你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

将 Log Analytics 工作区移到其他订阅或资源组

本文介绍将 Log Analytics 工作区移动到同一区域中的另一个资源组或订阅的步骤。 若要跨区域移动工作区，请参阅将 Log Analytics 工作区移到另一个区域。

提示

若要详细了解如何通过 Azure 门户、PowerShell、Azure CLI 或 REST API 移动 Azure 资源，请参阅将资源移动到新的资源组或订阅。

先决条件

• 要从中移动 Log Analytics 工作区的订阅或资源组必须与要移动的 Log Analytics 工作区位于同一区域。
• 移动操作要求任何服务都不能链接到工作区。 在移动之前，请删除依赖于链接服务的解决方案，包括 Azure 自动化帐户。 在取消链接自动化帐户之前必须先删除这些解决方案。 会停止为解决方案收集数据，并从 UI 中移除其表，不过在为表定义的保留期内，数据仍会保留在工作区中。 当在移动之后将解决方案重新添加回来，还原的引入和表会与数据一起变为可见。 链接服务包括：
  • 更新管理
  • Change tracking
  • 在非工作时间启动/停止 VM
  • Microsoft Defender for Cloud
• 已连接的 Log Analytics 代理和 Azure Monitor 代理在移动后仍与工作区保持连接，且引入不会中断。
• 移动之后应创新创建警报，因为警报的权限是基于工作区资源 ID，会随着移动而更改。 在 2019 年 6 月 1 日之后创建的警报，或从旧 Log Analytics 警报 API 升级到 scheduledQueryRules API 的工作区中的警报可以导出到模板中，并可在移动后进行部署。 你可以检查 scheduledQueryRules API 是否用于你的工作区中的警报。 也可以在目标工作区中手动配置警报。
• 在为 Azure 或指向工作区的外部资源进行工作区移动后，更新资源路径。 例如：Azure Monitor 警报规则、第三方应用、自定义脚本等。

所需的权限

操作	所需的权限
验证 Microsoft Entra 租户。	Microsoft.AzureActiveDirectory/b2cDirectories/read 权限，例如，Log Analytics 读者内置角色所提供的权限。
删除解决方案。	对解决方案具有 Microsoft.OperationsManagement/solutions/delete 权限，例如，Log Analytics 参与者内置角色所提供的权限。
删除“启动/停止 VM”解决方案的警报规则。	microsoft.insights/scheduledqueryrules/delete 权限，例如，监视参与者内置角色所提供的权限。
取消链接自动化帐户	对链接的 Log Analytics 工作区具有 Microsoft.OperationalInsights/workspaces/linkedServices/delete 权限，例如，Log Analytics 参与者内置角色所提供的权限。
移动 Log Analytics 工作区。	对 Log Analytics 工作区具有 Microsoft.OperationalInsights/workspaces/delete 和 Microsoft.OperationalInsights/workspaces/write 权限，例如，Log Analytics 参与者内置角色所提供的权限。

注意事项和限制

在移动 Log Analytics 工作区之前，请考虑以下几点：

• Azure 资源管理器可能需要几个小时才能完成此操作。 在操作期间，解决方案可能无响应。
• 工作区中安装的托管解决方案也将一起移动。
• 托管解决方案是工作区的对象，无法单独移动。
• 通过工作区移动操作重新生成工作区密钥（主密钥和辅助密钥）。 如果在 Azure Key Vault 中保留工作区密钥的副本，请使用工作区移动后生成的新密钥对其进行更新。

重要

Microsoft Sentinel 客户

• 目前，在工作区中部署 Microsoft Sentinel 后，不支持将工作区移到其他资源组或订阅。
• 如果已移动工作区，请禁用“分析”下的所有活动规则，并在五分钟后重新启用这些规则。 此解决方案在大多数情况下应该是有效的，但不支持这样做，风险由你自己承担。

验证 Microsoft Entra 租户

工作区源订阅与目标订阅必须在同一个 Microsoft 租户中。 使用 Azure PowerShell 来验证这两个订阅是否具有相同的 Entra 租户 ID。

Portal

查找源订阅和目标订阅的 Microsoft Entra 租户。

REST API

若要获取源订阅和目标订阅的租户 ID，请调用订阅 - 获取 API：

GET https://management.azure.com/subscriptions/{subscriptionId}?api-version=2020-01-01

CLI

运行 az account tenant 命令：

az account tenant list --subscription <your-source-subscription>
az account tenant list --subscription <your-destination-subscription>

