Partilhar via


Realoque o Azure Monitor - Espaço de trabalho do Log Analytics para outra região

Há vários motivos pelos quais você pode querer mover seus recursos existentes do Azure de uma região para outra. Você pode querer:

  • Aproveite uma nova região do Azure.
  • Implante recursos ou serviços disponíveis apenas em regiões específicas.
  • Atender aos requisitos internos de política e governança.
  • Alinhar-se com fusões e aquisições de empresas
  • Atenda aos requisitos de planejamento de capacidade.

Um plano de realocação para o espaço de trabalho do Log Analytics deve incluir a realocação de todos os recursos que registram dados com o espaço de trabalho do Log Analytics.

O espaço de trabalho do Log Analytics não suporta nativamente a migração de dados do espaço de trabalho de uma região para outra e dispositivos associados. Em vez disso, você deve criar um novo espaço de trabalho do Log Analytics na região de destino e reconfigurar os dispositivos e as configurações no novo espaço de trabalho.

O diagrama abaixo ilustra o padrão de realocação para um espaço de trabalho do Log Analytics. As linhas de fluxo vermelhas representam a reimplantação da instância de destino junto com a movimentação de dados e a atualização de domínios e pontos de extremidade.

Diagrama ilustrando o padrão de realocação do espaço de trabalho do Log Analytics.

Realocação para o suporte à zona de disponibilidade

As zonas de disponibilidade são grupos fisicamente separados de datacenters dentro de cada região do Azure. Quando uma zona falha, os serviços podem fazer failover para uma das zonas restantes.

Para obter mais informações sobre zonas de disponibilidade no Azure, consulte O que são zonas de disponibilidade?.

Se você quiser realocar seu espaço de trabalho do Log Analytics para uma região que ofereça suporte a zonas de disponibilidade:

Pré-requisitos

  • Para exportar a configuração do espaço de trabalho para um modelo que possa ser implantado em outra região, você precisa da função Colaborador do Log Analytics ou Colaborador de Monitoramento , ou superior.

  • Identifique todos os recursos atualmente associados ao seu espaço de trabalho, incluindo:

    • Agentes conectados: insira Logs em seu espaço de trabalho e consulte uma tabela de pulsação para listar agentes conectados.

      Heartbeat
      | summarize by Computer, Category, OSType, _ResourceId
      
    • Configurações de diagnóstico: os recursos podem enviar logs para o Diagnóstico do Azure ou tabelas dedicadas em seu espaço de trabalho. Insira Logs em seu espaço de trabalho e execute esta consulta para recursos que enviam dados para a AzureDiagnostics tabela:

      AzureDiagnostics
      | where TimeGenerated > ago(12h)
      | summarize by  ResourceProvider , ResourceType, Resource
      | sort by ResourceProvider, ResourceType
      

      Execute esta consulta para recursos que enviam dados para tabelas dedicadas:

      search *
      | where TimeGenerated > ago(12h)
      | where isnotnull(_ResourceId)
      | extend ResourceProvider = split(_ResourceId, '/')[6]
      | where ResourceProvider !in ('microsoft.compute', 'microsoft.security')
      | extend ResourceType = split(_ResourceId, '/')[7]
      | extend Resource = split(_ResourceId, '/')[8]
      | summarize by tostring(ResourceProvider) , tostring(ResourceType), tostring(Resource)
      | sort by ResourceProvider, ResourceType
      
    • Soluções instaladas: Selecione Soluções herdadas no painel de navegação do espaço de trabalho para obter uma lista de soluções instaladas.

    • API do coletor de dados: os dados que chegam por meio de uma API do coletor de dados são armazenados em tabelas de log personalizadas. Para obter uma lista de tabelas de log personalizadas, selecione Logs no painel de navegação do espaço de trabalho e, em seguida, selecione Log personalizado no painel de esquema.

    • Serviços vinculados: os espaços de trabalho podem ter serviços vinculados a recursos dependentes, como uma conta de Automação do Azure, uma conta de armazenamento ou um cluster dedicado. Remova os serviços vinculados do seu espaço de trabalho. Reconfigure-os manualmente no espaço de trabalho de destino.

