Přemístění služby Azure Monitor – Pracovní prostor Služby Log Analytics do jiné oblasti
Existují různé důvody, proč můžete chtít přesunout existující prostředky Azure z jedné oblasti do jiné. Možná budete chtít:
- Využijte výhod nové oblasti Azure.
- Nasaďte funkce nebo služby dostupné pouze v konkrétních oblastech.
- Splnění interních zásad a požadavků zásad správného řízení
- Sladění s fúzemi a akvizicemi společností
- Splnění požadavků na plánování kapacity
Plán přemístění pro pracovní prostor služby Log Analytics musí zahrnovat přemístění všech prostředků, které protokoluje data s pracovním prostorem služby Log Analytics.
Pracovní prostor služby Log Analytics nativně nepodporuje migraci dat pracovního prostoru z jedné oblasti do jiné a přidružených zařízení. Místo toho musíte vytvořit nový pracovní prostor služby Log Analytics v cílové oblasti a znovu nakonfigurovat zařízení a nastavení v novém pracovním prostoru.
Následující diagram znázorňuje model přemístění pracovního prostoru služby Log Analytics. Červené toky představují opětovné nasazení cílové instance spolu s přesunem dat a aktualizací domén a koncových bodů.
Přemístění do podpory zóny dostupnosti
Zóny dostupnosti jsou fyzicky oddělené skupiny datacenter v rámci každé oblasti Azure. Když jedna zóna selže, můžou služby převzít služby při selhání jedné ze zbývajících zón.
Další informace o zónách dostupnosti v Azure najdete v tématu Co jsou zóny dostupnosti?.
Pokud chcete přemístit pracovní prostor služby Log Analytics do oblasti, která podporuje zóny dostupnosti:
- Přečtěte si směrný plán migrace zóny dostupnosti Azure a vyhodnoťte připravenost vaší úlohy nebo aplikace na zónu dostupnosti.
- Postupujte podle pokynů v migraci Log Analytics na podporu zón dostupnosti.
Požadavky
Pokud chcete exportovat konfiguraci pracovního prostoru do šablony, kterou je možné nasadit do jiné oblasti, potřebujete roli Přispěvatel log Analytics nebo Přispěvatel monitorování nebo vyšší.
Identifikujte všechny prostředky, které jsou aktuálně přidružené k vašemu pracovnímu prostoru, včetně následujících:
Připojení agenti: Zadejte do pracovního prostoru protokoly a dotazujte se na tabulku prezenčních signálů, aby se vypsal seznam připojených agentů.
Heartbeat | summarize by Computer, Category, OSType, _ResourceIdNastavení diagnostiky: Prostředky můžou odesílat protokoly do azure Diagnostics nebo vyhrazených tabulek ve vašem pracovním prostoru. Zadejte do pracovního prostoru protokoly a spusťte tento dotaz na prostředky, které odesílají data do
AzureDiagnosticstabulky:AzureDiagnostics | where TimeGenerated > ago(12h) | summarize by ResourceProvider , ResourceType, Resource | sort by ResourceProvider, ResourceTypeSpusťte tento dotaz na prostředky, které odesílají data do vyhrazených tabulek:
search * | where TimeGenerated > ago(12h) | where isnotnull(_ResourceId) | extend ResourceProvider = split(_ResourceId, '/')[6] | where ResourceProvider !in ('microsoft.compute', 'microsoft.security') | extend ResourceType = split(_ResourceId, '/')[7] | extend Resource = split(_ResourceId, '/')[8] | summarize by tostring(ResourceProvider) , tostring(ResourceType), tostring(Resource) | sort by ResourceProvider, ResourceTypeNainstalovaná řešení: V navigačním podokně pracovního prostoru vyberte starší řešení pro seznam nainstalovaných řešení.
Rozhraní API kolektoru dat: Data přicházející prostřednictvím rozhraní API kolektoru dat se ukládají do vlastních tabulek protokolů. Seznam vlastních tabulek protokolů zobrazíte tak, že v navigačním podokně pracovního prostoru vyberete Protokoly a pak v podokně schématu vyberete Vlastní protokol .
Propojené služby: Pracovní prostory můžou mít propojené služby se závislými prostředky, jako je účet Azure Automation, účet úložiště nebo vyhrazený cluster. Odeberte z pracovního prostoru propojené služby. Překonfigurujte je ručně v cílovém pracovním prostoru.
