Realocar o Azure Monitor - Workspace do Log Analytics
Há vários motivos pelos quais talvez você queira mover seus recursos existentes do Azure de uma região para outra. Talvez você queira:
- Aproveitar uma nova região do Azure.
- Implantar recursos ou serviços disponíveis apenas em regiões específicas.
- Atender aos requisitos internos de política e governança.
- Alinhar-se com fusões e aquisições da empresa
- Atender aos requisitos de planejamento de capacidade.
Um plano de realocação para o workspace do Log Analytics deve incluir a realocação de todos os recursos que registram dados com o Workspace do Log Analytics.
O workspace do Log Analytics não dá suporte nativo a migração de dados do espaço de trabalho de uma região para outra e dispositivos associados. Em vez disso, você deve criar um novo workspace do Log Analytics na região de destino e reconfigurar os dispositivos e as configurações no novo espaço de trabalho.
O diagrama abaixo ilustra o padrão de realocação de um workspace do Log Analytics. As linhas de fluxo vermelhas representam a reimplantação da instância de destino, juntamente com a movimentação de dados e a atualização de domínios e pontos de extremidade.
Relocação para suporte às zonas de disponibilidade
As zonas de disponibilidade são grupos de datacenters fisicamente separados em cada região do Azure. Quando uma zona falha, os serviços podem fazer failover para uma das zonas restantes.
Para obter mais informações sobre zonas de disponibilidade no Azure, consulte O que são zonas de disponibilidade?.
Se você quiser realocar seu workspace do Log Analytics para uma região que dê suporte a zonas de disponibilidade:
- Leia Linha de base de migração para zona de disponibilidade do Azure para avaliar a prontidão da zona de disponibilidade de sua carga de trabalho ou aplicativo.
- Siga as diretrizes em Migrar o Log Analytics para o suporte à zona de disponibilidade.
Pré-requisitos
Para exportar a configuração do workspace para um modelo que pode ser implantado em outra região, você precisa da função de Colaborador do Log Analytics ou Colaborador de Monitoramento ou superior.
Identifique todos os recursos associados atualmente com o seu workspace, incluindo:
Agentes conectados: insira Logs em seu workspace e consulte a tabela pulsação para listar os agentes conectados.
Heartbeat | summarize by Computer, Category, OSType, _ResourceId
Configurações de diagnóstico: os recursos podem enviar logs para Diagnóstico do Azure ou tabelas dedicadas em seu workspace. Insira Logs em seu workspace e execute esta consulta para recursos que enviam dados para a tabela
AzureDiagnostics
:AzureDiagnostics | where TimeGenerated > ago(12h) | summarize by ResourceProvider , ResourceType, Resource | sort by ResourceProvider, ResourceType
Execute esta consulta para recursos que enviam dados para tabelas dedicadas:
search * | where TimeGenerated > ago(12h) | where isnotnull(_ResourceId) | extend ResourceProvider = split(_ResourceId, '/')[6] | where ResourceProvider !in ('microsoft.compute', 'microsoft.security') | extend ResourceType = split(_ResourceId, '/')[7] | extend Resource = split(_ResourceId, '/')[8] | summarize by tostring(ResourceProvider) , tostring(ResourceType), tostring(Resource) | sort by ResourceProvider, ResourceType
Soluções instaladas: selecione Soluções herdadas no painel de navegação do workspace para obter uma lista das soluções instaladas.
API do coletor de dados: os dados que chegam por meio de uma API do Coletor de Dados são armazenados em tabelas de log customizadas. Para obter uma lista de tabelas de log personalizadas, selecione Logs no painel de navegação do workspace e, em seguida, selecione Log personalizado no painel de esquema.
Serviços vinculados: os workspaces podem ter serviços vinculados a recursos dependentes, como uma conta de Automação do Azure, uma conta de armazenamento ou um cluster dedicado. Remova os serviços vinculados do workspace. Reconfigure-os manualmente no workspace de destino.
