Przenoszenie usługi Azure Monitor — obszar roboczy usługi Log Analytics do innego regionu
Istnieją różne powody, dla których możesz przenieść istniejące zasoby platformy Azure z jednego regionu do innego. Możesz chcieć:
- Skorzystaj z nowego regionu świadczenia usługi Azure.
- Wdrażanie funkcji lub usług dostępnych tylko w określonych regionach.
- Spełnij wymagania dotyczące zasad wewnętrznych i ładu.
- Dopasowanie do fuzji i przejęć firmy
- Spełnianie wymagań dotyczących planowania pojemności.
Plan relokacji dla obszaru roboczego usługi Log Analytics musi obejmować relokację wszystkich zasobów, które rejestrują dane z obszarem roboczym usługi Log Analytics.
Obszar roboczy usługi Log Analytics nie obsługuje natywnie migrowania danych obszaru roboczego z jednego regionu do innego i skojarzonych urządzeń. Zamiast tego należy utworzyć nowy obszar roboczy usługi Log Analytics w regionie docelowym i ponownie skonfigurować urządzenia i ustawienia w nowym obszarze roboczym.
Na poniższym diagramie przedstawiono wzorzec relokacji dla obszaru roboczego usługi Log Analytics. Czerwone linie przepływu reprezentują ponowne wdrożenie wystąpienia docelowego wraz z przenoszeniem danych i aktualizowaniem domen i punktów końcowych.
Obsługa relokacji do strefy dostępności
Strefy dostępności są fizycznie oddzielnymi grupami centrów danych w każdym regionie świadczenia usługi Azure. Gdy jedna strefa ulegnie awarii, usługi mogą przejść w tryb failover do jednej z pozostałych stref.
Aby uzyskać więcej informacji na temat stref dostępności na platformie Azure, zobacz Co to są strefy dostępności?.
Jeśli chcesz przenieść obszar roboczy usługi Log Analytics do regionu obsługującego strefy dostępności:
- Przeczytaj punkt odniesienia migracji strefy dostępności platformy Azure, aby ocenić gotowość strefy dostępności obciążenia lub aplikacji.
- Postępuj zgodnie ze wskazówkami w temacie Migrowanie usługi Log Analytics do obsługi stref dostępności.
Wymagania wstępne
Aby wyeksportować konfigurację obszaru roboczego do szablonu, który można wdrożyć w innym regionie, musisz mieć rolę Współautor usługi Log Analytics lub Współautor monitorowania lub nowszą.
Zidentyfikuj wszystkie zasoby, które są obecnie skojarzone z obszarem roboczym, w tym:
Połączeni agenci: wprowadź dzienniki w obszarze roboczym i wyślij zapytanie do tabeli pulsu, aby wyświetlić listę połączonych agentów.
Heartbeat | summarize by Computer, Category, OSType, _ResourceId
Ustawienia diagnostyczne: zasoby mogą wysyłać dzienniki do Diagnostyka Azure lub dedykowanych tabel w obszarze roboczym. Wprowadź dzienniki w obszarze roboczym i uruchom to zapytanie dotyczące zasobów, które wysyłają dane do
AzureDiagnostics
tabeli:AzureDiagnostics | where TimeGenerated > ago(12h) | summarize by ResourceProvider , ResourceType, Resource | sort by ResourceProvider, ResourceType
Uruchom to zapytanie dla zasobów, które wysyłają dane do dedykowanych tabel:
search * | where TimeGenerated > ago(12h) | where isnotnull(_ResourceId) | extend ResourceProvider = split(_ResourceId, '/')[6] | where ResourceProvider !in ('microsoft.compute', 'microsoft.security') | extend ResourceType = split(_ResourceId, '/')[7] | extend Resource = split(_ResourceId, '/')[8] | summarize by tostring(ResourceProvider) , tostring(ResourceType), tostring(Resource) | sort by ResourceProvider, ResourceType
Zainstalowane rozwiązania: wybierz pozycję Starsze rozwiązania w okienku nawigacji obszaru roboczego, aby wyświetlić listę zainstalowanych rozwiązań.
Interfejs API modułu zbierającego dane: dane odbierane za pośrednictwem interfejsu API modułu zbierającego dane są przechowywane w niestandardowych tabelach dzienników. Aby uzyskać listę niestandardowych tabel dzienników, wybierz pozycję Dzienniki w okienku nawigacji obszaru roboczego, a następnie wybierz pozycję Dziennik niestandardowy w okienku schematu.
