Verschieben des Azure Monitor – Log Analytics-Arbeitsbereichs in eine andere Region

Es gibt verschiedene mögliche Gründe, warum Sie Ihre vorhandenen Azure-Ressourcen aus einer Region in eine andere verschieben möchten. Möglicherweise möchten Sie Folgendes ausführen:

  • Nutzen Sie die Vorteile einer neuen Azure-Region.
  • Stellen Sie Features oder Dienste bereit, die nur in bestimmten Regionen verfügbar sind.
  • Erfüllen Sie interne Richtlinien- und Governanceanforderungen.
  • Ausrichtung an Unternehmenszusammenschlüssen und -übernahmen
  • Um die Anforderungen an die Kapazitätsplanung zu erfüllen

Ein Plan für die Verschiebung des Log Analytics-Arbeitsbereichs muss die Verschiebung aller Ressourcen beinhalten, die Daten mit dem Log Analytics-Arbeitsbereich protokollieren.

Der Log Analytics-Arbeitsbereich unterstützt nicht von Haus aus die Migration von Arbeitsbereichsdaten von einer Region in eine andere und die damit verbundenen Geräte. Stattdessen müssen Sie einen neuen Log Analytics-Arbeitsbereich in der Zielregion erstellen und die Geräte und Einstellungen in dem neuen Arbeitsbereich neu konfigurieren.

Das folgende Diagramm veranschaulicht das Verschiebungsmuster für einen Log Analytics-Arbeitsbereich. Die roten Flow-Linien stellen die Neuverteilung der Zielinstanz zusammen mit der Datenbewegung und der Aktualisierung von Domänen und Endpunkten dar.

Diagramm, welches das Verlagerungsmuster des Log Analytics-Arbeitsbereichs veranschaulicht.

Wechsel zur Unterstützung für Verfügbarkeitszonen

Azure-Verfügbarkeitszonen sind mindestens drei physisch getrennte Gruppen von Rechenzentren innerhalb jeder Azure-Region. Die Rechenzentren innerhalb jeder Zone sind mit unabhängiger Stromversorgung, Kühlung und Netzwerkinfrastruktur ausgestattet. Bei einem Fehler in der lokalen Zone sind Verfügbarkeitszonen so konzipiert, dass regionale Dienste, Kapazität und Hochverfügbarkeit von den verbleibenden beiden Zonen unterstützt werden, wenn eine Zone betroffen ist.

Ausfälle können von Software- und Hardwareausfällen bis hin zu Ereignissen wie Erdbeben, Überflutungen und Bränden reichen. Fehlertoleranz wird durch Redundanz und logische Isolierung von Azure-Diensten erreicht. Ausführlichere Informationen zu Verfügbarkeitszonen in Azure finden Sie unter Regionen und Verfügbarkeitszonen.

Azure-Dienste mit Unterstützung von Verfügbarkeitszonen bieten das richtige Maß an Zuverlässigkeit und Flexibilität. Für die Konfiguration gibt es zwei Möglichkeiten. Sie können entweder zonenredundant mit automatischer zonenübergreifender Replikation oder zonenbasiert mit Instanzen sein, die an eine bestimmte Zone angeheftet werden. Sie können diese Ansätze auch kombinieren. Weitere Informationen zur zonalen im Vergleich zur zonenredundanten Architektur finden Sie unter Empfehlungen für die Verwendung von Verfügbarkeitszonen und Regionen.

Wenn Sie Ihren Log Analytics-Arbeitsbereich in eine Region verschieben möchten, die Verfügbarkeitszonen unterstützt:

Voraussetzungen

  • Um die Arbeitsbereichskonfiguration in eine Vorlage zu exportieren, die in einer anderen Region bereitgestellt werden kann, benötigen Sie die Rolle Log Analytics-Mitwirkender oder Mitwirkender an der Überwachung bzw. höhere Berechtigungen.

  • Identifizieren Sie alle Ressourcen, die Ihrem Arbeitsbereich derzeit zugeordnet sind, darunter:

    • Verbundene Agents: Geben Sie Protokolle in Ihren Arbeitsbereich ein, und fragen Sie die Tabelle Heartbeat ab, um verbundene Agents aufzulisten.

