Een Log Analytics-werkruimte verplaatsen naar een ander abonnement of een andere resourcegroep

In dit artikel leert u de stappen voor het verplaatsen van een Log Analytics-werkruimte naar een andere resourcegroep of een ander abonnement in dezelfde regio. Zie Een Log Analytics-werkruimte verplaatsen naar een andere regio als u een werkruimte tussen regio's wilt verplaatsen.

Tip

Zie Resources verplaatsen naar een nieuwe resourcegroep of een nieuw abonnement voor meer informatie over het verplaatsen van Azure-resources via Azure Portal, PowerShell, de Azure CLI of de REST API.

Vereisten

• Het abonnement of de resourcegroep waar u uw Log Analytics-werkruimte wilt verplaatsen, moet zich in dezelfde regio bevinden als de Log Analytics-werkruimte die u verplaatst.
• Voor de verplaatsingsbewerking is vereist dat er geen services aan de werkruimte kunnen worden gekoppeld. Verwijder vóór de verplaatsing oplossingen die afhankelijk zijn van gekoppelde services, waaronder een Azure Automation-account. Deze oplossingen moeten worden verwijderd voordat u uw Automation-account kunt ontkoppelen. Het verzamelen van gegevens voor de oplossingen stopt en de bijbehorende tabellen worden verwijderd uit de gebruikersinterface, maar de gegevens blijven in de werkruimte voor de retentieperiode die is gedefinieerd voor de tabel. Wanneer u oplossingen weer toevoegt na de verplaatsing, worden de opname hersteld en worden tabellen zichtbaar met gegevens. Gekoppelde services zijn onder andere:
  • Updatebeheer
  • Wijzigingen bijhouden
  • VM's starten/stoppen buiten kantooruren
  • Microsoft Defender for Cloud
• Verbonden Log Analytics-agents en Azure Monitor Agent blijven verbonden met de werkruimte na de verplaatsing zonder onderbreking voor opname.
• Waarschuwingen moeten na de verplaatsing opnieuw worden gemaakt, omdat machtigingen voor waarschuwingen zijn gebaseerd op de resource-id van de werkruimte, die verandert met de verplaatsing. Waarschuwingen die zijn gemaakt na 1 juni 2019 of in werkruimten die zijn bijgewerkt van de verouderde Log Analytics-waarschuwings-API naar de scheduledQueryRules-API , kunnen worden geëxporteerd in sjablonen en worden geïmplementeerd na de verplaatsing. U kunt controleren of de scheduledQueryRules-API wordt gebruikt voor waarschuwingen in uw werkruimte. U kunt waarschuwingen ook handmatig configureren in de doelwerkruimte.
• Werk resourcepaden bij nadat een werkruimte is verplaatst voor Azure- of externe resources die naar de werkruimte verwijzen. Bijvoorbeeld: Waarschuwingsregels van Azure Monitor, toepassingen van derden, aangepaste scripts, enzovoort.

Vereiste machtigingen

Actie	Vereiste machtigingen
Controleer de Microsoft Entra-tenant.	Microsoft.AzureActiveDirectory/b2cDirectories/read machtigingen, zoals geleverd door de ingebouwde rol Log Analytics Reader.
Een oplossing verwijderen.	Microsoft.OperationsManagement/solutions/delete machtigingen voor de oplossing, zoals geleverd door de ingebouwde rol Log Analytics-inzender.
Verwijder waarschuwingsregels voor de oplossing VM's starten/stoppen.	microsoft.insights/scheduledqueryrules/delete machtigingen, zoals geleverd door de ingebouwde rol Inzender voor bewaking, bijvoorbeeld.
Het Automation-account ontkoppelen	Microsoft.OperationalInsights/workspaces/linkedServices/delete machtigingen voor de gekoppelde Log Analytics-werkruimte, zoals geleverd door de ingebouwde rol Log Analytics-inzender.
Een Log Analytics-werkruimte verplaatsen.	Microsoft.OperationalInsights/workspaces/delete en Microsoft.OperationalInsights/workspaces/write machtigingen voor de Log Analytics-werkruimte, zoals geleverd door de ingebouwde rol Log Analytics-inzender.

