Flytta Azure Monitor – Log Analytics-arbetsyta till en annan region

En flyttplan för Log Analytics-arbetsytan måste omfatta flytt av resurser som loggar data med Log Analytics-arbetsytan.

Log Analytics-arbetsytan har inte inbyggt stöd för migrering av arbetsytedata från en region till en annan och associerade enheter. I stället måste du skapa en ny Log Analytics-arbetsyta i målregionen och konfigurera om enheterna och inställningarna på den nya arbetsytan.

Diagrammet nedan illustrerar omlokaliseringsmönstret för en Log Analytics-arbetsyta. De röda flödeslinjerna representerar omdistributionen av målinstansen tillsammans med dataflytt och uppdatering av domäner och slutpunkter.

Stöd för flytt till tillgänglighetszon

Azure-tillgänglighetszoner är minst tre fysiskt separata grupper av datacenter i varje Azure-region. Datacenter i varje zon är utrustade med oberoende infrastruktur för ström, kylning och nätverk. Om det uppstår ett fel i den lokala zonen är tillgänglighetszoner utformade så att regionala tjänster, kapacitet och hög tillgänglighet stöds av de återstående två zonerna om den ena zonen påverkas.

Fel kan vara allt från programvaru- och maskinvarufel till händelser som jordbävningar, översvämningar och bränder. Tolerans mot fel uppnås med redundans och logisk isolering av Azure-tjänster. Mer detaljerad information om tillgänglighetszoner i Azure finns i Regioner och tillgänglighetszoner.

Azure-tillgänglighetszoner-aktiverade tjänster är utformade för att ge rätt nivå av tillförlitlighet och flexibilitet. De kan konfigureras på två sätt. De kan vara antingen zonredundanta, med automatisk replikering mellan zoner eller zoninstanser, med instanser fästa på en specifik zon. Du kan också kombinera dessa metoder. Mer information om zon- och zonredundant arkitektur finns i Rekommendationer för användning av tillgänglighetszoner och regioner.

Om du vill flytta din Log Analytics-arbetsyta till en region som stöder tillgänglighetszoner:

• Läs Migreringsbaslinjen för Azure-tillgänglighetszoner för att utvärdera tillgänglighetszonens beredskap för din arbetsbelastning eller ditt program.
• Följ riktlinjerna i Migrera Log Analytics till stöd för tillgänglighetszoner.

Förutsättningar

• Om du vill exportera konfigurationen av arbetsytan till en mall som kan distribueras till en annan region behöver du rollen Log Analytics-deltagare eller övervakningsdeltagare eller senare.

• Identifiera alla resurser som för närvarande är associerade med din arbetsyta, inklusive:

  • Anslut agenter: Ange loggar på arbetsytan och fråga en pulsslagstabell för att visa en lista över anslutna agenter.

    Heartbeat
    | summarize by Computer, Category, OSType, _ResourceId
    

  • Diagnostikinställningar: Resurser kan skicka loggar till Azure Diagnostics eller dedikerade tabeller på din arbetsyta. Ange Loggar på din arbetsyta och kör den här frågan för resurser som skickar data till AzureDiagnostics tabellen:

    AzureDiagnostics
    | where TimeGenerated > ago(12h)
    | summarize by  ResourceProvider , ResourceType, Resource
    | sort by ResourceProvider, ResourceType
    

    Kör den här frågan för resurser som skickar data till dedikerade tabeller:

    search *
    | where TimeGenerated > ago(12h)
    | where isnotnull(_ResourceId)
    | extend ResourceProvider = split(_ResourceId, '/')[6]
    | where ResourceProvider !in ('microsoft.compute', 'microsoft.security')
    | extend ResourceType = split(_ResourceId, '/')[7]
    | extend Resource = split(_ResourceId, '/')[8]
    | summarize by tostring(ResourceProvider) , tostring(ResourceType), tostring(Resource)
    | sort by ResourceProvider, ResourceType
    

  • Installerade lösningar: Välj Äldre lösningar i arbetsytans navigeringsfönster för en lista över installerade lösningar.

  • API för datainsamlare: Data som anländer via ett API för datainsamlare lagras i anpassade loggtabeller. Om du vill ha en lista över anpassade loggtabeller väljer du Loggar i arbetsytans navigeringsfönster och väljer sedan Anpassad logg i schemafönstret.