    • Alertas: para listar alertas, selecione Alertas no painel de navegação do espaço de trabalho e, em seguida, selecione Gerir regras de alerta na barra de ferramentas. Alertas em espaços de trabalho criados após 1º de junho de 2019 ou em espaços de trabalho que foram atualizados da API de Alerta do Log Analytics para a API scheduledQueryRules podem ser incluídos no modelo.

      Você pode verificar se a API scheduledQueryRules é usada para alertas em seu espaço de trabalho. Em alternativa, pode configurar alertas manualmente na área de trabalho de destino.

    • Pacotes de consulta: um espaço de trabalho pode ser associado a vários pacotes de consulta. Para identificar pacotes de consultas em seu espaço de trabalho, selecione Logs no painel de navegação do espaço de trabalho, selecione consultas no painel esquerdo e selecione as reticências à direita da caixa de pesquisa. Uma caixa de diálogo com os pacotes de consulta selecionados é aberta à direita. Se os pacotes de consulta estiverem no mesmo grupo de recursos que o espaço de trabalho que você está movendo, você poderá incluí-lo nessa migração.

  • Verifique se sua assinatura do Azure permite criar espaços de trabalho do Log Analytics na região de destino.

Inatividade

Para entender os possíveis períodos de inatividade envolvidos, consulte Cloud Adoption Framework for Azure: Select a relocation method.

Preparação

Os procedimentos a seguir mostram como preparar o espaço de trabalho e os recursos para a movimentação usando um modelo do Gerenciador de Recursos.

Nota

Nem todos os recursos podem ser exportados através de um modelo. Você precisará configurá-los separadamente depois que o espaço de trabalho for criado na região de destino.

  1. Entre no portal do Azure e selecione Grupos de Recursos.

  2. Localize o grupo de recursos que contém seu espaço de trabalho e selecione-o.

  3. Para exibir um recurso de alerta, marque a caixa de seleção Mostrar tipos ocultos.

  4. Selecione o filtro Tipo . Selecione Espaço de trabalho do Log Analytics, Solução, SavedSearches, microsoft.insights/scheduledqueryrules, defaultQueryPack e outros recursos relacionados ao espaço de trabalho que você tenha (como uma conta de automação). Em seguida, selecione Aplicar.

  5. Selecione o espaço de trabalho, soluções, pesquisas salvas, alertas, pacotes de consultas e outros recursos relacionados ao espaço de trabalho que você tem (como uma conta de automação). Em seguida, selecione Exportar modelo na barra de ferramentas.

    Nota

    O Microsoft Sentinel não pode ser exportado com um modelo. Você precisa integrar o Sentinel a um espaço de trabalho de destino.

  6. Selecione Implantar na barra de ferramentas para editar e preparar o modelo para implantação.

  7. Selecione Editar parâmetros na barra de ferramentas para abrir o arquivo parameters.json no editor online.

  8. Para editar os parâmetros, altere a value propriedade em parameters. Eis um exemplo:

    {
      "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
      "contentVersion": "1.0.0.0",
      "parameters": {
        "workspaces_name": {
          "value": "my-workspace-name"
        },
        "workspaceResourceId": {
          "value": "/subscriptions/resource-id/resourceGroups/resource-group-name/providers/Microsoft.OperationalInsights/workspaces/workspace-name"
        },
        "alertName": {
          "value": "my-alert-name"
        },
        "querypacks_name": {
          "value": "my-default-query-pack-name"
        }
      }
    }
    
  9. Selecione Salvar no editor.

Editar o modelo

  1. Selecione Editar modelo na barra de ferramentas para abrir o arquivo template.json no editor online.

  2. Para editar a região de destino onde o espaço de trabalho do Log Analytics será implantado, altere a location propriedade em resources no editor online.

    Para obter códigos de localização de região, consulte Residência de dados no Azure. O código de uma região é o nome da região sem espaços. Por exemplo, o centro dos EUA deve ser centralus.

  3. Remova os recursos de serviços vinculados (microsoft.operationalinsights/workspaces/linkedservices) se eles estiverem presentes no modelo. Você deve reconfigurar esses recursos manualmente no espaço de trabalho de destino.