      Heartbeat
      | summarize by Computer, Category, OSType, _ResourceId
      
    • Diagnoseeinstellungen: Ressourcen können Protokolle an die Azure-Diagnose oder an dedizierte Tabellen in Ihrem Arbeitsbereich senden. Geben Sie Protokolle in Ihren Arbeitsbereich ein, und führen Sie diese Abfrage für Ressourcen aus, die Daten an die Tabelle AzureDiagnostics senden:

      AzureDiagnostics
      | where TimeGenerated > ago(12h)
      | summarize by  ResourceProvider , ResourceType, Resource
      | sort by ResourceProvider, ResourceType
      

      Führen Sie diese Abfrage für Ressourcen aus, die Daten an dedizierte Tabellen senden:

      search *
      | where TimeGenerated > ago(12h)
      | where isnotnull(_ResourceId)
      | extend ResourceProvider = split(_ResourceId, '/')[6]
      | where ResourceProvider !in ('microsoft.compute', 'microsoft.security')
      | extend ResourceType = split(_ResourceId, '/')[7]
      | extend Resource = split(_ResourceId, '/')[8]
      | summarize by tostring(ResourceProvider) , tostring(ResourceType), tostring(Resource)
      | sort by ResourceProvider, ResourceType
      
    • Installierte Lösungen: Wählen Sie im Navigationsbereich des Arbeitsbereichs Legacy-Lösungen aus, um eine Liste der installierten Lösungen anzuzeigen.

    • Datensammler-API: Daten, die über die Datensammler-API eingehen, werden in benutzerdefinierten Protokolltabellen gespeichert. Wählen Sie für eine Liste benutzerdefinierter Protokolltabellen im Navigationsbereich des Arbeitsbereichs die Option Protokolle und dann im Schemabereich Benutzerdefiniertes Protokoll aus.

    • Verknüpfte Dienste: Der Arbeitsbereich kann verknüpfte Dienste aufweisen, z. B. für abhängige Ressourcen wie Azure Automation-Konten, Speicherkonten oder dedizierte Cluster. Entfernen Sie verknüpfte Dienste aus Ihrem Arbeitsbereich. Konfigurieren Sie sie manuell im Zielarbeitsbereich neu.

    • Warnungen: Um Warnungen aufzulisten, wählen Sie im Navigationsbereich Ihres Arbeitsbereichs die Option Warnungen und dann in der Symbolleiste die Option Warnungsregeln verwalten aus. Warnungen in Arbeitsbereichen, die nach dem 1 Juni 2019 oder in Arbeitsbereichen erstellt wurden, für die ein Upgrade von der Log Analytics-Warnungs-API auf die aktuelle ScheduledQueryRules-API durchgeführt wurde, können in die Vorlage einbezogen werden.

      Sie können überprüfen, ob die ScheduledQueryRules-API für Warnungen in Ihrem Arbeitsbereich verwendet wird. Alternativ können Sie Warnungen manuell im Zielarbeitsbereich konfigurieren.

    • Abfragepakete: Ein Arbeitsbereich kann mehreren Abfragepaketen zugeordnet werden. Um Abfragepakete in Ihrem Arbeitsbereich zu identifizieren, wählen Sie Protokolle im Navigationsbereich des Arbeitsbereichs sowie Abfragen im linken Bereich aus. Anschließend wählen Sie die Auslassungspunkte rechts neben dem Suchfeld aus. Auf der rechten Seite öffnet sich ein Dialogfeld mit den ausgewählten Abfragepaketen. Wenn sich Ihre Abfragepakete in derselben Ressourcengruppe befinden wie der zu verschiebende Arbeitsbereich, können Sie ihn in diese Migration einschließen.

  • Vergewissern Sie sich, dass Sie mit Ihrem Azure-Abonnement Log Analytics-Arbeitsbereiche in der Zielregion erstellen können.

Ausfallzeit

Informationen zu den möglichen Ausfallzeiten finden Sie unter Cloud Adoption Framework für Azure: Auswählen einer Verlagerungsmethode.

Vorbereiten

Die folgenden Verfahren zeigen, wie Sie den Arbeitsbereich und die Ressourcen mit Hilfe einer Resource Manager-Vorlage für die Verschiebung vorbereiten.

Hinweis

Nicht alle Ressourcen können über eine Vorlage exportiert werden. Sie müssen diese separat konfigurieren, nachdem der Arbeitsbereich in der Zielregion erstellt wurde.

