Mover um espaço de trabalho do Log Analytics para uma assinatura ou grupo de recursos diferente

Neste artigo, você aprenderá as etapas para mover um espaço de trabalho do Log Analytics para outro grupo de recursos ou assinatura na mesma região. Para mover um espaço de trabalho entre regiões, consulte Mover um espaço de trabalho do Log Analytics para outra região.

Gorjeta

Para saber mais sobre como mover recursos do Azure através do portal do Azure, PowerShell, CLI do Azure ou API REST, consulte Mover recursos para um novo grupo de recursos ou subscrição.

Pré-requisitos

• A assinatura ou o grupo de recursos para o qual você deseja mover seu espaço de trabalho do Log Analytics deve estar localizado na mesma região do espaço de trabalho do Log Analytics que você está movendo.
• A operação de movimentação requer que nenhum serviço possa ser vinculado ao espaço de trabalho. Antes da mudança, exclua soluções que dependem de serviços vinculados, incluindo uma conta de Automação do Azure. Essas soluções devem ser removidas antes que você possa desvincular sua conta de automação. A coleta de dados para as soluções será interrompida e suas tabelas serão removidas da interface do usuário, mas os dados permanecerão no espaço de trabalho durante o período de retenção definido para a tabela. Quando você adiciona soluções de volta após a mudança, a ingestão é restaurada e as tabelas ficam visíveis com os dados. Os serviços conexos incluem:
  • Gestão de atualizações
  • Registo de alterações
  • Iniciar/Parar VMs durante horas de inatividade
  • Microsoft Defender para a Cloud
• Os agentes do Log Analytics conectados e o Agente do Azure Monitor permanecem conectados ao espaço de trabalho após a mudança, sem interrupção da ingestão.
• Os alertas devem ser recriados após a mudança, uma vez que as permissões para alertas se baseiam no ID do recurso do espaço de trabalho, que muda com a mudança. Os alertas criados após 1º de junho de 2019 ou em espaços de trabalho que foram atualizados da API de Alerta do Log Analytics herdada para a API scheduledQueryRules podem ser exportados em modelos e implantados após a mudança. Você pode verificar se a API scheduledQueryRules é usada para alertas em seu espaço de trabalho. Em alternativa, pode configurar alertas manualmente na área de trabalho de destino.
• Atualize os caminhos de recursos após uma mudança de espaço de trabalho para o Azure ou recursos externos que apontem para o espaço de trabalho. Por exemplo: regras de alerta do Azure Monitor, aplicativos de terceiros, scripts personalizados, etc.

Permissões necessárias

Ação	Permissões necessárias
Verifique o locatário do Microsoft Entra.	Microsoft.AzureActiveDirectory/b2cDirectories/readpermissões, conforme fornecido pela função interna do Log Analytics Reader, por exemplo.
Exclua uma solução.	Microsoft.OperationsManagement/solutions/deletepermissões na solução, conforme fornecido pela função interna Colaborador do Log Analytics, por exemplo.
Remova as regras de alerta para a solução Start/Stop VMs.	microsoft.insights/scheduledqueryrules/deletepermissões, conforme fornecido pela função interna Colaborador de Monitoramento, por exemplo.
Desvincular a conta de automação	Microsoft.OperationalInsights/workspaces/linkedServices/deletepermissões no espaço de trabalho do Log Analytics vinculado, conforme fornecido pela função interna Colaborador do Log Analytics, por exemplo.
Mova um espaço de trabalho do Log Analytics.	Microsoft.OperationalInsights/workspaces/deletee Microsoft.OperationalInsights/workspaces/write permissões no espaço de trabalho do Log Analytics, conforme fornecido pela função interna Colaborador do Log Analytics, por exemplo.

Considerações e limites

Considere estes pontos antes de mover um espaço de trabalho do Log Analytics:

• O Azure Resource Manager pode levar algumas horas a concluí-la. As soluções podem não responder durante a operação.
• As soluções gerenciadas instaladas no espaço de trabalho também serão movidas.
• As soluções gerenciadas são objetos do espaço de trabalho e não podem ser movidas independentemente.
• As chaves do espaço de trabalho (primária e secundária) são regeneradas com uma operação de movimentação do espaço de trabalho. Se você mantiver uma cópia das chaves do espaço de trabalho no Cofre de Chaves do Azure, atualize-as com as novas chaves geradas depois que o espaço de trabalho for movido.

Importante

Clientes do Microsoft Sentinel

• Atualmente, depois que o Microsoft Sentinel é implantado em um espaço de trabalho, não há suporte para mover o espaço de trabalho para outro grupo de recursos ou assinatura.
• Se já tiver movido a área de trabalho, desative todas as regras ativas no Google Analytics e reative-as após cinco minutos. Esta solução deve ser eficaz na maioria dos casos, embora não seja suportada e realizada por sua conta e risco.

Verifique o locatário do Microsoft Entra

As assinaturas de origem e destino do espaço de trabalho devem existir dentro do mesmo locatário da Microsoft. Use o Azure PowerShell para verificar se ambas as assinaturas têm a mesma ID de locatário do Entra.

Portal

Encontre seu locatário do Microsoft Entra para as assinaturas de origem e destino.