  • Länkade tjänster: Arbetsytor kan ha länkade tjänster till beroende resurser, till exempel ett Azure Automation-konto, ett lagringskonto eller ett dedikerat kluster. Ta bort länkade tjänster från din arbetsyta. Konfigurera om dem manuellt på målarbetsytan.

  • Aviseringar: Om du vill visa aviseringar väljer du Aviseringar i arbetsytans navigeringsfönster och väljer sedan Hantera aviseringsregler i verktygsfältet. Aviseringar i arbetsytor som skapats efter den 1 juni 2019 eller i arbetsytor som har uppgraderats från Log Analytics Alert API till scheduledQueryRules API kan ingå i mallen.

    Du kan kontrollera om api:et scheduledQueryRules används för aviseringar på din arbetsyta. Du kan också konfigurera aviseringar manuellt på målarbetsytan.

  • Frågepaket: En arbetsyta kan associeras med flera frågepaket. Om du vill identifiera frågepaket på din arbetsyta väljer du Loggar i arbetsytans navigeringsfönster, väljer frågor i det vänstra fönstret och väljer sedan ellipsen till höger om sökrutan. En dialogruta med de valda frågepaketen öppnas till höger. Om dina frågepaket finns i samma resursgrupp som arbetsytan som du flyttar kan du inkludera det med den här migreringen.

• Kontrollera att azure-prenumerationen gör att du kan skapa Log Analytics-arbetsytor i målregionen.

Driftstopp

Information om möjliga stilleståndstider finns i Cloud Adoption Framework for Azure: Select a relocation method (Molnimplementeringsramverk för Azure: Välj en omlokaliseringsmetod).

Förbereda

Följande procedurer visar hur du förbereder arbetsytan och resurserna för flytten med hjälp av en Resource Manager-mall.

Kommentar

Alla resurser kan inte exporteras via en mall. Du måste konfigurera dessa separat när arbetsytan har skapats i målregionen.

1. Logga in på Azure-portalen och välj sedan Resursgrupper.

2. Leta upp den resursgrupp som innehåller din arbetsyta och välj den.

3. Om du vill visa en aviseringsresurs markerar du kryssrutan Visa dolda typer .

4. Välj typfiltret. Välj Log Analytics-arbetsyta, lösning, SavedSearches, microsoft.insights/scheduledqueryrules, defaultQueryPack och andra arbetsyterelaterade resurser som du har (till exempel ett Automation-konto). Välj därefter Tillämpa.

5. Välj arbetsyta, lösningar, sparade sökningar, aviseringar, frågepaket och andra arbetsyterelaterade resurser som du har (till exempel ett Automation-konto). Välj sedan Exportera mall i verktygsfältet.

   Kommentar

   Det går inte att exportera Microsoft Sentinel med en mall. Du måste registrera Sentinel på en målarbetsyta.

6. Välj Distribuera i verktygsfältet för att redigera och förbereda mallen för distribution.

7. Välj Redigera parametrar i verktygsfältet för att öppna filen parameters.json i onlineredigeraren.

8. Om du vill redigera parametrarna ändrar du egenskapen value under parameters. Här är ett exempel:

   {
     "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
     "contentVersion": "1.0.0.0",
     "parameters": {
       "workspaces_name": {
         "value": "my-workspace-name"
       },
       "workspaceResourceId": {
         "value": "/subscriptions/resource-id/resourceGroups/resource-group-name/providers/Microsoft.OperationalInsights/workspaces/workspace-name"
       },
       "alertName": {
         "value": "my-alert-name"
       },
       "querypacks_name": {
         "value": "my-default-query-pack-name"
       }
     }
   }
   

9. Välj Spara i redigeraren.

Redigera mallen

1. Välj Redigera mall i verktygsfältet för att öppna filen template.json i onlineredigeraren.

2. Om du vill redigera målregionen där Log Analytics-arbetsytan ska distribueras ändrar du location egenskapen under resources i onlineredigeraren.

   Information om hur du hämtar platskoder för regioner finns i Datahemvist i Azure. Koden för en region är regionnamnet utan blanksteg. Till exempel bör USA, centrala vara centralus.

3. Ta bort resurser för länkade tjänster (microsoft.operationalinsights/workspaces/linkedservices) om de finns i mallen. Du bör konfigurera om dessa resurser manuellt på målarbetsytan.

