoft.OperationalInsights/workspaces/write`, och `Microsoft.OperationalInsights/workspaces/linkedservices/write` behörigheter som tillhandahålls av log analytics-deltagarens inbyggda roll, till exempel
Kontrollera status för arbetsytans länk	`Microsoft.OperationalInsights/workspaces/read` behörigheter till arbetsytan, som tillhandahålls av log analytics-läsarens inbyggda roll, till exempel
Hämta kluster eller kontrollera etableringsstatus för ett kluster	`Microsoft.OperationalInsights/clusters/read` behörigheter, som tillhandahålls av log analytics-läsarens inbyggda roll, till exempel
Uppdatera åtagandenivå eller billingType i ett kluster	`Microsoft.OperationalInsights/clusters/write` behörigheter, som tillhandahålls av log analytics-deltagarens inbyggda roll, till exempel
Bevilja nödvändiga behörigheter	Ägar- eller deltagarroll som har `/write` behörigheter, eller den inbyggda rollen Log Analytics-deltagare, som har `Microsoft.OperationalInsights/` behörigheter
Ta bort länken till en arbetsyta från klustret	`Microsoft.OperationalInsights/workspaces/linkedServices/delete` behörigheter, som tillhandahålls av log analytics-deltagarens inbyggda roll, till exempel
Ta bort ett dedikerat kluster	`Microsoft.OperationalInsights/clusters/delete` behörigheter, som tillhandahålls av log analytics-deltagarens inbyggda roll, till exempel

Mer information om Log Analytics-behörigheter finns i Hantera åtkomst till loggdata och arbetsytor i Azure Monitor.

Resource Manager-mallexempel

Den här artikeln innehåller exempelmallar för Azure Resource Manager (ARM) för att skapa och konfigurera Log Analytics-kluster i Azure Monitor. Varje exempel innehåller en mallfil och en parameterfil med exempelvärden som ska tillhandahållas mallen.

Kommentar

Se Azure Resource Manager-exempel för Azure Monitor för en lista över exempel som är tillgängliga och vägledning om hur du distribuerar dem i din Azure-prenumeration.

Mallreferenser

Microsoft.OperationalInsights-kluster

Skapa ett dedikerat kluster

Ange följande egenskaper när du skapar ett nytt dedikerat kluster:

ClusterName: Måste vara unikt för resursgruppen.
ResourceGroupName: Använd en central IT-resursgrupp eftersom många team i organisationen vanligtvis delar kluster. Mer designöverväganden finns i Designa en Log Analytics-arbetsytekonfiguration.
Plats
SkuCapacity: Du kan ange åtagandenivån till 100, 200, 300, 400, 500, 1000, 2000, 5000, 10000, 25000, 50000 GB per dag. Den lägsta åtagandenivån som stöds i CLI är för närvarande 500. Använd REST för att konfigurera lägre åtagandenivåer med minst 100. Mer information om klusterkostnader finns i Dedikera kluster.
Hanterad identitet: Kluster stöder två hanterade identitetstyper:
- Systemtilldelad hanterad identitet – Genereras automatiskt när klustret skapas när identiteten type är inställd på "SystemAssigned". Den här identiteten kan användas senare för att ge lagringsåtkomst till ditt Key Vault för wrap- och unwrap-åtgärder.
  
  Identitet i klustrets REST-anrop
```
{
  "identity": {
    "type": "SystemAssigned"
    }
}
```
- Användartilldelad hanterad identitet – Gör att du kan konfigurera en kundhanterad nyckel när klustret skapas när du beviljar den behörigheter i nyckelvalvet innan klustret skapas.
  
  Identitet i klustrets REST-anrop
```
{
"identity": {
  "type": "UserAssigned",
    "userAssignedIdentities": {
      "subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.ManagedIdentity/UserAssignedIdentities/<cluster-assigned-managed-identity>"
    }
  }  
}
```

När du har skapat klusterresursen kan du redigera egenskaper som sku, *keyVaultProperties eller billingType. Se mer information nedan.

Det tar två veckor att ta bort borttagna kluster. Du kan ha upp till sju kluster per prenumeration och region, fem aktiva och två borttagna under de senaste två veckorna.

Kommentar

Att skapa ett kluster omfattar flera resurser och åtgärden slutförs vanligtvis på två timmar. Dedikerade kluster debiteras när de har etablerats oavsett datainmatning och vi rekommenderar att du förbereder distributionen för att påskynda etableringen och arbetsytornas länk till klustret. Verifiera följande:

En lista över den inledande arbetsytan som ska länkas till klustret identifieras
Du har behörighet till prenumeration som är avsedd för klustret och alla arbetsytor som ska länkas

Klicka på Skapa på menyn För dedikerade Log Analytics-kluster i Azure Portal. Du uppmanas att ange information, till exempel namnet på klustret och åtagandenivån.