API REST

Para buscar a ID do locatário para as assinaturas de origem e destino, chame Subscriptions - Get API:

GET https://management.azure.com/subscriptions/{subscriptionId}?api-version=2020-01-01

CLI

Execute o comando az account tenant :

az account tenant list --subscription <your-source-subscription>
az account tenant list --subscription <your-destination-subscription>

PowerShell

Execute o comando Get-AzSubscription :

(Get-AzSubscription -SubscriptionName <your-source-subscription>).TenantId
(Get-AzSubscription -SubscriptionName <your-destination-subscription>).TenantId

Elimine as soluções

Portal

1. Abra o menu do grupo de recursos onde todas as soluções estão instaladas.
2. Selecione as soluções a serem removidas.
3. Selecione Excluir recursos e confirme os recursos a serem removidos selecionando Excluir.

API REST

Para excluir a solução, chame Resources - Delete API:

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{parentResourcePath}/{resourceType}/{resourceName}?api-version=2021-04-01

CLI

Para remover soluções, execute o comando az resource delete . Você precisa especificar o nome do recurso, tipo de recurso e grupo de recursos para a solução que deseja excluir:

az resource delete --name <resource-name> --resource-type <resource-type> --resource-group <resource-group-name>

PowerShell

Para remover soluções, use o cmdlet Remove-AzResource como mostrado no exemplo a seguir:

Remove-AzResource -ResourceType 'Microsoft.OperationsManagement/solutions' -ResourceName "ChangeTracking(<workspace-name>)" -ResourceGroupName <resource-group-name>
Remove-AzResource -ResourceType 'Microsoft.OperationsManagement/solutions' -ResourceName "Updates(<workspace-name>)" -ResourceGroupName <resource-group-name>
Remove-AzResource -ResourceType 'Microsoft.OperationsManagement/solutions' -ResourceName "Start-Stop-VM(<workspace-name>)" -ResourceGroupName <resource-group-name>

Remover regras de alerta para a solução Start/Stop VMs

Para remover a solução Start/Stop VMs , você também precisa remover as regras de alerta criadas pela solução.

Portal

1. Abra o menu Monitor e selecione Alertas.

2. Selecione Gerenciar regras de alerta.

3. Selecione as três regras de alerta a seguir e, em seguida, selecione Excluir:

   • AutoStop_VM_Child
   • ScheduledStartStop_Parent
   • SequencedStartStop_Parent

   

API REST

Exclua as seguintes regras de alerta chamando as Regras de Consulta Agendada - Excluir API:

• AutoStop_VM_Child
• ScheduledStartStop_Parent
• SequencedStartStop_Parent

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/scheduledQueryRules/{ruleName}?api-version=2023-03-15-preview

CLI

Exclua as seguintes regras de alerta executando o comando az monitor scheduled-query delete :

• AutoStop_VM_Child
• ScheduledStartStop_Parent
• SequencedStartStop_Parent

az monitor scheduled-query delete [--ids]
                                  [--name]
                                  [--resource-group]
                                  [--subscription]
                                  [--yes]

PowerShell

Exclua as seguintes regras de alerta executando o comando Remove-AzScheduledQueryRule :

• AutoStop_VM_Child
• ScheduledStartStop_Parent
• SequencedStartStop_Parent

Desvincular a conta de automação

Portal

Consulte Excluir uma conta de automação autônoma vinculada ao espaço de trabalho.

API REST

Chame os Serviços Vinculados - Excluir API.

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/linkedServices/{linkedServiceName}?api-version=2020-08-01

CLI

Não suportado.

PowerShell

Não suportado.

Mover o espaço de trabalho

Portal

1. Abra o menu de espaços de trabalho do Log Analytics e selecione seu espaço de trabalho.

2. Na página Visão geral, selecione alterar ao lado de Grupo de recursos ou Nome da assinatura.

3. Uma nova página é aberta com uma lista de recursos relacionados ao espaço de trabalho. Selecione os recursos a serem movidos para a mesma assinatura de destino e grupo de recursos do espaço de trabalho.

4. Selecione um grupo de Subscrição e Recursos de destino. Se você estiver movendo o espaço de trabalho para outro grupo de recursos na mesma assinatura, não verá a opção Assinatura .

5. Selecione OK para mover o espaço de trabalho e os recursos selecionados.

   

API REST

Para mover seu espaço de trabalho, chame a API Recursos - Mover Recursos.

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{sourceResourceGroupName}/moveResources?api-version=2021-04-01

CLI

Para mover seu espaço de trabalho, execute o comando az resource move :

az resource move --destination-group
                 --ids
                 [--destination-subscription-id]

PowerShell

Para mover seu espaço de trabalho, execute o cmdlet Move-AzResource conforme mostrado no exemplo a seguir:

Move-AzResource -ResourceId "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/MyResourceGroup01/providers/Microsoft.OperationalInsights/workspaces/MyWorkspace" -DestinationSubscriptionId "00000000-0000-0000-0000-000000000000" -DestinationResourceGroupName "MyResourceGroup02"

Importante

Após a operação de movimentação, as soluções removidas e o link da conta de automação devem ser reconfigurados para trazer o espaço de trabalho de volta ao seu estado anterior.

Próximos passos

Para obter uma lista de quais recursos suportam a operação de movimentação, consulte Suporte de operação de movimentação para recursos.