Výstrahy: Chcete-li zobrazit seznam výstrah, vyberte v navigačním podokně pracovního prostoru výstrahy a pak na panelu nástrojů vyberte Spravovat pravidla upozornění. Výstrahy v pracovních prostorech vytvořených po 1. červnu 2019 nebo v pracovních prostorech, které byly upgradovány z rozhraní API upozornění Log Analytics na naplánované rozhraní API pro dotazyQueryRules, je možné zahrnout do šablony.
Můžete zkontrolovat, jestli se pro upozornění ve vašem pracovním prostoru používá rozhraní API scheduledQueryRules. Případně můžete upozornění nakonfigurovat ručně v cílovém pracovním prostoru.
Balíčky dotazů: Pracovní prostor je možné přidružit k více balíčkům dotazů. Pokud chcete identifikovat balíčky dotazů v pracovním prostoru, vyberte v navigačním podokně pracovního prostoru protokoly , vyberte dotazy v levém podokně a pak vyberte tři tečky napravo od vyhledávacího pole. Vpravo se otevře dialogové okno s vybranými balíčky dotazů. Pokud jsou balíčky dotazů ve stejné skupině prostředků jako pracovní prostor, který přesouváte, můžete je do této migrace zahrnout.
Ověřte, že vaše předplatné Azure umožňuje vytvářet pracovní prostory služby Log Analytics v cílové oblasti.
Odstávka
Informace o možných výpadkech najdete v tématu Architektura přechodu na cloud pro Azure: Výběr metody přemístění.
Příprava
Následující postupy ukazují, jak připravit pracovní prostor a prostředky pro přesun pomocí šablony Resource Manageru.
Poznámka:
Ne všechny prostředky je možné exportovat prostřednictvím šablony. Po vytvoření pracovního prostoru v cílové oblasti je potřeba je nakonfigurovat samostatně.
Přihlaste se k webu Azure Portal a vyberte Skupiny prostředků.
Najděte skupinu prostředků, která obsahuje váš pracovní prostor, a vyberte ji.
Pokud chcete zobrazit prostředek upozornění, zaškrtněte políčko Zobrazit skryté typy .
Vyberte filtr Typ. Vyberte pracovní prostor Služby Log Analytics, Řešení, SavedSearches, microsoft.insights/scheduledqueryrules, defaultQueryPack a další prostředky související s pracovním prostorem (například účet Automation). Potom vyberte Použít.
Vyberte pracovní prostor, řešení, uložená hledání, upozornění, balíčky dotazů a další prostředky související s pracovním prostorem (například účet Automation). Pak na panelu nástrojů vyberte Exportovat šablonu .
Poznámka:
Microsoft Sentinel nejde exportovat pomocí šablony. Sentinel musíte připojit k cílovému pracovnímu prostoru.
Výběrem možnosti Nasadit na panelu nástrojů upravte a připravte šablonu pro nasazení.
Výběrem možnosti Upravit parametry na panelu nástrojů otevřete soubor parameters.json v online editoru.
Chcete-li upravit parametry, změňte
valuevlastnost v částiparameters. Tady je příklad:{ "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#", "contentVersion": "1.0.0.0", "parameters": { "workspaces_name": { "value": "my-workspace-name" }, "workspaceResourceId": { "value": "/subscriptions/resource-id/resourceGroups/resource-group-name/providers/Microsoft.OperationalInsights/workspaces/workspace-name" }, "alertName": { "value": "my-alert-name" }, "querypacks_name": { "value": "my-default-query-pack-name" } } }V editoru vyberte Uložit .
Úprava šablony
Výběrem možnosti Upravit šablonu na panelu nástrojů otevřete soubor template.json v online editoru.
