Azure İzleyici'yi yeniden taşıma - Log Analytics çalışma alanı başka bir bölgeye

Log Analytics çalışma alanı için yeniden konumlandırma planı, Log Analytics Çalışma Alanı ile verileri günlüğe kaydeden tüm kaynakların yeniden taşınmasını içermelidir.

Log Analytics çalışma alanı, çalışma alanı verilerinin bir bölgeden diğerine ve ilişkili cihazlara geçirilmesini yerel olarak desteklemez. Bunun yerine hedef bölgede yeni bir Log Analytics çalışma alanı oluşturmanız ve yeni çalışma alanında cihazları ve ayarları yeniden yapılandırmanız gerekir.

Aşağıdaki diyagramda Log Analytics çalışma alanının yeniden konumlandırma düzeni gösterilmektedir. Kırmızı akış çizgileri, veri taşıma ve etki alanları ile uç noktaları güncelleştirme ile birlikte hedef örneğin yeniden dağıtımını temsil eder.

Kullanılabilirlik alanı desteğine yeniden konumlandırma

Azure kullanılabilirlik alanları, her Azure bölgesindeki en az üç fiziksel ayrı veri merkezi grubudur. Her bölgedeki veri merkezleri bağımsız güç, soğutma ve ağ altyapısı ile donatılmıştır. Yerel bölge hatası durumunda kullanılabilirlik alanları, bir bölge etkileniyorsa, bölgesel hizmetler, kapasite ve yüksek kullanılabilirlik kalan iki bölge tarafından desteklenecek şekilde tasarlanmıştır.

Hatalar, yazılım ve donanım arızalarından deprem, sel ve yangın gibi olaylara kadar değişebilir. Azure hizmetlerinin yedekliliği ve mantıksal yalıtımı ile hatalara dayanıklılık elde edilir. Azure'daki kullanılabilirlik alanları hakkında daha ayrıntılı bilgi için bkz . Bölgeler ve kullanılabilirlik alanları.

Azure kullanılabilirlik alanlarının etkinleştirildiği hizmetler, doğru güvenilirlik ve esneklik düzeyini sağlayacak şekilde tasarlanmıştır. Bunlar iki şekilde yapılandırılabilir. Alanlar arasında otomatik çoğaltma ile alanlar arası yedekli veya belirli bir bölgeye sabitlenmiş örneklerle bölgesel olabilir. Bu yaklaşımları da birleştirebilirsiniz. Bölgesel ve alanlar arası yedekli mimari hakkında daha fazla bilgi için bkz. kullanılabilirlik alanlarını ve bölgelerini kullanmak için Öneriler.

Log Analytics çalışma alanınızı kullanılabilirlik alanlarını destekleyen bir bölgeye yeniden dağıtmak istiyorsanız:

• İş yükünüzün veya uygulamanızın kullanılabilirlik alanı hazırlığını değerlendirmek için Azure kullanılabilirlik alanı geçiş temeli'ni okuyun.
• Log Analytics'i kullanılabilirlik alanına geçirme desteğindeki yönergeleri izleyin.

Önkoşullar

• Çalışma alanı yapılandırmasını başka bir bölgeye dağıtılabilir bir şablona aktarmak için Log Analytics Katkıda Bulunanı veya İzleme Katkıda Bulunanı rolüne veya daha yüksek bir role sahip olmanız gerekir.

• Şu anda çalışma alanınızla ilişkili olan tüm kaynakları tanımlayın, örneğin:

  • Bağlan aracılar: Çalışma alanınıza Günlükler girin ve bağlı aracıları listelemek için sinyal tablosunu sorgular.