PowerShell

运行 Get-AzSubscription 命令：

(Get-AzSubscription -SubscriptionName <your-source-subscription>).TenantId
(Get-AzSubscription -SubscriptionName <your-destination-subscription>).TenantId

删除解决方案

Portal

1. 打开其中已安装任何解决方案的资源组的菜单。
2. 选择要删除的解决方案。
3. 选择“删除资源”，然后选择“删除”确认删除资源。

REST API

若要删除解决方案，请调用资源 - 删除 API：

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{parentResourcePath}/{resourceType}/{resourceName}?api-version=2021-04-01

CLI

若要删除解决方案，请运行 az resource delete 命令。 需要指定要删除的解决方案的资源名称、资源类型和资源组：

az resource delete --name <resource-name> --resource-type <resource-type> --resource-group <resource-group-name>

PowerShell

若要删除解决方案，请按以下示例中所示使用 Remove-AzResource cmdlet：

Remove-AzResource -ResourceType 'Microsoft.OperationsManagement/solutions' -ResourceName "ChangeTracking(<workspace-name>)" -ResourceGroupName <resource-group-name>
Remove-AzResource -ResourceType 'Microsoft.OperationsManagement/solutions' -ResourceName "Updates(<workspace-name>)" -ResourceGroupName <resource-group-name>
Remove-AzResource -ResourceType 'Microsoft.OperationsManagement/solutions' -ResourceName "Start-Stop-VM(<workspace-name>)" -ResourceGroupName <resource-group-name>

删除“启动/停止 VM”解决方案的警报规则

若要删除“启动/停止 VM”解决方案，还需要删除该解决方案创建的警报规则。

Portal

1. 打开“监视”菜单，然后选择“警报”。

2. 选择“管理警报规则”。

3. 选择以下三个警报规则，然后选择“删除”：

   • AutoStop_VM_Child
   • ScheduledStartStop_Parent
   • SequencedStartStop_Parent

   

REST API

通过调用“计划的查询规则 - 删除 API”来删除以下警报规则：

• AutoStop_VM_Child
• ScheduledStartStop_Parent
• SequencedStartStop_Parent

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/scheduledQueryRules/{ruleName}?api-version=2023-03-15-preview

CLI

通过运行 az monitor scheduled-query delete 命令删除以下警报规则：

• AutoStop_VM_Child
• ScheduledStartStop_Parent
• SequencedStartStop_Parent

az monitor scheduled-query delete [--ids]
                                  [--name]
                                  [--resource-group]
                                  [--subscription]
                                  [--yes]

PowerShell

通过运行 Remove-AzScheduledQueryRule 命令来删除以下警报规则：

• AutoStop_VM_Child
• ScheduledStartStop_Parent
• SequencedStartStop_Parent

取消链接自动化帐户

Portal

请参阅删除与工作区相链接的独立自动化帐户。

REST API

调用链接服务 - 删除 API。

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/linkedServices/{linkedServiceName}?api-version=2020-08-01

CLI

不支持。

PowerShell

不支持。

移动工作区

Portal

1. 打开“Log Analytics 工作区”菜单，然后选择你的工作区。

2. 在“概述”页的“资源组”或“订阅名称”旁，选择“更改”。

3. 此时会打开一个新页，其中显示了与该工作区相关的资源列表。 选择要移到该工作区所在的同一目标订阅和资源组中的资源。

4. 选择目标“订阅”和“资源组”。 如果将工作区移到同一订阅中的另一个资源组，则看不到“订阅”选项。

5. 选择“确定”以移动工作区和所选资源。

   

REST API

若要移动工作区，请调用资源 - 移动资源 API。

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{sourceResourceGroupName}/moveResources?api-version=2021-04-01

CLI

若要移动工作区，请运行 az resource move 命令：

az resource move --destination-group
                 --ids
                 [--destination-subscription-id]

PowerShell

若要移动工作区，请按以下示例中所示运行 Move-AzResource cmdlet：

Move-AzResource -ResourceId "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup01/providers/Microsoft.OperationalInsights/workspaces/MyWorkspace" -DestinationSubscriptionId "00000000-0000-0000-0000-000000000000" -DestinationResourceGroupName "MyResourceGroup02"

重要

移动操作完成后，应重新配置已删除的解决方案和自动化帐户链接，使工作区恢复以前的状态。

后续步骤

有关支持移动操作的资源列表，请参阅资源的移动操作支持。