Alertas: para listar alertas, selecione Alertas no painel de navegação do workspace e, em seguida, selecione Gerenciar regras de alerta na barra de ferramentas. Os alertas em workspaces criados após 1º de junho de 2019 ou em workspaces que foram atualizados da API de Alerta do Log Analytics para a API scheduledQueryRules podem ser incluídos no modelo.
Você pode verificar se a API scheduledQueryRules é usada para alertas em seu workspace. Como alternativa, você pode configurar os alertas manualmente no workspace de destino.
Pacotes de consulta: um workspace pode ser associado a vários pacotes de consulta. Para identificar os pacotes de consulta no seu workspace, selecione Logs no painel de navegação do workspace, selecione consultas no painel esquerdo e, em seguida, selecione as reticências à direita da caixa de pesquisa. Uma caixa de diálogo com os pacotes de consulta selecionados é aberta à direita. Se os pacotes de consulta estão no mesmo grupo de recursos que o workspace que você está movendo, você pode incluí-lo nessa migração.
Verifique se a assinatura do Azure permite criar workspaces do Log Analytics na região de destino.
Tempo de inatividade
Para entender os possíveis tempos de inatividade envolvidos, confira Cloud Adoption Framework para o Azure: selecione um método de relocalização.
Preparar-se
Os procedimentos a seguir mostram como preparar os espaço de trabalho e os recursos para a mudança usando um modelo do Resource Manager.
Observação
Nem todos os recursos podem ser exportados por meio de um modelo. Você precisará configurá-los separadamente depois que o workspace for criado na região de destino.
Entre com sua conta no portal do Azure e selecione Grupos de Recursos.
Localize o grupo de recursos que contém o workspace e selecione-o.
Para visualizar um recurso de alerta, marque a caixa de seleção Mostrar tipos ocultos.
Selecione o filtro Tipo. Selecione workspace do Log Analytics, Solução, SavedSearches, microsoft.insights/scheduledqueryrules, defaultQueryPack e outros recursos relacionados ao workspace que você tem (como uma Conta de automação). Em seguida, selecione Aplicar.
Selecione o workspace, soluções, pesquisas salvas, alertas, pacotes de consulta e outros recursos relacionados ao workspace que você tem (como uma Conta de automação). Em seguida, selecione Exportar modelo na barra de ferramentas.
Observação
O Microsoft Sentinel não pode ser exportado com um modelo. Você precisa integrar o Sentinel a um workspace de destino.
Selecione Implantar na barra de ferramentas para editar e preparar o modelo para implantação.
Selecione Editar parâmetros na barra de ferramentas para abrir o arquivo parameters.json no editor online.
Para editar os parâmetros, altere a propriedade
value
emparameters
. Aqui está um exemplo:{ "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#", "contentVersion": "1.0.0.0", "parameters": { "workspaces_name": { "value": "my-workspace-name" }, "workspaceResourceId": { "value": "/subscriptions/resource-id/resourceGroups/resource-group-name/providers/Microsoft.OperationalInsights/workspaces/workspace-name" }, "alertName": { "value": "my-alert-name" }, "querypacks_name": { "value": "my-default-query-pack-name" } } }
Selecione Salvar no editor.
Editar o modelo
Selecione Editar modelo na barra de ferramentas para abrir o arquivo template.json no editor online.