    O modelo de exemplo a seguir inclui o espaço de trabalho, a pesquisa salva, as soluções, os alertas e o pacote de consultas:

    {
      "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
      "contentVersion": "1.0.0.0",
      "parameters": {
        "workspaces_name": {
          "type": "String"
        },
        "workspaceResourceId": {
          "type": "String"
        },
        "alertName": {
          "type": "String"
        },
        "querypacks_name": {
          "type": "String"
        }
      },
      "variables": {},
      "resources": [
        {
          "type": "microsoft.operationalinsights/workspaces",
          "apiVersion": "2020-08-01",
          "name": "[parameters('workspaces_name')]",
          "location": "france central",
          "properties": {
            "sku": {
              "name": "pergb2018"
            },
            "retentionInDays": 30,
            "features": {
              "enableLogAccessUsingOnlyResourcePermissions": true
            },
            "workspaceCapping": {
              "dailyQuotaGb": -1
            },
            "publicNetworkAccessForIngestion": "Enabled",
            "publicNetworkAccessForQuery": "Enabled"
          }
        },
        {
          "type": "Microsoft.OperationalInsights/workspaces/savedSearches",
          "apiVersion": "2020-08-01",
          "name": "[concat(parameters('workspaces_name'), '/2b5112ec-5ad0-5eda-80e9-ad98b51d4aba')]",
          "dependsOn": [
            "[resourceId('Microsoft.OperationalInsights/workspaces', parameters('workspaces_name'))]"
          ],
          "properties": {
            "category": "VM Monitoring",
            "displayName": "List all versions of curl in use",
            "query": "VMProcess\n| where ExecutableName == \"curl\"\n| distinct ProductVersion",
            "tags": [],
            "version": 2
          }
        },
        {
          "type": "Microsoft.OperationsManagement/solutions",
          "apiVersion": "2015-11-01-preview",
          "name": "[concat('Updates(', parameters('workspaces_name'))]",
          "location": "france central",
          "dependsOn": [
            "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name'))]"
          ],
          "plan": {
            "name": "[concat('Updates(', parameters('workspaces_name'))]",
            "promotionCode": "",
            "product": "OMSGallery/Updates",
            "publisher": "Microsoft"
          },
          "properties": {
            "workspaceResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name'))]",
            "containedResources": [
              "[concat(resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name')), '/views/Updates(', parameters('workspaces_name'), ')')]"
            ]
          }
        }
        {
          "type": "Microsoft.OperationsManagement/solutions",
          "apiVersion": "2015-11-01-preview",
          "name": "[concat('VMInsights(', parameters('workspaces_name'))]",
          "location": "france central",
          "plan": {
            "name": "[concat('VMInsights(', parameters('workspaces_name'))]",
            "promotionCode": "",
            "product": "OMSGallery/VMInsights",
            "publisher": "Microsoft"
          },
          "properties": {
            "workspaceResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name'))]",
            "containedResources": [
              "[concat(resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name')), '/views/VMInsights(', parameters('workspaces_name'), ')')]"
            ]
          }
        },
        {
          "type": "microsoft.insights/scheduledqueryrules",
          "apiVersion": "2021-08-01",
          "name": "[parameters('alertName')]",
          "location": "france central",
          "properties": {
            "displayName": "[parameters('alertName')]",
            "severity": 3,
            "enabled": true,
            "evaluationFrequency": "PT5M",
            "scopes": [
              "[parameters('workspaceResourceId')]"
            ],
            "windowSize": "PT15M",
            "criteria": {
              "allOf": [
                {
                  "query": "Heartbeat | where computer == 'my computer name'",
                  "timeAggregation": "Count",
                  "operator": "LessThan",
                  "threshold": 14,
                  "failingPeriods": {
                    "numberOfEvaluationPeriods": 1,
                    "minFailingPeriodsToAlert": 1
                  }
                }
              ]
            },
            "autoMitigate": true,
            "actions": {}
          }
        },
        {
          "type": "Microsoft.OperationalInsights/querypacks",
          "apiVersion": "2019-09-01-preview",
          "name": "[parameters('querypacks_name')]",
          "location": "francecentral",
          "properties": {}
        },
        {
          "type": "Microsoft.OperationalInsights/querypacks/queries",
          "apiVersion": "2019-09-01-preview",
          "name": "[concat(parameters('querypacks_name'), '/00000000-0000-0000-0000-000000000000')]",
          "dependsOn": [
            "[resourceId('Microsoft.OperationalInsights/querypacks', parameters('querypacks_name'))]"
          ],
          "properties": {
            "displayName": "my-query-name",
            "body": "my-query-text",
            "related": {
              "categories": [],
              "resourceTypes": [
                  "microsoft.operationalinsights/workspaces"
              ]
            },
            "tags": {
              "labels": []
            }
          }
        }
      ]
    }
    
  4. Selecione Salvar no editor online.

Voltar a implementar

  1. Selecione Assinatura para escolher a assinatura onde o espaço de trabalho de destino será implantado.

  2. Selecione Grupo de recursos para escolher o grupo de recursos onde o espaço de trabalho de destino será implantado. Você pode selecionar Criar novo para criar um novo grupo de recursos para o espaço de trabalho de destino.