Pokud chcete upravit cílovou oblast, ve které se nasadí pracovní prostor služby Log Analytics, změňte
locationvlastnostresourcesv online editoru.Pokud chcete získat kódy umístění oblastí, přečtěte si téma Rezidence dat v Azure. Kód oblasti je název oblasti bez mezer. Například usa – střed by měly být
centralus.Odeberte prostředky propojených služeb (
microsoft.operationalinsights/workspaces/linkedservices), pokud jsou v šabloně. Tyto prostředky byste měli překonfigurovat ručně v cílovém pracovním prostoru.Následující příklad šablony obsahuje pracovní prostor, uložené vyhledávání, řešení, upozornění a balíček dotazů:
{ "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#", "contentVersion": "1.0.0.0", "parameters": { "workspaces_name": { "type": "String" }, "workspaceResourceId": { "type": "String" }, "alertName": { "type": "String" }, "querypacks_name": { "type": "String" } }, "variables": {}, "resources": [ { "type": "microsoft.operationalinsights/workspaces", "apiVersion": "2020-08-01", "name": "[parameters('workspaces_name')]", "location": "france central", "properties": { "sku": { "name": "pergb2018" }, "retentionInDays": 30, "features": { "enableLogAccessUsingOnlyResourcePermissions": true }, "workspaceCapping": { "dailyQuotaGb": -1 }, "publicNetworkAccessForIngestion": "Enabled", "publicNetworkAccessForQuery": "Enabled" } }, { "type": "Microsoft.OperationalInsights/workspaces/savedSearches", "apiVersion": "2020-08-01", "name": "[concat(parameters('workspaces_name'), '/2b5112ec-5ad0-5eda-80e9-ad98b51d4aba')]", "dependsOn": [ "[resourceId('Microsoft.OperationalInsights/workspaces', parameters('workspaces_name'))]" ], "properties": { "category": "VM Monitoring", "displayName": "List all versions of curl in use", "query": "VMProcess\n| where ExecutableName == \"curl\"\n| distinct ProductVersion", "tags": [], "version": 2 } }, { "type": "Microsoft.OperationsManagement/solutions", "apiVersion": "2015-11-01-preview", "name": "[concat('Updates(', parameters('workspaces_name'))]", "location": "france central", "dependsOn": [ "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name'))]" ], "plan": { "name": "[concat('Updates(', parameters('workspaces_name'))]", "promotionCode": "", "product": "OMSGallery/Updates", "publisher": "Microsoft" }, "properties": { "workspaceResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name'))]", "containedResources": [ "[concat(resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name')), '/views/Updates(', parameters('workspaces_name'), ')')]" ] } } { "type": "Microsoft.OperationsManagement/solutions", "apiVersion": "2015-11-01-preview", "name": "[concat('VMInsights(', parameters('workspaces_name'))]", "location": "france central", "plan": { "name": "[concat('VMInsights(', parameters('workspaces_name'))]", "promotionCode": "", "product": "OMSGallery/VMInsights", "publisher": "Microsoft" }, "properties": { "workspaceResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name'))]", "containedResources": [ "[concat(resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name')), '/views/VMInsights(', parameters('workspaces_name'), ')')]" ] } }, { "type": "microsoft.insights/scheduledqueryrules", "apiVersion": "2021-08-01", "name": "[parameters('alertName')]", "location": "france central", "properties": { "displayName": "[parameters('alertName')]", "severity": 3, "enabled": true, "evaluationFrequency": "PT5M", "scopes": [ "[parameters('workspaceResourceId')]" ], "windowSize": "PT15M", "criteria": { "allOf": [ { "query": "Heartbeat | where computer == 'my computer name'", "timeAggregation": "Count", "operator": "LessThan", "threshold": 14, "failingPeriods": { "numberOfEvaluationPeriods": 1, "minFailingPeriodsToAlert": 1 } } ] }, "autoMitigate": true, "actions": {} } }, { "type": "Microsoft.OperationalInsights/querypacks", "apiVersion": "2019-09-01-preview", "name": "[parameters('querypacks_name')]", "location": "francecentral", "properties": {} }, { "type": "Microsoft.OperationalInsights/querypacks/queries", "apiVersion": "2019-09-01-preview", "name": "[concat(parameters('querypacks_name'), '/00000000-0000-0000-0000-000000000000')]", "dependsOn": [ "[resourceId('Microsoft.OperationalInsights/querypacks', parameters('querypacks_name'))]" ], "properties": { "displayName": "my-query-name", "body": "my-query-text", "related": { "categories": [], "resourceTypes": [ "microsoft.operationalinsights/workspaces" ] }, "tags": { "labels": [] } } } ] }V online editoru vyberte Uložit .