Para editar a região de destino na qual o workspace do Log Analytics será implantado, altere a propriedade
location
emresources
no editor online.Para obter códigos de localização de região, confira Residência de dados no Azure. O código de uma região é o nome da região sem nenhum espaço. Por exemplo, Centro dos EUA deve ser
centralus
.Remova os recursos de serviços vinculados (
microsoft.operationalinsights/workspaces/linkedservices
) se eles estiverem presentes no modelo. Você deve reconfigurar esses recursos manualmente no workspace de destino.O exemplo de modelo a seguir inclui o workspace, pesquisa salva, soluções, alertas e pacote de consulta:
{ "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#", "contentVersion": "1.0.0.0", "parameters": { "workspaces_name": { "type": "String" }, "workspaceResourceId": { "type": "String" }, "alertName": { "type": "String" }, "querypacks_name": { "type": "String" } }, "variables": {}, "resources": [ { "type": "microsoft.operationalinsights/workspaces", "apiVersion": "2020-08-01", "name": "[parameters('workspaces_name')]", "location": "france central", "properties": { "sku": { "name": "pergb2018" }, "retentionInDays": 30, "features": { "enableLogAccessUsingOnlyResourcePermissions": true }, "workspaceCapping": { "dailyQuotaGb": -1 }, "publicNetworkAccessForIngestion": "Enabled", "publicNetworkAccessForQuery": "Enabled" } }, { "type": "Microsoft.OperationalInsights/workspaces/savedSearches", "apiVersion": "2020-08-01", "name": "[concat(parameters('workspaces_name'), '/2b5112ec-5ad0-5eda-80e9-ad98b51d4aba')]", "dependsOn": [ "[resourceId('Microsoft.OperationalInsights/workspaces', parameters('workspaces_name'))]" ], "properties": { "category": "VM Monitoring", "displayName": "List all versions of curl in use", "query": "VMProcess\n| where ExecutableName == \"curl\"\n| distinct ProductVersion", "tags": [], "version": 2 } }, { "type": "Microsoft.OperationsManagement/solutions", "apiVersion": "2015-11-01-preview", "name": "[concat('Updates(', parameters('workspaces_name'))]", "location": "france central", "dependsOn": [ "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name'))]" ], "plan": { "name": "[concat('Updates(', parameters('workspaces_name'))]", "promotionCode": "", "product": "OMSGallery/Updates", "publisher": "Microsoft" }, "properties": { "workspaceResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name'))]", "containedResources": [ "[concat(resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name')), '/views/Updates(', parameters('workspaces_name'), ')')]" ] } } { "type": "Microsoft.OperationsManagement/solutions", "apiVersion": "2015-11-01-preview", "name": "[concat('VMInsights(', parameters('workspaces_name'))]", "location": "france central", "plan": { "name": "[concat('VMInsights(', parameters('workspaces_name'))]", "promotionCode": "", "product": "OMSGallery/VMInsights", "publisher": "Microsoft" }, "properties": { "workspaceResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name'))]", "containedResources": [ "[concat(resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name')), '/views/VMInsights(', parameters('workspaces_name'), ')')]" ] } }, { "type": "microsoft.insights/scheduledqueryrules", "apiVersion": "2021-08-01", "name": "[parameters('alertName')]", "location": "france central", "properties": { "displayName": "[parameters('alertName')]", "severity": 3, "enabled": true, "evaluationFrequency": "PT5M", "scopes": [ "[parameters('workspaceResourceId')]" ], "windowSize": "PT15M", "criteria": { "allOf": [ { "query": "Heartbeat | where computer == 'my computer name'", "timeAggregation": "Count", "operator": "LessThan", "threshold": 14, "failingPeriods": { "numberOfEvaluationPeriods": 1, "minFailingPeriodsToAlert": 1 } } ] }, "autoMitigate": true, "actions": {} } }, { "type": "Microsoft.OperationalInsights/querypacks", "apiVersion": "2019-09-01-preview", "name": "[parameters('querypacks_name')]", "location": "francecentral", "properties": {} }, { "type": "Microsoft.OperationalInsights/querypacks/queries", "apiVersion": "2019-09-01-preview", "name": "[concat(parameters('querypacks_name'), '/00000000-0000-0000-0000-000000000000')]", "dependsOn": [ "[resourceId('Microsoft.OperationalInsights/querypacks', parameters('querypacks_name'))]" ], "properties": { "displayName": "my-query-name", "body": "my-query-text", "related": { "categories": [], "resourceTypes": [ "microsoft.operationalinsights/workspaces" ] }, "tags": { "labels": [] } } } ] }
Selecione Salvar no editor online.