Połączone usługi: Obszary robocze mogą mieć połączone usługi z zasobami zależnymi, takimi jak konto usługi Azure Automation, konto magazynu lub dedykowany klaster. Usuń połączone usługi z obszaru roboczego. Skonfiguruj je ręcznie w docelowym obszarze roboczym.
Alerty: aby wyświetlić listę alertów, wybierz pozycję Alerty w okienku nawigacji obszaru roboczego, a następnie wybierz pozycję Zarządzaj regułami alertów na pasku narzędzi. Alerty w obszarach roboczych utworzonych po 1 czerwca 2019 r. lub w obszarach roboczych uaktualnionych z interfejsu API alertów usługi Log Analytics do interfejsu API scheduledQueryRules można uwzględnić w szablonie.
Możesz sprawdzić, czy interfejs API scheduledQueryRules jest używany dla alertów w obszarze roboczym. Możesz też ręcznie skonfigurować alerty w docelowym obszarze roboczym.
Pakiety zapytań: obszar roboczy może być skojarzony z wieloma pakietami zapytań. Aby zidentyfikować pakiety zapytań w obszarze roboczym, wybierz pozycję Dzienniki w okienku nawigacji obszaru roboczego, wybierz zapytania w okienku po lewej stronie, a następnie wybierz wielokropek po prawej stronie pola wyszukiwania. Po prawej stronie zostanie otwarte okno dialogowe z wybranymi pakietami zapytań. Jeśli pakiety zapytań znajdują się w tej samej grupie zasobów co przenoszony obszar roboczy, możesz dołączyć go do tej migracji.
Sprawdź, czy subskrypcja platformy Azure umożliwia tworzenie obszarów roboczych usługi Log Analytics w regionie docelowym.
Przestój
Aby zrozumieć możliwe przestoje, zobacz Cloud Adoption Framework for Azure: Select a relocation method (Przewodnik Cloud Adoption Framework dla platformy Azure: wybieranie metody relokacji).
Przygotowywanie
Poniższe procedury pokazują, jak przygotować obszar roboczy i zasoby do przeniesienia przy użyciu szablonu usługi Resource Manager.
Uwaga
Nie wszystkie zasoby można wyeksportować za pomocą szablonu. Należy je skonfigurować oddzielnie po utworzeniu obszaru roboczego w regionie docelowym.
Zaloguj się do witryny Azure Portal, a następnie wybierz pozycję Grupy zasobów.
Znajdź grupę zasobów zawierającą obszar roboczy i wybierz ją.
Aby wyświetlić zasób alertu, zaznacz pole wyboru Pokaż ukryte typy .
Wybierz filtr Typ. Wybierz kolejno pozycje Obszar roboczy usługi Log Analytics, Rozwiązanie, SavedSearches, microsoft.insights/scheduledqueryrules, defaultQueryPack i inne zasoby związane z obszarem roboczym (takie jak konto usługi Automation). Następnie wybierz pozycję Zastosuj.
Wybierz obszar roboczy, rozwiązania, zapisane wyszukiwania, alerty, pakiety zapytań i inne zasoby związane z obszarem roboczym (takie jak konto usługi Automation). Następnie wybierz pozycję Eksportuj szablon na pasku narzędzi.
Uwaga
Nie można wyeksportować usługi Microsoft Sentinel z szablonem. Musisz dołączyć usługę Sentinel do docelowego obszaru roboczego.
Wybierz pozycję Wdróż na pasku narzędzi, aby edytować i przygotować szablon do wdrożenia.
Wybierz pozycję Edytuj parametry na pasku narzędzi, aby otworzyć plik parameters.json w edytorze online.
Aby edytować parametry, zmień
value
właściwość w obszarzeparameters
. Oto przykład:{ "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#", "contentVersion": "1.0.0.0", "parameters": { "workspaces_name": { "value": "my-workspace-name" }, "workspaceResourceId": { "value": "/subscriptions/resource-id/resourceGroups/resource-group-name/providers/Microsoft.OperationalInsights/workspaces/workspace-name" }, "alertName": { "value": "my-alert-name" }, "querypacks_name": { "value": "my-default-query-pack-name" } } }
Wybierz pozycję Zapisz w edytorze.
Edytowanie szablonu
Wybierz pozycję Edytuj szablon na pasku narzędzi, aby otworzyć plik template.json w edytorze online.