Kommentar

Den lägsta åtagandenivån som stöds i CLI är för närvarande 500. Använd REST för att konfigurera lägre åtagandenivåer med minst 100.

az account set --subscription "cluster-subscription-id"

az monitor log-analytics cluster create --no-wait --resource-group "resource-group-name" --name "cluster-name" --location "region-name" --sku-capacity "daily-ingestion-gigabyte"

# Wait for job completion when `--no-wait` was used
$clusterResourceId = az monitor log-analytics cluster list --resource-group "resource-group-name" --query "[?contains(name, 'cluster-name')].[id]" --output tsv
az resource wait --created --ids $clusterResourceId --include-response-body true

Kommentar

Den lägsta åtagandenivån som stöds i PowerShell är för närvarande 500. Använd REST för att konfigurera lägre åtagandenivåer med minst 100.

Select-AzSubscription "cluster-subscription-id"

New-AzOperationalInsightsCluster -ResourceGroupName "resource-group-name" -ClusterName "cluster-name" -Location "region-name" -SkuCapacity "daily-ingestion-gigabyte" -AsJob

# Check when the job is done when `-AsJob` was used
Get-Job -Command "New-AzOperationalInsightsCluster*" | Format-List -Property *

Kalla

PUT https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.OperationalInsights/clusters/<cluster-name>?api-version=2022-10-01
Authorization: Bearer <token>
Content-type: application/json

{
  "identity": {
    "type": "systemAssigned"
    },
  "sku": {
    "name": "capacityReservation",
    "Capacity": 100
    },
  "properties": {
    "billingType": "Cluster",
    },
  "location": "<region>",
}

Response

Bör vara 202 (accepterad) och en rubrik.

Följande exempel skapar ett nytt tomt Log Analytics-kluster.

@description('Specify the name of the Log Analytics cluster.')
param clusterName string

@description('Specify the location of the resources.')
param location string = resourceGroup().location

@description('Specify the capacity reservation value.')
@allowed([
  100
  200
  300
  400
  500
  1000
  2000
  5000
])
param CommitmentTier int

@description('Specify the billing type settings. Can be \'Cluster\' (default) or \'Workspaces\' for proportional billing on workspaces.')
@allowed([
  'Cluster'
  'Workspaces'
])
param billingType string

resource cluster 'Microsoft.OperationalInsights/clusters@2021-06-01' = {
  name: clusterName
  location: location
  identity: {
    type: 'SystemAssigned'
  }
  sku: {
    name: 'CapacityReservation'
    capacity: CommitmentTier
  }
  properties: {
    billingType: billingType
  }
}

Parameterfil

{
  "$schema": "https://schema.management.azure.com/schemas/2019-08-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "clusterName": {
      "value": "MyCluster"
    },
    "CommitmentTier": {
      "value": 500
    },
    "billingType": {
      "value": "Cluster"
    }
  }
}

Följande exempel skapar ett nytt tomt Log Analytics-kluster.

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "clusterName": {
      "type": "string",
      "metadata": {
        "description": "Specify the name of the Log Analytics cluster."
      }
    },
    "location": {
      "type": "string",
      "defaultValue": "[resourceGroup().location]",
      "metadata": {
        "description": "Specify the location of the resources."
      }
    },
    "CommitmentTier": {
      "type": "int",
      "allowedValues": [
        100,
        200,
        300,
        400,
        500,
        1000,
        2000,
        5000
      ],
      "metadata": {
        "description": "Specify the capacity reservation value."
      }
    },
    "billingType": {
      "type": "string",
      "allowedValues": [
        "Cluster",
        "Workspaces"
      ],
      "metadata": {
        "description": "Specify the billing type settings. Can be 'Cluster' (default) or 'Workspaces' for proportional billing on workspaces."
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.OperationalInsights/clusters",
      "apiVersion": "2021-06-01",
      "name": "[parameters('clusterName')]",
      "location": "[parameters('location')]",
      "identity": {
        "type": "SystemAssigned"
      },
      "sku": {
        "name": "CapacityReservation",
        "capacity": "[parameters('CommitmentTier')]"
      },
      "properties": {
        "billingType": "[parameters('billingType')]"
      }
    }
  ]
}

Parameterfil

{
  "$schema": "https://schema.management.azure.com/schemas/2019-08-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "clusterName": {
      "value": "MyCluster"
    },
    "CommitmentTier": {
      "value": 500
    },
    "billingType": {
      "value": "Cluster"
    }
  }
}

Kontrollera status för klusteretablering

Etableringen av Log Analytics-klustret tar en stund att slutföra. Använd någon av följande metoder för att kontrollera egenskapen ProvisioningState . Värdet är ProvisioningAccount vid etablering och Lyckades när det har slutförts .