  3. Verifique se Região está definida para o local de destino onde você deseja que o grupo de segurança de rede seja implantado.

  4. Selecione o botão Rever + criar para verificar o seu modelo.

  5. Selecione Criar para implantar o espaço de trabalho e o recurso selecionado na região de destino.

  6. Seu espaço de trabalho, incluindo recursos selecionados, agora está implantado na região de destino. Você pode concluir a configuração restante no espaço de trabalho para analisar a funcionalidade ao espaço de trabalho original.

    • Agentes de conexão: use qualquer uma das opções disponíveis, incluindo Regras de Coleta de Dados, para configurar os agentes necessários em máquinas virtuais e conjuntos de dimensionamento de máquinas virtuais e para especificar o novo espaço de trabalho de destino como destino.
    • Configurações de diagnóstico: atualize as configurações de diagnóstico em recursos identificados, com o espaço de trabalho de destino como destino.
    • Soluções de instalação: algumas soluções, como o Microsoft Sentinel, exigem determinados procedimentos de integração e não foram incluídas no modelo. Você deve integrá-los separadamente ao novo espaço de trabalho.
    • Configurar a API do Coletor de Dados: configure instâncias da API do Coletor de Dados para enviar dados para o espaço de trabalho de destino.
    • Configurar regras de alerta: quando os alertas não são exportados no modelo, você precisa configurá-los manualmente no espaço de trabalho de destino.
  7. Verifique se os novos dados não foram ingeridos no espaço de trabalho original. Execute a seguinte consulta no espaço de trabalho original e observe que não há ingestão após a migração:

    search *
    | where TimeGenerated > ago(12h)
    | summarize max(TimeGenerated) by Type
    

Depois que as fontes de dados são conectadas ao espaço de trabalho de destino, os dados ingeridos são armazenados no espaço de trabalho de destino. Os dados mais antigos permanecem no espaço de trabalho original e estão sujeitos à política de retenção. Você pode executar uma consulta entre espaços de trabalho. Se ambos os espaços de trabalho receberam o mesmo nome, use um nome qualificado (subscriptionName/resourceGroup/componentName) na referência do espaço de trabalho.

Eis um exemplo de uma consulta em dois espaços de trabalho com o mesmo nome:

union 
  workspace('subscription-name1/<resource-group-name1/<original-workspace-name>')Update, 
  workspace('subscription-name2/<resource-group-name2/<target-workspace-name>').Update, 
| where TimeGenerated >= ago(1h)
| where UpdateState == "Needed"
| summarize dcount(Computer) by Classification

Eliminar

Se desejar descartar o espaço de trabalho de origem, exclua os recursos exportados ou o grupo de recursos que contém estes recursos:

  1. Selecione o grupo de recursos de destino no portal do Azure.

  2. Na página Visão geral:

    • Se você criou um novo grupo de recursos para essa implantação, selecione Excluir grupo de recursos na barra de ferramentas para excluir o grupo de recursos.
    • Se o modelo foi implantado em um grupo de recursos existente, selecione os recursos que foram implantados com o modelo e, em seguida, selecione Excluir na barra de ferramentas para excluir os recursos selecionados.

Limpeza

Enquanto novos dados estão sendo ingeridos no novo espaço de trabalho, os dados mais antigos no espaço de trabalho original permanecem disponíveis para consulta e estão sujeitos à política de retenção definida no espaço de trabalho. Recomendamos que você mantenha o espaço de trabalho original pelo tempo que precisar de dados mais antigos para consultar entre espaços de trabalho.

Se você não precisar mais acessar dados mais antigos no espaço de trabalho original:

  1. Selecione o grupo de recursos original no portal do Azure.
  2. Selecione os recursos que pretende remover e, em seguida, selecione Eliminar na barra de ferramentas.