Aby edytować region docelowy, w którym zostanie wdrożony obszar roboczy usługi Log Analytics, zmień
location
właściwość w obszarzeresources
w edytorze online.Aby uzyskać kody lokalizacji regionu, zobacz Miejsce przechowywania danych na platformie Azure. Kod regionu to nazwa regionu bez spacji. Na przykład środkowe stany USA powinny mieć wartość
centralus
.Usuń zasoby połączone usług (
microsoft.operationalinsights/workspaces/linkedservices
), jeśli są obecne w szablonie. Należy ponownie skonfigurować te zasoby ręcznie w docelowym obszarze roboczym.Poniższy przykładowy szablon zawiera obszar roboczy, zapisane wyszukiwanie, rozwiązania, alerty i pakiet zapytań:
{ "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#", "contentVersion": "1.0.0.0", "parameters": { "workspaces_name": { "type": "String" }, "workspaceResourceId": { "type": "String" }, "alertName": { "type": "String" }, "querypacks_name": { "type": "String" } }, "variables": {}, "resources": [ { "type": "microsoft.operationalinsights/workspaces", "apiVersion": "2020-08-01", "name": "[parameters('workspaces_name')]", "location": "france central", "properties": { "sku": { "name": "pergb2018" }, "retentionInDays": 30, "features": { "enableLogAccessUsingOnlyResourcePermissions": true }, "workspaceCapping": { "dailyQuotaGb": -1 }, "publicNetworkAccessForIngestion": "Enabled", "publicNetworkAccessForQuery": "Enabled" } }, { "type": "Microsoft.OperationalInsights/workspaces/savedSearches", "apiVersion": "2020-08-01", "name": "[concat(parameters('workspaces_name'), '/2b5112ec-5ad0-5eda-80e9-ad98b51d4aba')]", "dependsOn": [ "[resourceId('Microsoft.OperationalInsights/workspaces', parameters('workspaces_name'))]" ], "properties": { "category": "VM Monitoring", "displayName": "List all versions of curl in use", "query": "VMProcess\n| where ExecutableName == \"curl\"\n| distinct ProductVersion", "tags": [], "version": 2 } }, { "type": "Microsoft.OperationsManagement/solutions", "apiVersion": "2015-11-01-preview", "name": "[concat('Updates(', parameters('workspaces_name'))]", "location": "france central", "dependsOn": [ "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name'))]" ], "plan": { "name": "[concat('Updates(', parameters('workspaces_name'))]", "promotionCode": "", "product": "OMSGallery/Updates", "publisher": "Microsoft" }, "properties": { "workspaceResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name'))]", "containedResources": [ "[concat(resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name')), '/views/Updates(', parameters('workspaces_name'), ')')]" ] } } { "type": "Microsoft.OperationsManagement/solutions", "apiVersion": "2015-11-01-preview", "name": "[concat('VMInsights(', parameters('workspaces_name'))]", "location": "france central", "plan": { "name": "[concat('VMInsights(', parameters('workspaces_name'))]", "promotionCode": "", "product": "OMSGallery/VMInsights", "publisher": "Microsoft" }, "properties": { "workspaceResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name'))]", "containedResources": [ "[concat(resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name')), '/views/VMInsights(', parameters('workspaces_name'), ')')]" ] } }, { "type": "microsoft.insights/scheduledqueryrules", "apiVersion": "2021-08-01", "name": "[parameters('alertName')]", "location": "france central", "properties": { "displayName": "[parameters('alertName')]", "severity": 3, "enabled": true, "evaluationFrequency": "PT5M", "scopes": [ "[parameters('workspaceResourceId')]" ], "windowSize": "PT15M", "criteria": { "allOf": [ { "query": "Heartbeat | where computer == 'my computer name'", "timeAggregation": "Count", "operator": "LessThan", "threshold": 14, "failingPeriods": { "numberOfEvaluationPeriods": 1, "minFailingPeriodsToAlert": 1 } } ] }, "autoMitigate": true, "actions": {} } }, { "type": "Microsoft.OperationalInsights/querypacks", "apiVersion": "2019-09-01-preview", "name": "[parameters('querypacks_name')]", "location": "francecentral", "properties": {} }, { "type": "Microsoft.OperationalInsights/querypacks/queries", "apiVersion": "2019-09-01-preview", "name": "[concat(parameters('querypacks_name'), '/00000000-0000-0000-0000-000000000000')]", "dependsOn": [ "[resourceId('Microsoft.OperationalInsights/querypacks', parameters('querypacks_name'))]" ], "properties": { "displayName": "my-query-name", "body": "my-query-text", "related": { "categories": [], "resourceTypes": [ "microsoft.operationalinsights/workspaces" ] }, "tags": { "labels": [] } } } ] }
Wybierz pozycję Zapisz w edytorze online.
Wdróż ponownie
Wybierz pozycję Subskrypcja , aby wybrać subskrypcję, w której zostanie wdrożony docelowy obszar roboczy.