Portalen ger status när klustret etableras.

az account set --subscription "cluster-subscription-id"

az monitor log-analytics cluster show --resource-group "resource-group-name" --name "cluster-name"

Select-AzSubscription "cluster-subscription-id"

Get-AzOperationalInsightsCluster -ResourceGroupName "resource-group-name" -ClusterName "cluster-name"

Skicka en GET-begäran för klusterresursen och titta på värdet provisioningState . Värdet är ProvisioningAccount vid etablering och Lyckades när det har slutförts .

GET https://management.azure.com/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.OperationalInsights/clusters/cluster-name?api-version=2022-10-01
Authorization: Bearer <token>

Response

{
  "identity": {
    "type": "SystemAssigned",
    "tenantId": "tenant-id",
    "principalId": "principal-id"
  },
  "sku": {
    "name": "capacityreservation",
    "capacity": 100
  },
  "properties": {
    "provisioningState": "ProvisioningAccount",
    "clusterId": "cluster-id",
    "billingType": "Cluster",
    "lastModifiedDate": "last-modified-date",
    "createdDate": "created-date",
    "isDoubleEncryptionEnabled": false,
    "isAvailabilityZonesEnabled": false,
    "capacityReservationProperties": {
      "lastSkuUpdate": "last-sku-modified-date",
      "minCapacity": 100
    }
  },
  "id": "/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.OperationalInsights/clusters/cluster-name",
  "name": "cluster-name",
  "type": "Microsoft.OperationalInsights/clusters",
  "location": "cluster-region"
}

Den hanterade identitetstjänsten genererar principalId GUID när du skapar klustret.

Länka en arbetsyta till ett kluster

Kommentar

Länkning av en arbetsyta kan bara utföras när Log Analytics-klusteretablering har slutförts.
Länkning av en arbetsyta till ett kluster innebär synkronisering av flera serverdelskomponenter och cachelagring, som vanligtvis slutförs på två timmar.
När du länkar en Log Analytics-arbetsyta ändrades faktureringsplanen för arbetsytan till LACluster och du bör ta bort SKU:n i arbetsytemallen för att förhindra konflikter under distributionen av arbetsytan.
Förutom de faktureringsaspekter som styrs av klusterplanen förblir alla arbetsytekonfigurationer och frågeaspekter oförändrade under och efter länken.

Du behöver skrivbehörighet till både arbetsytan och klusterresursen för länkåtgärden för arbetsytor:

På arbetsytan: Microsoft.OperationalInsights/workspaces/write
I klusterresursen: Microsoft.OperationalInsights/clusters/write

När Log Analytics-arbetsytan är länkad till ett dedikerat kluster matas nya data som skickas till arbetsytan in till ditt dedikerade kluster, medan tidigare inmatade data finns kvar i Log Analytics-klustret. Länkning av en arbetsyta påverkar inte arbetsyteåtgärden, inklusive inmatning och frågeupplevelser. Log Analytics-frågemotorn syr data från gamla och nya kluster automatiskt och resultatet av frågorna är slutförda.

Kluster är regionala och kan länkas till upp till 1 000 arbetsytor som finns i samma region som klustret. En arbetsyta kan inte länkas till ett kluster mer än två gånger i månaden för att förhindra datafragmentering.

Länkade arbetsytor kan finnas i andra prenumerationer än den prenumeration som klustret finns i. Arbetsytan och klustret kan finnas i olika klientorganisationer om Azure Lighthouse används för att mappa dem båda till en enda klientorganisation.

När ett dedikerat kluster konfigureras med en kundhanterad nyckel (CMK) krypteras de nyligen inmatade data med din nyckel, medan äldre data förblir krypterade med en Microsoft-hanterad nyckel (MMK). Nyckelkonfigurationen abstraheras av Log Analytics och frågan över gamla och nya datakrypteringar utförs sömlöst.

Använd följande steg för att länka en arbetsyta till ett kluster. Du kan använda automatisering för att länka flera arbetsytor:

Välj klustret från log analytics-menyn för dedikerade kluster i Azure Portal och klicka sedan på Länkade arbetsytor för att visa alla arbetsytor som för närvarande är länkade till det dedikerade klustret. Klicka på Länka arbetsytor för att länka ytterligare arbetsytor.

Kommentar

Använd klustervärde för linked-service name.

# Find cluster resource ID
az account set --subscription "cluster-subscription-id"
$clusterResourceId = az monitor log-analytics cluster list --resource-group "resource-group-name" --query "[?contains(name, 'cluster-name')].[id]" --output tsv

# Link workspace
az account set --subscription "workspace-subscription-id"
az monitor log-analytics workspace linked-service create --no-wait --name cluster --resource-group "resource-group-name" --workspace-name "workspace-name" --write-access-resource-id $clusterResourceId

# Wait for job completion when `--no-wait` was used
$workspaceResourceId = az monitor log-analytics workspace list --resource-group "resource-group-name" --query "[?contains(name, 'workspace-name')].[id]" --output tsv
az resource wait --deleted --ids $workspaceResourceId --include-response-body true

Kommentar

Använd klustervärde för LinkedServiceName.