    Heartbeat
    | summarize by Computer, Category, OSType, _ResourceId
    

  • Tanılama ayarları: Kaynaklar, çalışma alanınızdaki Azure Tanılama veya ayrılmış tablolara günlük gönderebilir. Çalışma alanınıza Günlükler yazın ve tabloya veri gönderen kaynaklar için şu sorguyu AzureDiagnostics çalıştırın:

    AzureDiagnostics
    | where TimeGenerated > ago(12h)
    | summarize by  ResourceProvider , ResourceType, Resource
    | sort by ResourceProvider, ResourceType
    

    Ayrılmış tablolara veri gönderen kaynaklar için şu sorguyu çalıştırın:

    search *
    | where TimeGenerated > ago(12h)
    | where isnotnull(_ResourceId)
    | extend ResourceProvider = split(_ResourceId, '/')[6]
    | where ResourceProvider !in ('microsoft.compute', 'microsoft.security')
    | extend ResourceType = split(_ResourceId, '/')[7]
    | extend Resource = split(_ResourceId, '/')[8]
    | summarize by tostring(ResourceProvider) , tostring(ResourceType), tostring(Resource)
    | sort by ResourceProvider, ResourceType
    

  • Yüklü çözümler: Yüklü çözümlerin listesi için çalışma alanı gezinti bölmesinde Eski çözümler'i seçin.

  • Veri toplayıcı API'si: Veri Toplayıcı API'si aracılığıyla gelen veriler özel günlük tablolarında depolanır. Özel günlük tablolarının listesi için, çalışma alanı gezinti bölmesinde Günlükler'i seçin ve ardından şema bölmesinde Özel oturum aç'ı seçin.

  • Bağlı hizmetler: Çalışma alanlarında Azure Otomasyonu hesabı, depolama hesabı veya ayrılmış küme gibi bağımlı kaynaklara bağlı hizmetler olabilir. Bağlı hizmetleri çalışma alanınızdan kaldırın. Hedef çalışma alanında bunları el ile yeniden yapılandırın.

  • Uyarılar: Uyarıları listelemek için çalışma alanı gezinti bölmenizde Uyarılar'ı ve ardından araç çubuğunda Uyarı kurallarını yönet'i seçin. 1 Haziran 2019'dan sonra oluşturulan çalışma alanlarında veya Log Analytics Uyarı API'sinden scheduledQueryRules API'sine yükseltilen çalışma alanlarındaki uyarılar şablona eklenebilir.

    ZamanlanmışQueryRules API'sinin çalışma alanınızdaki uyarılar için kullanılıp kullanılmadiğini de kontrol edebilirsiniz. Alternatif olarak uyarıları hedef çalışma alanında el ile yapılandırabilirsiniz.

  • Sorgu paketleri: Çalışma alanı birden çok sorgu paketiyle ilişkilendirilebilir. Çalışma alanınızdaki sorgu paketlerini tanımlamak için çalışma alanı gezinti bölmesinde Günlükler'i seçin, sol bölmede sorgular'ı seçin ve ardından arama kutusunun sağındaki üç noktayı seçin. Sağ tarafta seçili sorgu paketlerini içeren bir iletişim kutusu açılır. Sorgu paketleriniz taşıdığınız çalışma alanıyla aynı kaynak grubundaysa bu geçişe ekleyebilirsiniz.

• Azure aboneliğinizin hedef bölgede Log Analytics çalışma alanları oluşturmanıza izin verdiğinden emin olun.

Kesinti süresi

Olası kapalı kalma sürelerini anlamak için bkz. Azure için Bulut Benimseme Çerçevesi: Yeniden konumlandırma yöntemi seçme.

Hazırlama

Aşağıdaki yordamlarda, Resource Manager şablonu kullanarak çalışma alanının ve kaynakların taşıma için nasıl hazırileceği gösterilmektedir.

Not

Tüm kaynaklar bir şablon aracılığıyla dışarı aktarılamaz. Hedef bölgede çalışma alanı oluşturulduktan sonra bunları ayrı olarak yapılandırmanız gerekir.

1. Azure portalında oturum açın ve ardından Kaynak Grupları'nı seçin.

2. Çalışma alanınızı içeren kaynak grubunu bulun ve seçin.

3. Uyarı kaynağını görüntülemek için Gizli türleri göster onay kutusunu seçin.

4. Tür filtresini seçin. Log Analytics çalışma alanı, Çözüm, SavedSearches, microsoft.insights/scheduledqueryrules, defaultQueryPack ve sahip olduğunuz çalışma alanıyla ilgili diğer kaynakları (Otomasyon hesabı gibi) seçin. Ardından Uygula'yı seçin.