   Följande exempelmall innehåller arbetsytan, sparad sökning, lösningar, aviseringar och frågepaket:

   {
     "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
     "contentVersion": "1.0.0.0",
     "parameters": {
       "workspaces_name": {
         "type": "String"
       },
       "workspaceResourceId": {
         "type": "String"
       },
       "alertName": {
         "type": "String"
       },
       "querypacks_name": {
         "type": "String"
       }
     },
     "variables": {},
     "resources": [
       {
         "type": "microsoft.operationalinsights/workspaces",
         "apiVersion": "2020-08-01",
         "name": "[parameters('workspaces_name')]",
         "location": "france central",
         "properties": {
           "sku": {
             "name": "pergb2018"
           },
           "retentionInDays": 30,
           "features": {
             "enableLogAccessUsingOnlyResourcePermissions": true
           },
           "workspaceCapping": {
             "dailyQuotaGb": -1
           },
           "publicNetworkAccessForIngestion": "Enabled",
           "publicNetworkAccessForQuery": "Enabled"
         }
       },
       {
         "type": "Microsoft.OperationalInsights/workspaces/savedSearches",
         "apiVersion": "2020-08-01",
         "name": "[concat(parameters('workspaces_name'), '/2b5112ec-5ad0-5eda-80e9-ad98b51d4aba')]",
         "dependsOn": [
           "[resourceId('Microsoft.OperationalInsights/workspaces', parameters('workspaces_name'))]"
         ],
         "properties": {
           "category": "VM Monitoring",
           "displayName": "List all versions of curl in use",
           "query": "VMProcess\n| where ExecutableName == \"curl\"\n| distinct ProductVersion",
           "tags": [],
           "version": 2
         }
       },
       {
         "type": "Microsoft.OperationsManagement/solutions",
         "apiVersion": "2015-11-01-preview",
         "name": "[concat('Updates(', parameters('workspaces_name'))]",
         "location": "france central",
         "dependsOn": [
           "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name'))]"
         ],
         "plan": {
           "name": "[concat('Updates(', parameters('workspaces_name'))]",
           "promotionCode": "",
           "product": "OMSGallery/Updates",
           "publisher": "Microsoft"
         },
         "properties": {
           "workspaceResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name'))]",
           "containedResources": [
             "[concat(resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name')), '/views/Updates(', parameters('workspaces_name'), ')')]"
           ]
         }
       }
       {
         "type": "Microsoft.OperationsManagement/solutions",
         "apiVersion": "2015-11-01-preview",
         "name": "[concat('VMInsights(', parameters('workspaces_name'))]",
         "location": "france central",
         "plan": {
           "name": "[concat('VMInsights(', parameters('workspaces_name'))]",
           "promotionCode": "",
           "product": "OMSGallery/VMInsights",
           "publisher": "Microsoft"
         },
         "properties": {
           "workspaceResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name'))]",
           "containedResources": [
             "[concat(resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name')), '/views/VMInsights(', parameters('workspaces_name'), ')')]"
           ]
         }
       },
       {
         "type": "microsoft.insights/scheduledqueryrules",
         "apiVersion": "2021-08-01",
         "name": "[parameters('alertName')]",
         "location": "france central",
         "properties": {
           "displayName": "[parameters('alertName')]",
           "severity": 3,
           "enabled": true,
           "evaluationFrequency": "PT5M",
           "scopes": [
             "[parameters('workspaceResourceId')]"
           ],
           "windowSize": "PT15M",
           "criteria": {
             "allOf": [
               {
                 "query": "Heartbeat | where computer == 'my computer name'",
                 "timeAggregation": "Count",
                 "operator": "LessThan",
                 "threshold": 14,
                 "failingPeriods": {
                   "numberOfEvaluationPeriods": 1,
                   "minFailingPeriodsToAlert": 1
                 }
               }
             ]
           },
           "autoMitigate": true,
           "actions": {}
         }
       },
       {
         "type": "Microsoft.OperationalInsights/querypacks",
         "apiVersion": "2019-09-01-preview",
         "name": "[parameters('querypacks_name')]",
         "location": "francecentral",
         "properties": {}
       },
       {
         "type": "Microsoft.OperationalInsights/querypacks/queries",
         "apiVersion": "2019-09-01-preview",
         "name": "[concat(parameters('querypacks_name'), '/00000000-0000-0000-0000-000000000000')]",
         "dependsOn": [
           "[resourceId('Microsoft.OperationalInsights/querypacks', parameters('querypacks_name'))]"
         ],
         "properties": {
           "displayName": "my-query-name",
           "body": "my-query-text",
           "related": {
             "categories": [],
             "resourceTypes": [
                 "microsoft.operationalinsights/workspaces"
             ]
           },
           "tags": {
             "labels": []
           }
         }
       }
     ]
   }
   

4. Välj Spara i onlineredigeraren.

Omdistribuera

1. Välj Prenumeration för att välja den prenumeration där målarbetsytan ska distribueras.

2. Välj Resursgrupp för att välja den resursgrupp där målarbetsytan ska distribueras. Du kan välja Skapa ny för att skapa en ny resursgrupp för målarbetsytan.