  1. Melden Sie sich am Azure-Portal an, und wählen Sie dann Ressourcengruppen aus.

  2. Suchen Sie die Ressourcengruppe, die Ihren Arbeitsbereich enthält, und wählen Sie sie aus.

  3. Aktivieren Sie das Kontrollkästchen Ausgeblendete Typen anzeigen, um eine Warnungsressource anzuzeigen.

  4. Wählen Sie den Filter Typ aus. Wählen Sie Log Analytics-Arbeitsbereich, Lösung, SavedSearches, microsoft.insights/scheduledqueryrules, defaultQueryPack und andere auf den Arbeitsbereich bezogenen Ressourcen aus, über die Sie verfügen (z. B. ein Automation-Konto). Wählen Sie dann Anwenden aus.

  5. Wählen Sie den Arbeitsbereich, die Lösungen, die gespeicherten Suchen, die Warnungen, die Abfragepakete und andere arbeitsbereichsbezogene Ressourcen aus, über die Sie verfügen (z. B. ein Automation-Konto). Wählen Sie dann auf der Symbolleiste Vorlage exportieren aus.

    Hinweis

    Microsoft Sentinel kann nicht mit einer Vorlage exportiert werden. Sie müssen für Sentinel das Onboarding in einen Zielarbeitsbereich durchführen.

  6. Wählen Sie auf der Symbolleiste Bereitstellen aus, um die Vorlage für die Bereitstellung zu bearbeiten und vorzubereiten.

  7. Wählen Sie auf der Symbolleiste Parameter bearbeiten aus, um die Datei parameters.json im Online-Editor zu öffnen.

  8. Ändern Sie die value-Eigenschaft unter parameters, um die Parameter zu bearbeiten. Hier sehen Sie ein Beispiel:

    {
      "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
      "contentVersion": "1.0.0.0",
      "parameters": {
        "workspaces_name": {
          "value": "my-workspace-name"
        },
        "workspaceResourceId": {
          "value": "/subscriptions/resource-id/resourceGroups/resource-group-name/providers/Microsoft.OperationalInsights/workspaces/workspace-name"
        },
        "alertName": {
          "value": "my-alert-name"
        },
        "querypacks_name": {
          "value": "my-default-query-pack-name"
        }
      }
    }
    
  9. Wählen Sie im Editor die Option Speichern aus.

Bearbeiten der Vorlage

  1. Wählen Sie auf der Symbolleiste Vorlage bearbeiten aus, um die Datei template.json im Online-Editor zu öffnen.

  2. Zum Bearbeiten der Zielregion, in der der Log Analytics-Arbeitsbereich bereitgestellt werden soll, ändern Sie im Online-Editor unter resources die Eigenschaft location.

    Informationen zum Abrufen von Regionsstandortcodes finden Sie unter Datenresidenz in Azure. Der Code für eine Region ist der Regionsname ohne Leerzeichen. Beispiel: USA, Mitte sollte centralus sein.

  3. Entfernen Sie Ressourcen verknüpfter Dienste (microsoft.operationalinsights/workspaces/linkedservices), sofern diese in der Vorlage vorhanden sind. Sie sollten diese Ressourcen im Zielarbeitsbereich manuell neu konfigurieren.

    Die folgende Beispielvorlage enthält den Arbeitsbereich, die gespeicherte Suche, Lösungen, Warnungen und das Abfragepaket:

    {
      "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
      "contentVersion": "1.0.0.0",
      "parameters": {
        "workspaces_name": {
          "type": "String"
        },
        "workspaceResourceId": {
          "type": "String"
        },
        "alertName": {
          "type": "String"
        },
        "querypacks_name": {
          "type": "String"
        }
      },
      "variables": {},
      "resources": [
        {
          "type": "microsoft.operationalinsights/workspaces",
          "apiVersion": "2020-08-01",
          "name": "[parameters('workspaces_name')]",
          "location": "france central",
          "properties": {
            "sku": {
              "name": "pergb2018"
            },
            "retentionInDays": 30,
            "features": {
              "enableLogAccessUsingOnlyResourcePermissions": true
            },
            "workspaceCapping": {
              "dailyQuotaGb": -1
            },
            "publicNetworkAccessForIngestion": "Enabled",
            "publicNetworkAccessForQuery": "Enabled"
          }
        },
        {
          "type": "Microsoft.OperationalInsights/workspaces/savedSearches",
          "apiVersion": "2020-08-01",
          "name": "[concat(parameters('workspaces_name'), '/2b5112ec-5ad0-5eda-80e9-ad98b51d4aba')]",
          "dependsOn": [
            "[resourceId('Microsoft.OperationalInsights/workspaces', parameters('workspaces_name'))]"
          ],
          "properties": {
            "category": "VM Monitoring",
            "displayName": "List all versions of curl in use",
            "query": "VMProcess\n| where ExecutableName == \"curl\"\n| distinct ProductVersion",
            "tags": [],
            "version": 2
          }
        },
        {
          "type": "Microsoft.OperationsManagement/solutions",
          "apiVersion": "2015-11-01-preview",
          "name": "[concat('Updates(', parameters('workspaces_name'))]",
          "location": "france central",
          "dependsOn": [
            "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name'))]"
          ],
          "plan": {
            "name": "[concat('Updates(', parameters('workspaces_name'))]",
            "promotionCode": "",
            "product": "OMSGallery/Updates",
            "publisher": "Microsoft"
          },
          "properties": {
            "workspaceResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name'))]",
            "containedResources": [
              "[concat(resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name')), '/views/Updates(', parameters('workspaces_name'), ')')]"
            ]
          }
        }
        {
          "type": "Microsoft.OperationsManagement/solutions",
          "apiVersion": "2015-11-01-preview",
          "name": "[concat('VMInsights(', parameters('workspaces_name'))]",
          "location": "france central",
          "plan": {
            "name": "[concat('VMInsights(', parameters('workspaces_name'))]",
            "promotionCode": "",
            "product": "OMSGallery/VMInsights",
            "publisher": "Microsoft"
          },
          "properties": {
            "workspaceResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name'))]",
            "containedResources": [
              "[concat(resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name')), '/views/VMInsights(', parameters('workspaces_name'), ')')]"
            ]
          }
        },
        {
          "type": "microsoft.insights/scheduledqueryrules",
          "apiVersion": "2021-08-01",
          "name": "[parameters('alertName')]",
          "location": "france central",
          "properties": {
            "displayName": "[parameters('alertName')]",
            "severity": 3,
            "enabled": true,
            "evaluationFrequency": "PT5M",
            "scopes": [
              "[parameters('workspaceResourceId')]"
            ],
            "windowSize": "PT15M",
            "criteria": {
              "allOf": [
                {
                  "query": "Heartbeat | where computer == 'my computer name'",
                  "timeAggregation": "Count",
                  "operator": "LessThan",
                  "threshold": 14,
                  "failingPeriods": {
                    "numberOfEvaluationPeriods": 1,
                    "minFailingPeriodsToAlert": 1
                  }
                }
              ]
            },
            "autoMitigate": true,
            "actions": {}
          }
        },
        {
          "type": "Microsoft.OperationalInsights/querypacks",
          "apiVersion": "2019-09-01-preview",
          "name": "[parameters('querypacks_name')]",
          "location": "francecentral",
          "properties": {}
        },
        {
          "type": "Microsoft.OperationalInsights/querypacks/queries",
          "apiVersion": "2019-09-01-preview",
          "name": "[concat(parameters('querypacks_name'), '/00000000-0000-0000-0000-000000000000')]",
          "dependsOn": [
            "[resourceId('Microsoft.OperationalInsights/querypacks', parameters('querypacks_name'))]"
          ],
          "properties": {
            "displayName": "my-query-name",
            "body": "my-query-text",
            "related": {
              "categories": [],
              "resourceTypes": [
                  "microsoft.operationalinsights/workspaces"
              ]
            },
            "tags": {
              "labels": []
            }
          }
        }
      ]
    }
    
  4. Wählen Sie im Online-Editor die Option Speichern aus.

Erneute Bereitstellung

  1. Wählen Sie Abonnement aus, um das Abonnement auszuwählen, in dem der Zielarbeitsbereich bereitgestellt wird.

  2. Wählen Sie Ressourcengruppe aus, um die Ressourcengruppe auszuwählen, in der der Zielarbeitsbereich bereitgestellt wird. Sie können Neu erstellen auswählen, um eine neue Ressourcengruppe für den Zielarbeitsbereich zu erstellen.

  3. Vergewissern Sie sich, dass Region auf den Zielstandort festgelegt ist, an dem die Netzwerksicherheitsgruppe bereitgestellt werden soll.

  4. Wählen Sie die Schaltfläche Überprüfen + erstellen aus, um Ihre Vorlage zu überprüfen.

  5. Wählen Sie Erstellen aus, um den Arbeitsbereich und die ausgewählte Ressource in der Zielregion bereitzustellen.

  6. Ihr Arbeitsbereich, einschließlich ausgewählter Ressourcen, wird jetzt in der Zielregion bereitgestellt. Sie können die verbleibende Konfiguration im Arbeitsbereich vervollständigen, um die Funktionalität mit dem ursprünglichen Arbeitsbereich zu koppeln.