Opětovné nasazení
Vyberte Předplatné a zvolte předplatné, ve kterém se bude cílový pracovní prostor nasazovat.
Vyberte skupinu prostředků a zvolte skupinu prostředků, do které se nasadí cílový pracovní prostor. Výběrem možnosti Vytvořit nový můžete vytvořit novou skupinu prostředků pro cílový pracovní prostor.
Ověřte, že je oblast nastavená na cílové umístění, kam chcete nasadit skupinu zabezpečení sítě.
Vyberte tlačítko Zkontrolovat a vytvořit a ověřte šablonu.
Výběrem možnosti Vytvořit nasadíte pracovní prostor a vybraný prostředek do cílové oblasti.
Váš pracovní prostor, včetně vybraných prostředků, je teď nasazený v cílové oblasti. Zbývající konfiguraci v pracovním prostoru můžete dokončit pro paring funkčnosti do původního pracovního prostoru.
- Připojení agentů: Použijte některou z dostupných možností, včetně pravidel shromažďování dat, ke konfiguraci požadovaných agentů na virtuálních počítačích a škálovacích sadách virtuálních počítačů a k určení nového cílového pracovního prostoru jako cíle.
- Nastavení diagnostiky: Aktualizujte nastavení diagnostiky v identifikovaných prostředcích s cílovým pracovním prostorem jako cílem.
- Instalace řešení: Některá řešení, jako je Microsoft Sentinel, vyžadují určité postupy onboardingu a nebyly součástí šablony. Měli byste je připojit samostatně k novému pracovnímu prostoru.
- Nakonfigurujte rozhraní API kolektoru dat: Nakonfigurujte instance rozhraní API kolektoru dat tak, aby odesílaly data do cílového pracovního prostoru.
- Konfigurovat pravidla upozornění: Pokud se upozornění v šabloně neexportují, musíte je nakonfigurovat ručně v cílovém pracovním prostoru.
Ověřte, že se nová data neingestují do původního pracovního prostoru. V původním pracovním prostoru spusťte následující dotaz a všimněte si, že po migraci nedochází k žádnému příjmu dat:
search * | where TimeGenerated > ago(12h) | summarize max(TimeGenerated) by Type
Po připojení zdrojů dat k cílovému pracovnímu prostoru se ingestovaná data ukládají do cílového pracovního prostoru. Starší data zůstávají v původním pracovním prostoru a podléhají zásadám uchovávání informací. Můžete provést dotaz mezi pracovními prostory. Pokud byly oba pracovní prostory přiřazeny stejnému názvu, použijte v odkazu na pracovní prostor kvalifikovaný název (subscriptionName/resourceGroup/componentName).
Tady je příklad dotazu ve dvou pracovních prostorech se stejným názvem:
union
workspace('subscription-name1/<resource-group-name1/<original-workspace-name>')Update,
workspace('subscription-name2/<resource-group-name2/<target-workspace-name>').Update,
| where TimeGenerated >= ago(1h)
| where UpdateState == "Needed"
| summarize dcount(Computer) by Classification
Zahodit
Pokud chcete zdrojový pracovní prostor zahodit, odstraňte exportované prostředky nebo skupinu prostředků, která obsahuje tyto prostředky:
Na webu Azure Portal vyberte cílovou skupinu prostředků.
Na stránce Přehled:
- Pokud jste pro toto nasazení vytvořili novou skupinu prostředků, odstraňte skupinu prostředků výběrem možnosti Odstranit skupinu prostředků na panelu nástrojů.
- Pokud byla šablona nasazena do existující skupiny prostředků, vyberte prostředky nasazené pomocí šablony a pak vyberte Odstranit na panelu nástrojů a odstraňte vybrané prostředky.
Vyčištění
Zatímco se do nového pracovního prostoru ingestují nová data, starší data v původním pracovním prostoru zůstanou k dispozici pro dotazy a podléhají zásadám uchovávání informací definovaným v pracovním prostoru. Doporučujeme zachovat původní pracovní prostor tak dlouho, dokud potřebujete starší data k dotazování napříč pracovními prostory.
Pokud už nepotřebujete přístup ke starším datům v původním pracovním prostoru:
- Na webu Azure Portal vyberte původní skupinu prostředků.
- Vyberte všechny prostředky, které chcete odebrat, a pak na panelu nástrojů vyberte Odstranit .