Déplacer un espace de travail Log Analytics vers un autre abonnement ou groupe de ressources

Dans cet article, vous allez découvrir les étapes à effectuer pour déplacer un espace de travail Log Analytics vers un autre abonnement ou groupe de ressources dans la même région. Pour déplacer un espace de travail entre des régions, consultez Déplacer un espace de travail Log Analytics vers une autre région.

Conseil

Pour en savoir plus sur le déplacement de ressources Azure avec le portail Azure, PowerShell, Azure CLI ou l’API REST, consultez Déplacer des ressources vers un nouveau groupe de ressources ou un nouvel abonnement.

Prérequis

• L’abonnement ou le groupe de ressources dans lequel vous voulez déplacer votre espace de travail Log Analytics doit se trouver dans la même région que celle de l’espace de travail Log Analytics que vous déplacez.
• L’opération de déplacement nécessite qu’aucun service ne puisse être lié à l’espace de travail. Avant le déplacement, supprimez les solutions qui reposent sur des services liés, y compris un compte Azure Automation. Vous devez supprimer ces solutions avant de pouvoir dissocier votre compte Automation. La collecte de données pour les solutions sera interrompue et leurs tables seront supprimées de l’interface utilisateur, mais les données resteront dans l’espace de travail pendant la période de conservation définie pour la table. Lorsque vous ajoutez des solutions après le déplacement, l’ingestion est restaurée et les tables deviennent visibles avec les données. Les services liés incluent :
  • Gestion des mises à jour
  • Suivi des modifications
  • Démarrer/arrêter des machines virtuelles pendant les heures creuses
  • Microsoft Defender pour le cloud
• Les agents Log Analytics connectés et l’Agent Azure Monitor restent connectés à l’espace de travail après le déplacement sans interruption de l’ingestion des données.
• Les alertes doivent être recrées après le déplacement, car les autorisations pour les alertes sont basées sur l’ID de ressource de l’espace de travail, qui change avec le déplacement. Les alertes créées après le 1er juin 2019 ou dans les espaces de travail qui ont été mis à niveau à partir de l’API d’alerte Log Analytics héritée vers l’API scheduledQueryRules peuvent être exportées dans des modèles et déployées après le déplacement. Vous pouvez vérifier si l’API scheduledQueryRules est utilisée pour les alertes dans votre espace de travail. Vous pouvez également configurer manuellement les alertes dans l’espace de travail cible.
• Mettez à jour les chemins des ressources après le déplacement d’un espace de travail pour les ressources Azure ou externes pointant vers l’espace de travail. Par exemple : règles d’alerte Azure Monitor, applications tierces, script personnalisé, etc.

Autorisations requises

Action	Autorisations requises
Vérifier le locataire Microsoft Entra.	Autorisations Microsoft.AzureActiveDirectory/b2cDirectories/read, fournies par le rôle intégré Lecteur Log Analytics, par exemple.
Supprimer une solution.	Autorisations Microsoft.OperationsManagement/solutions/delete sur la solution, fournies par le rôle intégré Contributeur Log Analytics, par exemple.
Supprimer les règles d’alerte pour la solution Start/Stop VMs.	Autorisations microsoft.insights/scheduledqueryrules/delete, fournies par le rôle intégré Contributeur de monitoring, par exemple.
Dissocier le compte Automation	Autorisations Microsoft.OperationalInsights/workspaces/linkedServices/delete sur l’espace de travail Log Analytics lié, fournies par le rôle intégré Contributeur Log Analytics, par exemple.
Déplacer un espace de travail Log Analytics.	Autorisations Microsoft.OperationalInsights/workspaces/delete et Microsoft.OperationalInsights/workspaces/write sur l’espace de travail Log Analytics, fournies par le rôle intégré Contributeur Log Analytics, par exemple.

Considérations et limites

Tenez compte de ces points avant de déplacer un espace de travail Log Analytics :

• Azure Resource Manager peut mettre quelques heures pour le faire. Il est possible que les solutions ne répondent pas pendant l’opération.
• Les solutions managées installées dans l’espace de travail seront également déplacées.
• Les solutions managées sont les objets de l’espace de travail et ne peuvent pas être déplacées indépendamment.
• Les clés d’espace de travail (principales et secondaires) sont regénérées avec une opération de déplacement d’espace de travail. Si vous conservez une copie des clés de votre espace de travail dans Azure Key Vault, mettez-les à jour avec les nouvelles clés générées après le déplacement de l’espace de travail.

Important

Clients Microsoft Sentinel

• Actuellement, une fois Microsoft Sentinel déployé dans un espace de travail, le déplacement de l’espace de travail vers un autre groupe de ressources ou abonnement n’est pas pris en charge.
• Si vous avez déjà déplacé l’espace de travail, désactivez toutes les règles actives dans Analytics, puis réactivez-les après cinq minutes. Cette solution fonctionne la plupart du temps. Toutefois, elle n’est pas prise en charge et son utilisation demeure sous votre entière responsabilité.

Vérifier le locataire Microsoft Entra

Les abonnements d’espace de travail source et de destination doivent exister dans le même locataire Microsoft. Utilisez Azure PowerShell pour vérifier que les deux abonnements ont le même ID de locataire Entra.

Portail

Recherchez votre locataire Microsoft Entra pour les abonnements source et de destination.