Select-AzSubscription "cluster-subscription-id"

# Find cluster resource ID
$clusterResourceId = (Get-AzOperationalInsightsCluster -ResourceGroupName "resource-group-name" -ClusterName "cluster-name").id

Select-AzSubscription "workspace-subscription-id"

# Link the workspace to the cluster
Set-AzOperationalInsightsLinkedService -ResourceGroupName "resource-group-name" -WorkspaceName "workspace-name" -LinkedServiceName cluster -WriteAccessResourceId $clusterResourceId -AsJob

# Check when the job is done
Get-Job -Command "Set-AzOperationalInsightsLinkedService" | Format-List -Property *

Använd följande REST-anrop för att länka till ett kluster:

Sända

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/microsoft.operationalinsights/workspaces/<workspace-name>/linkedservices/cluster?api-version=2020-08-01 
Authorization: Bearer <token>
Content-type: application/json

{
  "properties": {
    "WriteAccessResourceId": "/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/microsoft.operationalinsights/clusters/<cluster-name>"
    }
}

Response

202 (accepterad) och rubrik.

Kontrollera status för arbetsytans länk

Det kan ta upp till 90 minuter att slutföra länkåtgärden för arbetsytan. Du kan kontrollera statusen för både de länkade arbetsytorna och klustret. När du är klar innehåller clusterResourceId arbetsyteresurserna egenskapen under features, och klustret innehåller länkade arbetsytor under associatedWorkspaces avsnittet .

När ett kluster har konfigurerats med en kundhanterad nyckel lagras data som matas in till arbetsytorna när länkåtgärden är klar krypterad med din nyckel.

På sidan Översikt för ditt dedikerade kluster väljer du JSON-vy. I associatedWorkspaces avsnittet visas de arbetsytor som är länkade till klustret.

az account set --subscription "workspace-subscription-id"

az monitor log-analytics workspace show --resource-group "resource-group-name" --workspace-name "workspace-name"

Select-AzSubscription "workspace-subscription-id"

Get-AzOperationalInsightsWorkspace -ResourceGroupName "resource-group-name" -Name "workspace-name"

Kalla

GET https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/microsoft.operationalinsights/workspaces/<workspace-name>?api-version=2023-09-01
Authorization: Bearer <token>

Response

{
  "properties": {
    "source": "Azure",
    "customerId": "workspace-name",
    "provisioningState": "Succeeded",
    "sku": {
      "name": "pricing-tier-name",
      "lastSkuUpdate": "Tue, 28 Jan 2020 12:26:30 GMT"
    },
    "retentionInDays": 31,
    "features": {
      "legacy": 0,
      "searchVersion": 1,
      "enableLogAccessUsingOnlyResourcePermissions": true,
      "clusterResourceId": "/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.OperationalInsights/clusters/cluster-name"
    },
    "workspaceCapping": {
      "dailyQuotaGb": -1.0,
      "quotaNextResetTime": "Tue, 28 Jan 2020 14:00:00 GMT",
      "dataIngestionStatus": "RespectQuota"
    }
  },
  "id": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/microsoft.operationalinsights/workspaces/workspace-name",
  "name": "workspace-name",
  "type": "Microsoft.OperationalInsights/workspaces",
  "location": "region"
}

Ändra klusteregenskaper

När du har skapat klusterresursen och den är helt etablerad kan du redigera klusteregenskaper med hjälp av CLI, PowerShell eller REST API. Egenskaper som du kan ange när klustret har etablerats är:

keyVaultProperties – innehåller nyckeln i Azure Key Vault med följande parametrar: KeyVaultUri, KeyName, KeyVersion. Se Uppdatera kluster med information om nyckelidentifierare.
Identitet – den identitet som används för att autentisera till ditt Key Vault. Detta kan vara Systemtilldelad eller Användartilldelad.
billingType – Faktureringsttribution för klusterresursen och dess data. Innehåller följande värden:
- Kluster (standard) – Kostnaderna för klustret beror på klusterresursen.
- Arbetsytor – Kostnaderna för klustret beror proportionellt på arbetsytorna i klustret, där klusterresursen debiteras en del av användningen om den totala inmatade data för dagen ligger under åtagandenivån. Mer information om prismodellen för kluster finns i Log Analytics Dedikerade kluster .

Viktigt!

Klusteruppdatering bör inte innehålla information om både identitet och nyckelidentifierare i samma åtgärd. Om du behöver uppdatera båda bör uppdateringen vara i två på varandra följande åtgärder.