5. Sahip olduğunuz çalışma alanını, çözümleri, kaydedilmiş aramaları, uyarıları, sorgu paketlerini ve çalışma alanıyla ilgili diğer kaynakları (otomasyon hesabı gibi) seçin. Ardından araç çubuğunda Şablonu dışarı aktar'ı seçin.

   Not

   Microsoft Sentinel bir şablonla dışarı aktarılamaz. Sentinel'i hedef çalışma alanına eklemeniz gerekir.

6. Şablonu düzenlemek ve dağıtıma hazırlamak için araç çubuğunda Dağıt'ı seçin.

7. parameters.json dosyasını çevrimiçi düzenleyicide açmak için araç çubuğunda Parametreleri düzenle'yi seçin.

8. Parametreleri düzenlemek için altındaki parametersözelliğini değiştirinvalue. Bir örnek aşağıda verilmiştir:

   {
     "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
     "contentVersion": "1.0.0.0",
     "parameters": {
       "workspaces_name": {
         "value": "my-workspace-name"
       },
       "workspaceResourceId": {
         "value": "/subscriptions/resource-id/resourceGroups/resource-group-name/providers/Microsoft.OperationalInsights/workspaces/workspace-name"
       },
       "alertName": {
         "value": "my-alert-name"
       },
       "querypacks_name": {
         "value": "my-default-query-pack-name"
       }
     }
   }
   

9. Düzenleyicide Kaydet'i seçin.

Şablonu düzenleme

1. template.json dosyasını çevrimiçi düzenleyicide açmak için araç çubuğunda Şablonu düzenle'yi seçin.

2. Log Analytics çalışma alanının dağıtılacağı hedef bölgeyi düzenlemek için çevrimiçi düzenleyicide altında özelliğini resources değiştirinlocation.

   Bölge konum kodlarını almak için bkz . Azure'da veri yerleşimi. Bölge kodu, boşluk içermeyen bölge adıdır. Örneğin, Orta ABD olmalıdır centralus.

3. Şablonda mevcut olan bağlı hizmetler kaynaklarını (microsoft.operationalinsights/workspaces/linkedservices) kaldırın. Bu kaynakları hedef çalışma alanında el ile yeniden yapılandırmanız gerekir.

   Aşağıdaki örnek şablon çalışma alanını, kaydedilmiş aramayı, çözümleri, uyarıları ve sorgu paketini içerir:

   {
     "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
     "contentVersion": "1.0.0.0",
     "parameters": {
       "workspaces_name": {
         "type": "String"
       },
       "workspaceResourceId": {
         "type": "String"
       },
       "alertName": {
         "type": "String"
       },
       "querypacks_name": {
         "type": "String"
       }
     },
     "variables": {},
     "resources": [
       {
         "type": "microsoft.operationalinsights/workspaces",
         "apiVersion": "2020-08-01",
         "name": "[parameters('workspaces_name')]",
         "location": "france central",
         "properties": {
           "sku": {
             "name": "pergb2018"
           },
           "retentionInDays": 30,
           "features": {
             "enableLogAccessUsingOnlyResourcePermissions": true
           },
           "workspaceCapping": {
             "dailyQuotaGb": -1
           },
           "publicNetworkAccessForIngestion": "Enabled",
           "publicNetworkAccessForQuery": "Enabled"
         }
       },
       {
         "type": "Microsoft.OperationalInsights/workspaces/savedSearches",
         "apiVersion": "2020-08-01",
         "name": "[concat(parameters('workspaces_name'), '/2b5112ec-5ad0-5eda-80e9-ad98b51d4aba')]",
         "dependsOn": [
           "[resourceId('Microsoft.OperationalInsights/workspaces', parameters('workspaces_name'))]"
         ],
         "properties": {
           "category": "VM Monitoring",
           "displayName": "List all versions of curl in use",
           "query": "VMProcess\n| where ExecutableName == \"curl\"\n| distinct ProductVersion",
           "tags": [],
           "version": 2
         }
       },
       {
         "type": "Microsoft.OperationsManagement/solutions",
         "apiVersion": "2015-11-01-preview",
         "name": "[concat('Updates(', parameters('workspaces_name'))]",
         "location": "france central",
         "dependsOn": [
           "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name'))]"
         ],
         "plan": {
           "name": "[concat('Updates(', parameters('workspaces_name'))]",
           "promotionCode": "",
           "product": "OMSGallery/Updates",
           "publisher": "Microsoft"
         },
         "properties": {
           "workspaceResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name'))]",
           "containedResources": [
             "[concat(resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name')), '/views/Updates(', parameters('workspaces_name'), ')')]"
           ]
         }
       }
       {
         "type": "Microsoft.OperationsManagement/solutions",
         "apiVersion": "2015-11-01-preview",
         "name": "[concat('VMInsights(', parameters('workspaces_name'))]",
         "location": "france central",
         "plan": {
           "name": "[concat('VMInsights(', parameters('workspaces_name'))]",
           "promotionCode": "",
           "product": "OMSGallery/VMInsights",
           "publisher": "Microsoft"
         },
         "properties": {
           "workspaceResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name'))]",
           "containedResources": [
             "[concat(resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name')), '/views/VMInsights(', parameters('workspaces_name'), ')')]"
           ]
         }
       },
       {
         "type": "microsoft.insights/scheduledqueryrules",
         "apiVersion": "2021-08-01",
         "name": "[parameters('alertName')]",
         "location": "france central",
         "properties": {
           "displayName": "[parameters('alertName')]",
           "severity": 3,
           "enabled": true,
           "evaluationFrequency": "PT5M",
           "scopes": [
             "[parameters('workspaceResourceId')]"
           ],
           "windowSize": "PT15M",
           "criteria": {
             "allOf": [
               {
                 "query": "Heartbeat | where computer == 'my computer name'",
                 "timeAggregation": "Count",
                 "operator": "LessThan",
                 "threshold": 14,
                 "failingPeriods": {
                   "numberOfEvaluationPeriods": 1,
                   "minFailingPeriodsToAlert": 1
                 }
               }
             ]
           },
           "autoMitigate": true,
           "actions": {}
         }
       },
       {
         "type": "Microsoft.OperationalInsights/querypacks",
         "apiVersion": "2019-09-01-preview",
         "name": "[parameters('querypacks_name')]",
         "location": "francecentral",
         "properties": {}
       },
       {
         "type": "Microsoft.OperationalInsights/querypacks/queries",
         "apiVersion": "2019-09-01-preview",
         "name": "[concat(parameters('querypacks_name'), '/00000000-0000-0000-0000-000000000000')]",
         "dependsOn": [
           "[resourceId('Microsoft.OperationalInsights/querypacks', parameters('querypacks_name'))]"
         ],
         "properties": {
           "displayName": "my-query-name",
           "body": "my-query-text",
           "related": {
             "categories": [],
             "resourceTypes": [
                 "microsoft.operationalinsights/workspaces"
             ]
           },
           "tags": {
             "labels": []
           }
         }
       }
     ]
   }
   

4. Çevrimiçi düzenleyicide Kaydet'i seçin.

Yeniden dağıtım

1. Hedef çalışma alanının dağıtılacağı aboneliği seçmek için Abonelik'i seçin.

2. Hedef çalışma alanının dağıtılacağı kaynak grubunu seçmek için Kaynak grubu'na tıklayın. Hedef çalışma alanı için yeni bir kaynak grubu oluşturmak için Yeni oluştur'u seçebilirsiniz.

3. Bölge'nin, ağ güvenlik grubunun dağıtılmasını istediğiniz hedef konuma ayarlandığını doğrulayın.

4. Şablonunuzu doğrulamak için Gözden Geçir + oluştur düğmesini seçin.

5. Çalışma alanını ve seçili kaynağı hedef bölgeye dağıtmak için Oluştur'u seçin.