Reimplantar
Selecione Assinatura para escolher a assinatura na qual o workspace de destino será implantado.
Selecione Grupo de recursos para escolher o grupo de recursos no qual o workspace de destino será implantado. Você pode selecionar Criar a fim de criar um grupo de recursos para o workspace de destino.
Verifique se a Região está definida como o local de destino onde você deseja que o grupo de segurança de rede seja implantado.
Selecione o botão Revisar + criar para verificar seu modelo.
Selecione Criar para implantar o workspace e o recurso selecionado na região de destino.
Seu workspace, incluindo recursos selecionados, agora está implantado na região de destino. Você pode concluir a configuração restante no workspace para emparelhar a funcionalidade com o workspace original.
- Configurar agentes: use qualquer uma das opções disponíveis, incluindo Regras de Coleta de Dados, para configurar os agentes necessários em máquinas virtuais e conjunto de dimensionamento de máquinas virtuais e para especificar o novo workspace de destino.
- Configurações de diagnóstico: atualize as configurações de diagnóstico nos recursos identificados, com o workspace de destino.
- Instalar soluções: algumas soluções, como Microsoft Sentinel exigem determinados procedimentos de integração e não foram incluídas no modelo. Você deve integrá-los separadamente ao novo workspace.
- Configurar a API do Coletor de Dados: configurar instâncias da API do Coletor de Dados para enviar dados para o workspace de destino.
- Configurar regras de alerta: quando os alertas não são exportados no modelo, você precisa configurá-los manualmente no workspace de destino.
Verifique se os novos dados não são ingeridos no workspace original. Execute a seguinte consulta em seu workspace original e observe que não há ingestão após a migração:
search * | where TimeGenerated > ago(12h) | summarize max(TimeGenerated) by Type
Depois que as fontes de dados forem conectadas ao workspace de destino, os dados ingeridos são armazenados no workspace de destino. Os dados mais antigos permanecem no workspace original e estão sujeitos à política de retenção. Você pode realizar uma consulta entre workspaces. Se ambos workspaces tiverem o mesmo nome, use um nome qualificado (subscriptionName/resourceGroup/componentName) na referência de workspace.
Aqui está um exemplo de uma consulta em dois workspaces com o mesmo nome:
union
workspace('subscription-name1/<resource-group-name1/<original-workspace-name>')Update,
workspace('subscription-name2/<resource-group-name2/<target-workspace-name>').Update,
| where TimeGenerated >= ago(1h)
| where UpdateState == "Needed"
| summarize dcount(Computer) by Classification
Descartar
Se você quiser descartar o workspace de origem, exclua os recursos exportados ou o grupo de recursos que contém esses recursos:
Selecione grupo de recursos de destino no portal do Azure.
Na página Visão geral:
- Se você criou um novo grupo de recursos para essa implantação, selecione Excluir grupo de recursos na barra de ferramentas para excluir o grupo de recursos.
- Se o modelo foi implantado em um grupo de recursos existente, selecione os recursos que foram implantados com o modelo e, em seguida, selecione Excluir na barra de ferramentas para excluir os recursos selecionados.
Limpeza
Durante a ingestão dos novos dados no novo espaço de trabalho, os dados mais antigos permanecem disponíveis para consulta e estão sujeitos à política de retenção definida no espaço de trabalho original. Recomendamos que você mantenha o workspace original pelo tempo que precisar de dados mais antigos para consultar entre workspaces.
Se você não precisar mais de acesso a dados mais antigos no workspace original:
- Selecione o grupo de recursos original no portal do Azure.
- Selecione todos os recursos que você deseja remover e, em seguida, selecione Excluir na barra de ferramentas.