Ej tillämpligt

Följande exempel uppdaterar faktureringstypen.

az account set --subscription "cluster-subscription-id"

az monitor log-analytics cluster update --resource-group "resource-group-name" --name "cluster-name"  --billing-type {Cluster, Workspaces}

Följande exempel uppdaterar faktureringstypen.

Select-AzSubscription "cluster-subscription-id"

Update-AzOperationalInsightsCluster -ResourceGroupName "resource-group-name" -ClusterName "cluster-name" -BillingType "Workspaces"

Följande exempel uppdaterar faktureringstypen.

Kalla

PATCH https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.OperationalInsights/clusters/<cluster-name>?api-version=2022-10-01
Authorization: Bearer <token>
Content-type: application/json

{
  "properties": {
    "billingType": "Workspaces"
    },
    "location": "region"
}

Följande exempel uppdaterar ett Log Analytics-kluster för att använda kundhanterad nyckel.

@description('Specify the name of the Log Analytics cluster.')
param clusterName string
@description('Specify the location of the resources')
param location string = resourceGroup().location
@description('Specify the key vault name.')
param keyVaultName string
@description('Specify the key name.')
param keyName string
@description('Specify the key version. When empty, latest key version is used.')
param keyVersion string
var keyVaultUri = format('{0}{1}', keyVaultName, environment().suffixes.keyvaultDns)
resource cluster 'Microsoft.OperationalInsights/clusters@2021-06-01' = {
  name: clusterName
  location: location
  identity: {
    type: 'SystemAssigned'
  }
  properties: {
    keyVaultProperties: {
      keyVaultUri: keyVaultUri
      keyName: keyName
      keyVersion: keyVersion
    }
  }
}

Parameterfil

{
  "$schema": "https://schema.management.azure.com/schemas/2019-08-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "clusterName": {
      "value": "MyCluster"
    },
    "keyVaultUri": {
      "value": "https://key-vault-name.vault.azure.net"
    },
    "keyName": {
      "value": "MyKeyName"
    },
    "keyVersion": {
      "value": ""
    }
  }
}

Följande exempel uppdaterar ett Log Analytics-kluster för att använda kundhanterad nyckel.

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "clusterName": {
      "type": "string",
      "metadata": {
        "description": "Specify the name of the Log Analytics cluster."
      }
    },
    "location": {
      "type": "string",
      "defaultValue": "[resourceGroup().location]",
      "metadata": {
        "description": "Specify the location of the resources"
      }
    },
    "keyVaultName": {
      "type": "string",
      "metadata": {
        "description": "Specify the key vault name."
      }
    },
    "keyName": {
      "type": "string",
      "metadata": {
        "description": "Specify the key name."
      }
    },
    "keyVersion": {
      "type": "string",
      "metadata": {
        "description": "Specify the key version. When empty, latest key version is used."
      }
    }
  },
  "variables": {
    "keyVaultUri": "[format('{0}{1}', parameters('keyVaultName'), environment().suffixes.keyvaultDns)]"
  },
  "resources": [
    {
      "type": "Microsoft.OperationalInsights/clusters",
      "apiVersion": "2021-06-01",
      "name": "[parameters('clusterName')]",
      "location": "[parameters('location')]",
      "identity": {
        "type": "SystemAssigned"
      },
      "properties": {
        "keyVaultProperties": {
          "keyVaultUri": "[variables('keyVaultUri')]",
          "keyName": "[parameters('keyName')]",
          "keyVersion": "[parameters('keyVersion')]"
        }
      }
    }
  ]
}

Parameterfil

{
  "$schema": "https://schema.management.azure.com/schemas/2019-08-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "clusterName": {
      "value": "MyCluster"
    },
    "keyVaultUri": {
      "value": "https://key-vault-name.vault.azure.net"
    },
    "keyName": {
      "value": "MyKeyName"
    },
    "keyVersion": {
      "value": ""
    }
  }
}

Hämta alla kluster i resursgruppen

Välj filtret Resursgrupp i menyn Dedikerade Log Analytics-kluster i Azure Portal.

az account set --subscription "cluster-subscription-id"

az monitor log-analytics cluster list --resource-group "resource-group-name"

Select-AzSubscription "cluster-subscription-id"

Get-AzOperationalInsightsCluster -ResourceGroupName "resource-group-name"

Kalla

GET https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.OperationalInsights/clusters?api-version=2022-10-01
Authorization: Bearer <token>