Overwegingen en limieten

Houd rekening met deze punten voordat u een Log Analytics-werkruimte verplaatst:

• Het kan enkele uren duren voordat Azure Resource Manager is voltooid. Oplossingen reageren mogelijk niet tijdens de bewerking.
• Beheerde oplossingen die in de werkruimte zijn geïnstalleerd, worden ook verplaatst.
• Beheerde oplossingen zijn de objecten van de werkruimte en kunnen niet onafhankelijk worden verplaatst.
• Werkruimtesleutels (zowel primaire als secundaire) worden opnieuw gegenereerd met een verplaatsingsbewerking voor een werkruimte. Als u een kopie van uw werkruimtesleutels in Azure Key Vault bewaart, werkt u deze bij met de nieuwe sleutels die worden gegenereerd nadat de werkruimte is verplaatst.

Belangrijk

Microsoft Sentinel-klanten

• Wanneer Microsoft Sentinel momenteel is geïmplementeerd in een werkruimte, wordt het verplaatsen van de werkruimte naar een andere resourcegroep of een ander abonnement niet ondersteund.
• Als u de werkruimte al hebt verplaatst, schakelt u alle actieve regels onder Analytics uit en schakelt u deze na vijf minuten opnieuw in. Deze oplossing moet in de meeste gevallen effectief zijn, hoewel deze niet wordt ondersteund en op eigen risico wordt uitgevoerd.

De Microsoft Entra-tenant controleren

De bron- en doelabonnementen van de werkruimte moeten bestaan binnen dezelfde Microsoft-tenant. Gebruik Azure PowerShell om te controleren of beide abonnementen dezelfde Entra-tenant-id hebben.

Portal

Zoek uw Microsoft Entra-tenant voor de bron- en doelabonnementen.

REST API

Als u de tenant-id voor de bron- en doelabonnementen wilt ophalen, roept u de Abonnementen - API ophalen aan:

GET https://management.azure.com/subscriptions/{subscriptionId}?api-version=2020-01-01

CLI

Voer de opdracht az account tenant uit:

az account tenant list --subscription <your-source-subscription>
az account tenant list --subscription <your-destination-subscription>

Powershell

Voer de opdracht Get-AzSubscription uit :

(Get-AzSubscription -SubscriptionName <your-source-subscription>).TenantId
(Get-AzSubscription -SubscriptionName <your-destination-subscription>).TenantId

Oplossingen verwijderen

Portal

1. Open het menu voor de resourcegroep waarin oplossingen zijn geïnstalleerd.
2. Selecteer de oplossingen die u wilt verwijderen.
3. Selecteer Resources verwijderen en bevestig vervolgens dat de resources moeten worden verwijderd door Verwijderen te selecteren.

REST API

Als u de oplossing wilt verwijderen, roept u de Resources - API verwijderen aan:

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{parentResourcePath}/{resourceType}/{resourceName}?api-version=2021-04-01

CLI

Als u oplossingen wilt verwijderen, voert u de opdracht az resource delete uit. U moet de naam van de resource, het resourcetype en de resourcegroep opgeven voor de oplossing die u wilt verwijderen:

az resource delete --name <resource-name> --resource-type <resource-type> --resource-group <resource-group-name>

Powershell

Als u oplossingen wilt verwijderen, gebruikt u de cmdlet Remove-AzResource , zoals wordt weergegeven in het volgende voorbeeld:

Remove-AzResource -ResourceType 'Microsoft.OperationsManagement/solutions' -ResourceName "ChangeTracking(<workspace-name>)" -ResourceGroupName <resource-group-name>
Remove-AzResource -ResourceType 'Microsoft.OperationsManagement/solutions' -ResourceName "Updates(<workspace-name>)" -ResourceGroupName <resource-group-name>
Remove-AzResource -ResourceType 'Microsoft.OperationsManagement/solutions' -ResourceName "Start-Stop-VM(<workspace-name>)" -ResourceGroupName <resource-group-name>

Waarschuwingsregels verwijderen voor de oplossing VM's starten/stoppen

Als u de oplossing Voor het starten/stoppen van VM's wilt verwijderen, moet u ook de waarschuwingsregels verwijderen die door de oplossing zijn gemaakt.