Wybierz pozycję Grupa zasobów, aby wybrać grupę zasobów, w której zostanie wdrożony docelowy obszar roboczy. Możesz wybrać pozycję Utwórz nową , aby utworzyć nową grupę zasobów dla docelowego obszaru roboczego.
Sprawdź, czy region jest ustawiony na lokalizację docelową, w której ma zostać wdrożona sieciowa grupa zabezpieczeń.
Wybierz przycisk Przejrzyj i utwórz, aby zweryfikować szablon.
Wybierz pozycję Utwórz , aby wdrożyć obszar roboczy i wybrany zasób w regionie docelowym.
Obszar roboczy, w tym wybrane zasoby, jest teraz wdrażany w regionie docelowym. Możesz ukończyć pozostałą konfigurację w obszarze roboczym na potrzeby analizowania funkcji do oryginalnego obszaru roboczego.
- Połącz agentów: użyj dowolnej z dostępnych opcji, w tym reguł zbierania danych, aby skonfigurować wymaganych agentów na maszynach wirtualnych i zestawach skalowania maszyn wirtualnych oraz określić nowy docelowy obszar roboczy jako miejsce docelowe.
- Ustawienia diagnostyczne: zaktualizuj ustawienia diagnostyczne w zidentyfikowanych zasobach przy użyciu docelowego obszaru roboczego jako miejsca docelowego.
- Instalowanie rozwiązań: niektóre rozwiązania, takie jak Microsoft Sentinel, wymagają pewnych procedur dołączania i nie zostały uwzględnione w szablonie. Należy je dołączyć oddzielnie do nowego obszaru roboczego.
- Konfigurowanie interfejsu API modułu zbierającego dane: konfigurowanie wystąpień interfejsu API modułu zbierającego dane w celu wysyłania danych do docelowego obszaru roboczego.
- Konfigurowanie reguł alertów: jeśli alerty nie są eksportowane w szablonie, należy skonfigurować je ręcznie w docelowym obszarze roboczym.
Sprawdź, czy nowe dane nie są pozyskiwane do oryginalnego obszaru roboczego. Uruchom następujące zapytanie w oryginalnym obszarze roboczym i sprawdź, czy nie ma pozyskiwania po migracji:
search * | where TimeGenerated > ago(12h) | summarize max(TimeGenerated) by Type
Po nawiązaniu połączenia ze źródłami danych z docelowym obszarem roboczym pozyskane dane są przechowywane w docelowym obszarze roboczym. Starsze dane pozostają w oryginalnym obszarze roboczym i podlegają zasadom przechowywania. Możesz wykonać zapytanie obejmujące wiele obszarów roboczych. Jeśli do obu obszarów roboczych przypisano tę samą nazwę, użyj kwalifikowanej nazwy (subscriptionName/resourceGroup/componentName) w dokumentacji obszaru roboczego.
Oto przykład zapytania w dwóch obszarach roboczych o tej samej nazwie:
union
workspace('subscription-name1/<resource-group-name1/<original-workspace-name>')Update,
workspace('subscription-name2/<resource-group-name2/<target-workspace-name>').Update,
| where TimeGenerated >= ago(1h)
| where UpdateState == "Needed"
| summarize dcount(Computer) by Classification
Odrzuć
Jeśli chcesz odrzucić źródłowy obszar roboczy, usuń wyeksportowane zasoby lub grupę zasobów zawierającą następujące zasoby:
Wybierz docelową grupę zasobów w witrynie Azure Portal.
Na stronie Przegląd:
- Jeśli utworzono nową grupę zasobów dla tego wdrożenia, wybierz pozycję Usuń grupę zasobów na pasku narzędzi, aby usunąć grupę zasobów.
- Jeśli szablon został wdrożony w istniejącej grupie zasobów, wybierz zasoby wdrożone za pomocą szablonu, a następnie wybierz pozycję Usuń na pasku narzędzi, aby usunąć wybrane zasoby.
Czyszczenie
Podczas pozyskiwania nowych danych do nowego obszaru roboczego starsze dane w oryginalnym obszarze roboczym pozostają dostępne dla zapytania i podlegają zasadom przechowywania zdefiniowanym w obszarze roboczym. Zalecamy przechowywanie oryginalnego obszaru roboczego tak długo, jak potrzebne są starsze dane do wykonywania zapytań w różnych obszarach roboczych.
Jeśli nie potrzebujesz już dostępu do starszych danych w oryginalnym obszarze roboczym:
- Wybierz oryginalną grupę zasobów w witrynie Azure Portal.
- Wybierz wszystkie zasoby, które chcesz usunąć, a następnie wybierz pozycję Usuń na pasku narzędzi.