Response

{
  "value": [
    {
      "identity": {
        "type": "SystemAssigned",
        "tenantId": "tenant-id",
        "principalId": "principal-id"
      },
      "sku": {
        "name": "capacityreservation",
        "capacity": 100
      },
      "properties": {
        "provisioningState": "Succeeded",
        "clusterId": "cluster-id",
        "billingType": "Cluster",
        "lastModifiedDate": "last-modified-date",
        "createdDate": "created-date",
        "isDoubleEncryptionEnabled": false,
        "isAvailabilityZonesEnabled": false,
        "capacityReservationProperties": {
          "lastSkuUpdate": "last-sku-modified-date",
          "minCapacity": 100
        }
      },
      "id": "/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.OperationalInsights/clusters/cluster-name",
      "name": "cluster-name",
      "type": "Microsoft.OperationalInsights/clusters",
      "location": "cluster-region"
    }
  ]
}

Hämta alla kluster i prenumerationen

Välj filtret Prenumeration på menyn För dedikerade Log Analytics-kluster i Azure Portal.

az account set --subscription "cluster-subscription-id"

az monitor log-analytics cluster list

Select-AzSubscription "cluster-subscription-id"

Get-AzOperationalInsightsCluster

Kalla

GET https://management.azure.com/subscriptions/<subscription-id>/providers/Microsoft.OperationalInsights/clusters?api-version=2022-10-01
Authorization: Bearer <token>

Response

Samma som för "kluster i en resursgrupp", men i prenumerationsomfånget.

Uppdatera åtagandenivån i klustret

När datavolymen till länkade arbetsytor ändras över tid kan du uppdatera åtagandenivån på lämpligt sätt för att optimera kostnaden. Nivån anges i enheter med Gigabyte (GB) och kan ha värden på 100, 200, 300, 400, 500, 1000, 2000, 5000, 10000, 25000, 50000 GB per dag. Du behöver inte ange hela REST-begärandetexten, men du måste inkludera sku:n.

Under åtagandeperioden kan du ändra till en högre åtagandenivå, vilket startar om åtagandeperioden på 31 dagar. Du kan inte gå tillbaka till betala per användning eller till en lägre åtagandenivå förrän du har slutfört åtagandeperioden.

Välj klustret från log analytics-menyn för dedikerade kluster på Azure Portal och klicka sedan på Ändra bredvid Åtagandenivå

az account set --subscription "cluster-subscription-id"

az monitor log-analytics cluster update --resource-group "resource-group-name" --name "cluster-name"  --sku-capacity 500

Select-AzSubscription "cluster-subscription-id"

Update-AzOperationalInsightsCluster -ResourceGroupName "resource-group-name" -ClusterName "cluster-name" -SkuCapacity 500

Kalla

PATCH https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.OperationalInsights/clusters/<cluster-name>?api-version=2022-10-01
Authorization: Bearer <token>
Content-type: application/json

{
  "sku": {
    "name": "capacityReservation",
    "Capacity": 2000
  }
}

Ta bort länken till en arbetsyta från klustret

Du kan när som helst ta bort länken till en arbetsyta från ett kluster. Prisnivån för arbetsytan ändras till per GB, data matas in i klustret innan åtgärden för avlänkning finns kvar i klustret och nya data till arbetsytan matas in i Log Analytics.

Varning

Om du tar bort länken till en arbetsyta flyttas inte arbetsytedata från klustret. Alla data som samlas in för arbetsytan när de är länkade till klustret finns kvar i klustret under den kvarhållningsperiod som definierats på arbetsytan och är tillgängliga så länge klustret inte tas bort.

Frågor påverkas inte när arbetsytan är olänkad och tjänsten utför frågor mellan kluster sömlöst. Om klustret har konfigurerats med kundhanterad nyckel (CMK), förblir data som matas in till arbetsytan när de var länkade krypterade med din nyckel och tillgängliga, medan nyckeln och behörigheterna till Key Vault finns kvar.

Kommentar

Det finns en gräns på två länkåtgärder för en viss arbetsyta inom en månad för att förhindra datadistribution mellan kluster. Kontakta supporten om du når gränsen.
Olänkade arbetsytor flyttas till prisnivån Betala per användning.

Använd följande kommandon för att ta bort länken till en arbetsyta från klustret:

Välj klustret från log analytics-menyn för dedikerade kluster i Azure Portal och klicka sedan på Länkade arbetsytor för att visa alla arbetsytor som för närvarande är länkade till det dedikerade klustret. Välj de arbetsytor som du vill ta bort länken till och klicka på Ta bort länk.

az account set --subscription "workspace-subscription-id"

az monitor log-analytics workspace linked-service delete --resource-group "resource-group-name" --workspace-name "workspace-name" --name cluster

Select-AzSubscription "workspace-subscription-id"

# Unlink a workspace from cluster
Remove-AzOperationalInsightsLinkedService -ResourceGroupName "resource-group-name" -WorkspaceName {workspace-name} -LinkedServiceName cluster

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/linkedServices/{linkedServiceName}?api-version=2020-08-01

Ta bort klustret

Du måste ha skrivbehörighet för klusterresursen.