6. Seçili kaynaklar da dahil olmak üzere çalışma alanınız artık hedef bölgeye dağıtılır. İşlevi özgün çalışma alanına ayrıştırmak için çalışma alanında kalan yapılandırmayı tamamlayabilirsiniz.

   • Bağlan aracıları: Sanal makinelerde ve sanal makine ölçek kümelerinde gerekli aracıları yapılandırmak ve hedef olarak yeni hedef çalışma alanını belirtmek için Veri Toplama Kuralları da dahil olmak üzere kullanılabilir seçeneklerden herhangi birini kullanın.
   • Tanılama ayarları: Hedef çalışma alanı hedef olarak belirlenmiş kaynaklarda tanılama ayarlarını güncelleştirin.
   • Çözümleri yükleme: Microsoft Sentinel gibi bazı çözümler için belirli ekleme yordamları gerekir ve şablona dahil değildir. Bunları yeni çalışma alanına ayrı olarak eklemeniz gerekir.
   • Veri Toplayıcı API'sini yapılandırma: Veri Toplayıcı API'sini hedef çalışma alanına veri gönderecek şekilde yapılandırın.
   • Uyarı kurallarını yapılandırma: Uyarılar şablonda dışarı aktarıldığında, bunları hedef çalışma alanında el ile yapılandırmanız gerekir.

7. Yeni verilerin özgün çalışma alanına alınmadığından emin olun. Özgün çalışma alanınızda aşağıdaki sorguyu çalıştırın ve geçiş sonrasında veri alımı olmadığını gözlemleyin:

   search *
   | where TimeGenerated > ago(12h)
   | summarize max(TimeGenerated) by Type
   

Veri kaynakları hedef çalışma alanına bağlandıktan sonra alınan veriler hedef çalışma alanında depolanır. Eski veriler özgün çalışma alanında kalır ve bekletme ilkesine tabidir. Çalışma alanları arası sorgu gerçekleştirebilirsiniz. Her iki çalışma alanına da aynı ad atandıysa, çalışma alanı başvurusunda tam adı (subscriptionName/resourceGroup/componentName) kullanın.

Aynı ada sahip iki çalışma alanı arasında bir sorgu örneği aşağıda verilmiştir:

union 
  workspace('subscription-name1/<resource-group-name1/<original-workspace-name>')Update, 
  workspace('subscription-name2/<resource-group-name2/<target-workspace-name>').Update, 
| where TimeGenerated >= ago(1h)
| where UpdateState == "Needed"
| summarize dcount(Computer) by Classification

Vazgeç

Kaynak çalışma alanını atmak istiyorsanız, dışarı aktarılan kaynakları veya şu kaynakları içeren kaynak grubunu silin:

1. Azure portalında hedef kaynak grubunu seçin.

2. Genel Bakış sayfasında:

   • Bu dağıtım için yeni bir kaynak grubu oluşturduysanız, kaynak grubunu silmek için araç çubuğunda Kaynak grubunu sil'i seçin.
   • Şablon mevcut bir kaynak grubuna dağıtıldıysa, şablonla birlikte dağıtılan kaynakları seçin ve ardından seçili kaynakları silmek için araç çubuğunda Sil'i seçin.

Temizleme

Yeni veriler yeni çalışma alanınıza alınırken, özgün çalışma alanında bulunan eski veriler sorgu için kullanılabilir durumda kalır ve çalışma alanında tanımlanan bekletme ilkesine tabidir. Çalışma alanları arasında sorgulamak için eski verilere ihtiyacınız olduğu sürece özgün çalışma alanını tutmanızı öneririz.

Artık özgün çalışma alanında eski verilere erişmeniz gerekmiyorsa:

1. Azure portalında özgün kaynak grubunu seçin.
2. Kaldırmak istediğiniz kaynakları seçin ve ardından araç çubuğunda Sil'i seçin.

İlgili içerik

• Kaynakları yeni bir kaynak grubuna veya aboneliğe taşıma

• Azure VM’lerini başka bir bölgeye taşıma