REST API

Pour récupérer l’ID de locataire des abonnements source et de destination, appelez l’API Abonnements - Obtenir :

GET https://management.azure.com/subscriptions/{subscriptionId}?api-version=2020-01-01

INTERFACE DE LIGNE DE COMMANDE

Exécutez la commande az account tenant :

az account tenant list --subscription <your-source-subscription>
az account tenant list --subscription <your-destination-subscription>

PowerShell

Exécutez la commande Get-AzSubscription :

(Get-AzSubscription -SubscriptionName <your-source-subscription>).TenantId
(Get-AzSubscription -SubscriptionName <your-destination-subscription>).TenantId

Supprimer des solutions

Portail

1. Ouvrez le menu du groupe de ressources dans lequel des solutions sont installées.
2. Sélectionnez les solutions à supprimer.
3. Sélectionnez Supprimer les ressources, puis confirmez les ressources à supprimer en sélectionnant Supprimer.

REST API

Pour supprimer la solution, appelez l’API Ressources - Supprimer :

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{parentResourcePath}/{resourceType}/{resourceName}?api-version=2021-04-01

INTERFACE DE LIGNE DE COMMANDE

Pour supprimer les solutions, exécutez la commande az resource delete. Vous devez spécifier le nom de la ressource, le type de ressource et le groupe de ressources pour la solution à supprimer :

az resource delete --name <resource-name> --resource-type <resource-type> --resource-group <resource-group-name>

PowerShell

Pour supprimer les solutions, utilisez l’applet de commande Remove-AzResource comme indiqué dans l’exemple suivant :

Remove-AzResource -ResourceType 'Microsoft.OperationsManagement/solutions' -ResourceName "ChangeTracking(<workspace-name>)" -ResourceGroupName <resource-group-name>
Remove-AzResource -ResourceType 'Microsoft.OperationsManagement/solutions' -ResourceName "Updates(<workspace-name>)" -ResourceGroupName <resource-group-name>
Remove-AzResource -ResourceType 'Microsoft.OperationsManagement/solutions' -ResourceName "Start-Stop-VM(<workspace-name>)" -ResourceGroupName <resource-group-name>

Supprimer les règles d’alerte pour la solution Start/Stop VMs

Pour supprimer la solution Start/Stop VMs, vous devez également supprimer les règles d’alerte qu’elle a créées.

Portail

1. Ouvrez le menu Surveiller, puis sélectionnez Alertes.

2. Sélectionnez Gérer les règles d’alerte.

3. Sélectionnez les trois règles d’alerte suivantes, puis sélectionnez Supprimer :

   • AutoStop_VM_Child
   • ScheduledStartStop_Parent
   • SequencedStartStop_Parent

   

REST API

Supprimez les règles d’alerte suivantes en appelant l’API Règles de requête planifiées - Supprimer :

• AutoStop_VM_Child
• ScheduledStartStop_Parent
• SequencedStartStop_Parent

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/scheduledQueryRules/{ruleName}?api-version=2023-03-15-preview

INTERFACE DE LIGNE DE COMMANDE

Supprimez les règles d’alerte suivantes en exécutant la commande az monitor scheduled-query delete :

• AutoStop_VM_Child
• ScheduledStartStop_Parent
• SequencedStartStop_Parent

az monitor scheduled-query delete [--ids]
                                  [--name]
                                  [--resource-group]
                                  [--subscription]
                                  [--yes]

PowerShell

Supprimez les règles d’alerte suivantes en exécutant la commande Remove-AzScheduledQueryRule :

• AutoStop_VM_Child
• ScheduledStartStop_Parent
• SequencedStartStop_Parent

Dissocier le compte Automation

Portail

Consultez Supprimer un compte Automation autonome lié à un espace de travail.

REST API

Appelez l’API Services liés - Supprimer.

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/linkedServices/{linkedServiceName}?api-version=2020-08-01

INTERFACE DE LIGNE DE COMMANDE

Non pris en charge.

PowerShell

Non pris en charge.

Déplacer votre espace de travail

Portail

1. Ouvrez le menu Espaces de travail Log Analytics, puis sélectionnez votre espace de travail.

2. Dans la page Vue d’ensemble, sélectionnez Modifier à côté de Groupe de ressources ou de Nom de l’abonnement.

3. Une nouvelle page comprenant une liste de ressources associées à l’espace de travail s’affiche. Sélectionnez les ressources à déplacer vers le même abonnement de destination et le même groupe de ressources que l’espace de travail.

4. Sélectionnez un abonnement de destination et un groupe de ressources. Si vous déplacez l’espace de travail vers un autre groupe de ressources dans le même abonnement, vous ne verrez pas l’option Abonnement.

5. Sélectionnez OK pour déplacer l’espace de travail et les ressources sélectionnées.

   

REST API

Pour déplacer votre espace de travail, appelez l’API Ressources - Déplacer des ressources.

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{sourceResourceGroupName}/moveResources?api-version=2021-04-01

INTERFACE DE LIGNE DE COMMANDE

Pour déplacer votre espace de travail, exécutez la commande az resource move :

az resource move --destination-group
                 --ids
                 [--destination-subscription-id]

PowerShell

Pour déplacer votre espace de travail, utilisez l’applet de commande Move-AzResource comme indiqué dans l’exemple suivant :

Move-AzResource -ResourceId "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup01/providers/Microsoft.OperationalInsights/workspaces/MyWorkspace" -DestinationSubscriptionId "00000000-0000-0000-0000-000000000000" -DestinationResourceGroupName "MyResourceGroup02"

Important

Après le déplacement, les solutions supprimées et le lien du compte Automation doivent être reconfigurés pour rétablir l’état précédent de l’espace de travail.

Étapes suivantes

Pour obtenir la liste des ressources prenant en charge l’opération de déplacement, consultez Prise en charge de l’opération de déplacement pour les ressources.