Åtgärden för borttagning av kluster bör utföras med försiktighet, eftersom åtgärden inte kan återställas. Alla inmatade data till kluster från länkade arbetsytor tas bort permanent.

Klustrets fakturering stoppas när klustret tas bort, oavsett vilken åtagandenivå på 31 dagar som definieras i klustret.

Om du tar bort ett kluster som har länkade arbetsytor tas arbetsytorna automatiskt bort från klustret, arbetsytor flyttas till prisnivån Betala per användning och nya data till arbetsytor matas in i Log Analytics-kluster i stället. Du kan fråga arbetsytan för tidsintervallet innan den länkades till klustret och efter avlänkningen och tjänsten utför frågor mellan kluster sömlöst.

Kommentar

Det finns en gräns på sju kluster per prenumeration och region, fem aktiva, plus två som har tagits bort under de senaste två veckorna.
Klustrets namn förblir reserverat två veckor efter borttagningen och kan inte användas för att skapa ett nytt kluster.

Använd följande kommandon för att ta bort ett kluster:

Välj klustret på log analytics-menyn för dedikerade kluster i Azure Portal och klicka sedan på Ta bort.

az account set --subscription "cluster-subscription-id"

az monitor log-analytics cluster delete --resource-group "resource-group-name" --name $clusterName

Select-AzSubscription "cluster-subscription-id"

Remove-AzOperationalInsightsCluster -ResourceGroupName "resource-group-name" -ClusterName "cluster-name"

Använd följande REST-anrop för att ta bort ett kluster:

DELETE https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.OperationalInsights/clusters/<cluster-name>?api-version=2022-10-01
Authorization: Bearer <token>

Response

200 OK

Ändra hanterad identitetstyp

Identitetstypen kan ändras när klustret har skapats utan avbrott i inmatningen eller frågor med följande överväganden:

Uppdatera SystemAssigned till UserAssigned – Bevilja UserAssign-identitet i Key Vault och uppdatera identitetstypen i klustret
Uppdatera UserAssigned till SystemAssigned – Eftersom systemtilldelad hanterad identitet skapades efter uppdatering av klusteridentitetstyp med SystemAssigned måste följande steg följas
1. Uppdatera klustret och ta bort nyckeln – ange keyVaultUri, keyName och keyVersion med värdet ""
2. Uppdatera klusteridentitetstypen till SystemAssigned
3. Uppdatera Key Vault och bevilja behörigheter till identiteten
4. Uppdatera nyckeln i klustret

Begränsningar och krav

Högst fem aktiva kluster kan skapas i varje region och prenumeration.
Högst sju kluster tillåts per prenumeration och region, fem aktiva, plus två som har tagits bort under de senaste två veckorna.
Högst 1 000 Log Analytics-arbetsytor kan länkas till ett kluster.
Högst två länkåtgärder för arbetsytor på en viss arbetsyta tillåts under 30 dagar.
Det finns för närvarande inte stöd för att flytta ett kluster till en annan resursgrupp eller prenumeration.
Det går inte att flytta ett kluster till en annan region.
Klusteruppdatering bör inte innehålla information om både identitet och nyckelidentifierare i samma åtgärd. Om du behöver uppdatera båda bör uppdateringen vara i två på varandra följande åtgärder.
Låsbox är för närvarande inte tillgängligt i Kina.
Låsbox kan för närvarande inte tillämpas på tabeller med hjälpplanen.
Dubbel kryptering konfigureras automatiskt för kluster som skapats från oktober 2020 i regioner som stöds. Du kan kontrollera om klustret har konfigurerats för dubbel kryptering genom att skicka en GET-begäran i klustret och observera att isDoubleEncryptionEnabled värdet är true för kluster med dubbel kryptering aktiverat.
- Om du skapar ett kluster och får felet "regionnamn stöder inte dubbel kryptering för kluster.", kan du fortfarande skapa klustret utan dubbel kryptering genom att lägga till "properties": {"isDoubleEncryptionEnabled": false} i REST-begärandetexten.
- Det går inte att ändra inställningen för dubbel kryptering när klustret har skapats.
Det är tillåtet att ta bort en arbetsyta när den är länkad till klustret. Om du bestämmer dig för att återställa arbetsytan under perioden för mjuk borttagning återgår arbetsytan till föregående tillstånd och förblir länkad till klustret.
Under åtagandeperioden kan du ändra till en högre åtagandenivå, vilket startar om åtagandeperioden på 31 dagar. Du kan inte gå tillbaka till betala per användning eller till en lägre åtagandenivå förrän du har slutfört åtagandeperioden.