    • Verbinden von Agents: Verwenden Sie eine der verfügbaren Optionen (einschließlich Datensammlungsregeln), um die benötigten Agents für VMs und VM-Skalierungsgruppen zu konfigurieren und den neuen Zielarbeitsbereich als Ziel anzugeben.
    • Diagnoseeinstellungen: Aktualisieren Sie die Diagnoseeinstellungen in identifizierten Ressourcen, wobei der Zielarbeitsbereich das Ziel darstellt.
    • Installieren von Lösungen: Einige Lösungen, z. B. Microsoft Sentinel, erfordern ein bestimmtes Onboardingverfahren und sind nicht in der Vorlage enthalten. Führen Sie für diese Lösungen ein separates Onboarding im neuen Arbeitsbereich durch.
    • Konfigurieren der Datensammler-API: Konfigurieren Sie Datensammler-API-Instanzen, um Daten an den Zielarbeitsbereich zu senden.
    • Konfigurieren von Warnungsregeln: Wenn keine Warnungen in die Vorlage exportiert wurden, müssen Sie diese im Zielarbeitsbereich manuell konfigurieren.
  7. Stellen Sie sicher, dass neue Daten nicht im ursprünglichen Arbeitsbereich erfasst werden. Führen Sie die folgende Abfrage in Ihrem ursprünglichen Arbeitsbereich aus, und stellen Sie fest, dass nach der Migration keine Erfassung erfolgt:

    search *
    | where TimeGenerated > ago(12h)
    | summarize max(TimeGenerated) by Type
    

Nachdem die Datenquellen mit dem Zielarbeitsbereich verbunden sind, werden die erfassten Daten im Zielarbeitsbereich gespeichert. Ältere Daten verbleiben im ursprünglichen Arbeitsbereich und unterliegen der Aufbewahrungsrichtlinie. Sie können eine arbeitsbereichsübergreifende Abfrage ausführen. Wenn beiden Arbeitsbereichen derselbe Name zugewiesen wurde, verwenden Sie einen qualifizierten Namen (subscriptionName/resourceGroup/componentName) in der Arbeitsbereichsreferenz.

Hier ist ein Beispiel für eine Abfrage in zwei Arbeitsbereichen mit demselben Namen:

union 
  workspace('subscription-name1/<resource-group-name1/<original-workspace-name>')Update, 
  workspace('subscription-name2/<resource-group-name2/<target-workspace-name>').Update, 
| where TimeGenerated >= ago(1h)
| where UpdateState == "Needed"
| summarize dcount(Computer) by Classification

Verwerfen

Wenn Sie den Quellarbeitsbereich verwerfen möchten, löschen Sie die exportierten Ressourcen oder die Ressourcengruppe, die diese Ressourcen enthält:

  1. Wählen Sie die Zielressourcengruppe im Azure-Portal aus.

  2. Wechseln Sie zur Übersichtsseite:

    • Wenn Sie eine neue Ressourcengruppe für diese Bereitstellung erstellt haben, wählen Sie auf der Symbolleiste Ressourcengruppe löschen aus, um die Ressourcengruppe zu löschen.
    • Wenn die Vorlage für eine bestehende Ressourcengruppe bereitgestellt wurde, wählen Sie die Ressourcen aus, die mit der Vorlage bereitgestellt wurden, und wählen Sie dann auf der Symbolleiste Löschen aus, um die ausgewählten Ressourcen zu löschen.

Bereinigung

Während neue Daten in Ihren neuen Arbeitsbereich erfasst werden, stehen ältere Daten im ursprünglichen Arbeitsbereich weiterhin für Abfragen zur Verfügung und unterliegen der im Arbeitsbereich definierten Aufbewahrungsrichtlinie. Es wird empfohlen, den ursprünglichen Arbeitsbereich so lange beizubehalten, wie Sie ältere Daten zur arbeitsbereichübergreifenden Abfrage benötigen.

Wenn Sie den Zugriff auf ältere Daten im ursprünglichen Arbeitsbereich nicht mehr benötigen:

  1. Wählen Sie die ursprüngliche Ressourcengruppe im Azure-Portal aus.
  2. Wählen Sie alle zu entfernenden Ressourcen aus, und klicken Sie dann auf der Symbolleiste auf Löschen.