3. Kontrollera att Regionen är inställd på den målplats där du vill att nätverkssäkerhetsgruppen ska distribueras.

4. Välj knappen Granska + skapa för att verifiera mallen.

5. Välj Skapa för att distribuera arbetsytan och den valda resursen till målregionen.

6. Din arbetsyta, inklusive valda resurser, distribueras nu i målregionen. Du kan slutföra den återstående konfigurationen på arbetsytan för att parera funktioner till den ursprungliga arbetsytan.

   • Anslut agenter: Använd något av de tillgängliga alternativen, inklusive regler för datainsamling, för att konfigurera de agenter som krävs på virtuella datorer och vm-skalningsuppsättningar och för att ange den nya målarbetsytan som mål.
   • Diagnostikinställningar: Uppdatera diagnostikinställningarna i identifierade resurser med målarbetsytan som mål.
   • Installationslösningar: Vissa lösningar, till exempel Microsoft Sentinel, kräver vissa registreringsförfaranden och ingår inte i mallen. Du bör registrera dem separat till den nya arbetsytan.
   • Konfigurera API för datainsamlare: Konfigurera API-instanser för datainsamlare för att skicka data till målarbetsytan.
   • Konfigurera aviseringsregler: När aviseringar inte exporteras i mallen måste du konfigurera dem manuellt på målarbetsytan.

7. Kontrollera att nya data inte matas in till den ursprungliga arbetsytan. Kör följande fråga på den ursprungliga arbetsytan och observera att det inte finns någon inmatning efter migreringen:

   search *
   | where TimeGenerated > ago(12h)
   | summarize max(TimeGenerated) by Type
   

När datakällor har anslutits till målarbetsytan lagras inmatade data på målarbetsytan. Äldre data finns kvar på den ursprungliga arbetsytan och omfattas av kvarhållningsprincipen. Du kan utföra en fråga mellan arbetsytor. Om båda arbetsytorna har tilldelats samma namn använder du ett kvalificerat namn (subscriptionName/resourceGroup/componentName) i arbetsytans referens.

Här är ett exempel på en fråga mellan två arbetsytor som har samma namn:

union 
  workspace('subscription-name1/<resource-group-name1/<original-workspace-name>')Update, 
  workspace('subscription-name2/<resource-group-name2/<target-workspace-name>').Update, 
| where TimeGenerated >= ago(1h)
| where UpdateState == "Needed"
| summarize dcount(Computer) by Classification

Ignorera

Om du vill ta bort källarbetsytan tar du bort de exporterade resurserna eller resursgruppen som innehåller dessa resurser:

1. Välj målresursgruppen i Azure-portalen.

2. På sidan Översikt :

   • Om du har skapat en ny resursgrupp för den här distributionen väljer du Ta bort resursgrupp i verktygsfältet för att ta bort resursgruppen.
   • Om mallen har distribuerats till en befintlig resursgrupp väljer du de resurser som har distribuerats med mallen och väljer sedan Ta bort i verktygsfältet för att ta bort markerade resurser.

Rensa

Medan nya data matas in till din nya arbetsyta förblir äldre data i den ursprungliga arbetsytan tillgängliga för frågor och omfattas av kvarhållningsprincipen som definierats i arbetsytan. Vi rekommenderar att du behåller den ursprungliga arbetsytan så länge du behöver äldre data för att fråga mellan arbetsytor.

Om du inte längre behöver åtkomst till äldre data på den ursprungliga arbetsytan:

1. Välj den ursprungliga resursgruppen i Azure-portalen.
2. Välj de resurser som du vill ta bort och välj sedan Ta bort i verktygsfältet.

Relaterat innehåll

• Flytta resurser till en ny resursgrupp eller prenumeration

• Flytta virtuella Azure-datorer till en annan region