Felsökning

Om du får konfliktfel när du skapar ett kluster kan det ha tagits bort under de senaste två veckorna och i borttagningsprocessen ännu. Klusternamnet förblir reserverat under borttagningsperioden på 2 veckor och du kan inte skapa ett nytt kluster med det namnet.
Om du uppdaterar klustret när klustret är i etablerings- eller uppdateringstillstånd misslyckas uppdateringen.
Vissa åtgärder är långa och kan ta en stund att slutföra. Det här är klusterskapande, uppdatering av klusternyckel och klusterborttagning. Du kan kontrollera åtgärdsstatusen genom att skicka GET-begäran till kluster eller arbetsyta och observera svaret. Till exempel kommer inte den olänkade arbetsytan att ha clusterResourceId under funktioner.
Om du försöker länka en Log Analytics-arbetsyta som redan är länkad till ett annat kluster misslyckas åtgärden.

Felmeddelanden

Skapa kluster

400 – Klusternamnet är inte giltigt. Klusternamn kan innehålla tecken a-z, A-Z, 0-9 och längden 3-63.
400 – Brödtexten i begäran är null eller i felaktigt format.
400--SKU-namnet är ogiltigt. Ange SKU-namnet till capacityReservation.
400 – Kapacitet tillhandahölls men SKU är inte capacityReservation. Ange SKU-namnet till capacityReservation.
400 – Kapacitet saknas i SKU. Ange Kapacitetsvärde till 100, 200, 300, 400, 500, 1000, 2000, 5000, 10000, 25000, 50000 GB per dag.
400 – Kapaciteten är låst i 30 dagar. Minskande kapacitet tillåts 30 dagar efter uppdateringen.
400– Ingen SKU har angetts. Ange SKU-namnet till capacityReservation och Capacity value till 100, 200, 300, 400, 500, 1000, 2000, 5000, 10000, 25000, 50000 GB per dag.
400– Åtgärden kan inte köras nu. Async-åtgärden är i ett annat tillstånd än lyckades. Klustret måste slutföra sin åtgärd innan någon uppdateringsåtgärd utförs.

Klusteruppdatering

400 – Klustret är i borttagningstillstånd. Asynkron åtgärd pågår. Klustret måste slutföra sin åtgärd innan någon uppdateringsåtgärd utförs.
400 – KeyVaultProperties är inte tomt men har ett felaktigt format. Se uppdatering av nyckelidentifierare.
400 – Det gick inte att verifiera nyckeln i Key Vault. Kan bero på brist på behörigheter eller när nyckeln inte finns. Kontrollera att du anger en nyckel- och åtkomstprincip i Key Vault.
400 – Nyckeln kan inte återställas. Key Vault måste vara inställt på Mjuk borttagning och rensningsskydd. Se Dokumentation om Key Vault
400– Åtgärden kan inte köras nu. Vänta tills Async-åtgärden har slutförts och försök igen.
400 – Klustret är i borttagningstillstånd. Vänta tills Async-åtgärden har slutförts och försök igen.

Hämta kluster

404 – Klustret hittades inte, klustret kan ha tagits bort. Om du försöker skapa ett kluster med det namnet och få konflikter är klustret i borttagningsprocessen.

Ta bort kluster

409 – Det går inte att ta bort ett kluster när det är i etableringstillstånd. Vänta tills Async-åtgärden har slutförts och försök igen.

Länk till arbetsyta

404– Arbetsytan hittades inte. Den angivna arbetsytan finns inte eller har tagits bort.
409 – Arbetsytans länk eller avlänkning pågår.
400 – Klustret hittades inte, klustret du angav finns inte eller togs bort.

Ta bort länk för arbetsyta

404– Arbetsytan hittades inte. Den angivna arbetsytan finns inte eller har tagits bort.
409 – Arbetsytans länk eller avlänkning pågår.

Nästa steg

Läs mer om fakturering av dedikerade Log Analytics-kluster.
Lär dig mer om korrekt design av Log Analytics-arbetsytor.
Hämta andra exempelmallar för Azure Monitor.

Dela via

Skapa och hantera ett dedikerat kluster i Azure Monitor-loggar

Avancerade funktioner

Prismodell för kluster

Förutsättningar

Behörigheter som krävs

Resource Manager-mallexempel

Mallreferenser

Skapa ett dedikerat kluster

Kontrollera status för klusteretablering

Länka en arbetsyta till ett kluster

Kontrollera status för arbetsytans länk

Ändra klusteregenskaper

Hämta alla kluster i resursgruppen

Hämta alla kluster i prenumerationen

Uppdatera åtagandenivån i klustret

Ta bort länken till en arbetsyta från klustret

Ta bort klustret

Ändra hanterad identitetstyp

Begränsningar och krav

Felsökning

Felmeddelanden

Skapa kluster

Klusteruppdatering

Hämta kluster

Ta bort kluster

Länk till arbetsyta

Ta bort länk för arbetsyta

Nästa steg

Feedback

Ytterligare resurser