Portal

1. Open het menu Monitor en selecteer Vervolgens Waarschuwingen.

2. Selecteer Waarschuwingsregels beheren.

3. Selecteer de volgende drie waarschuwingsregels en selecteer vervolgens Verwijderen:

   • AutoStop_VM_Child
   • ScheduledStartStop_Parent
   • ScheduledStartStop_Parent

   

REST API

Verwijder de volgende waarschuwingsregels door de geplande queryregels aan te roepen - API verwijderen:

• AutoStop_VM_Child
• ScheduledStartStop_Parent
• ScheduledStartStop_Parent

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/scheduledQueryRules/{ruleName}?api-version=2023-03-15-preview

CLI

Verwijder de volgende waarschuwingsregels door de opdracht az monitor scheduled-query delete uit te voeren:

• AutoStop_VM_Child
• ScheduledStartStop_Parent
• ScheduledStartStop_Parent

az monitor scheduled-query delete [--ids]
                                  [--name]
                                  [--resource-group]
                                  [--subscription]
                                  [--yes]

Powershell

Verwijder de volgende waarschuwingsregels door de opdracht Remove-AzScheduledQueryRule uit te voeren:

• AutoStop_VM_Child
• ScheduledStartStop_Parent
• ScheduledStartStop_Parent

Het Automation-account ontkoppelen

Portal

Zie Een zelfstandig Automation-account verwijderen dat is gekoppeld aan de werkruimte.

REST API

De gekoppelde services aanroepen - API verwijderen.

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/linkedServices/{linkedServiceName}?api-version=2020-08-01

CLI

Wordt niet ondersteund.

Powershell

Wordt niet ondersteund.

Uw werkruimte verplaatsen

Portal

1. Open het menu Log Analytics-werkruimten en selecteer vervolgens uw werkruimte.

2. Selecteer op de pagina Overzicht de optie Wijzigen naast de naam van de resourcegroep of het abonnement.

3. Er wordt een nieuwe pagina geopend met een lijst met resources die betrekking hebben op de werkruimte. Selecteer de resources die u wilt verplaatsen naar hetzelfde doelabonnement en dezelfde resourcegroep als de werkruimte.

4. Selecteer een doelabonnement en resourcegroep. Als u de werkruimte naar een andere resourcegroep in hetzelfde abonnement verplaatst, ziet u de optie Abonnement niet.

5. Selecteer OK om de werkruimte en geselecteerde resources te verplaatsen.

   

REST API

Als u uw werkruimte wilt verplaatsen, roept u de Resources - Resources-API verplaatsen aan.

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{sourceResourceGroupName}/moveResources?api-version=2021-04-01

CLI

Voer de opdracht az resource move uit om uw werkruimte te verplaatsen:

az resource move --destination-group
                 --ids
                 [--destination-subscription-id]

Powershell

Als u uw werkruimte wilt verplaatsen, voert u de cmdlet Move-AzResource uit, zoals wordt weergegeven in het volgende voorbeeld:

Move-AzResource -ResourceId "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/MyResourceGroup01/providers/Microsoft.OperationalInsights/workspaces/MyWorkspace" -DestinationSubscriptionId "00000000-0000-0000-0000-000000000000" -DestinationResourceGroupName "MyResourceGroup02"

Belangrijk

Na de verplaatsing moeten verwijderde oplossingen en de koppeling naar het Automation-account opnieuw worden geconfigureerd om de werkruimte terug te brengen naar de vorige status.

Volgende stappen

Zie De ondersteuning voor verplaatsingsbewerkingen voor resources voor een lijst met resources die ondersteuning bieden voor de verplaatsingsbewerking.