Realocar o Azure Monitor - Workspace do Log Analytics

Há vários motivos pelos quais talvez você queira mover seus recursos existentes do Azure de uma região para outra. Talvez você queira:

• Aproveitar uma nova região do Azure.
• Implantar recursos ou serviços disponíveis apenas em regiões específicas.
• Atender aos requisitos internos de política e governança.
• Alinhar-se com fusões e aquisições da empresa
• Atender aos requisitos de planejamento de capacidade.

Um plano de realocação para o workspace do Log Analytics deve incluir a realocação de todos os recursos que registram dados com o Workspace do Log Analytics.

O workspace do Log Analytics não dá suporte nativo a migração de dados do espaço de trabalho de uma região para outra e dispositivos associados. Em vez disso, você deve criar um novo workspace do Log Analytics na região de destino e reconfigurar os dispositivos e as configurações no novo espaço de trabalho.

O diagrama abaixo ilustra o padrão de realocação de um workspace do Log Analytics. As linhas de fluxo vermelhas representam a reimplantação da instância de destino, juntamente com a movimentação de dados e a atualização de domínios e pontos de extremidade.

Relocação para suporte às zonas de disponibilidade

As zonas de disponibilidade do Azure são pelo menos três grupos de datacenters separados fisicamente em cada região do Azure. Os datacenters dentro de cada zona são equipados com energia, resfriamento e infraestrutura de rede independentes. Em caso de falha de uma zona local, as zonas de disponibilidade foram projetadas de modo que, se uma zona é afetada, os serviços regionais, a capacidade e a alta disponibilidade têm suporte nas duas zonas restantes.

As falhas podem variar de falhas de software e hardware a eventos como terremotos, inundações e incêndios. A tolerância a falhas é obtida devido à redundância e ao isolamento lógico dos serviços do Azure. Para obter informações detalhadas sobre as zonas de disponibilidade no Azure, confira Regiões e zonas de disponibilidade.

Os serviços habilitados para zonas de disponibilidade do Azure foram projetados para fornecer o nível ideal de resiliência e flexibilidade. Eles podem ser configurados de duas maneiras. Eles podem ter redundância de zona, com replicação automática entre zonas, ou podem ser zonais, com instâncias fixadas em uma zona específica. Você também pode combinar essas abordagens. Para obter mais informações sobre a arquitetura zonal versus com redundância de zona, confira Recomendações para usar zonas e regiões de disponibilidade.

Se você quiser realocar seu workspace do Log Analytics para uma região que dê suporte a zonas de disponibilidade:

• Leia Linha de base de migração para zona de disponibilidade do Azure para avaliar a prontidão da zona de disponibilidade de sua carga de trabalho ou aplicativo.
• Siga as diretrizes em Migrar o Log Analytics para o suporte à zona de disponibilidade.

Pré-requisitos

• Para exportar a configuração do workspace para um modelo que pode ser implantado em outra região, você precisa da função de Colaborador do Log Analytics ou Colaborador de Monitoramento ou superior.

• Identifique todos os recursos associados atualmente com o seu workspace, incluindo:

  • Agentes conectados: insira Logs em seu workspace e consulte a tabela pulsação para listar os agentes conectados.

    Heartbeat
    | summarize by Computer, Category, OSType, _ResourceId
    

  • Configurações de diagnóstico: os recursos podem enviar logs para Diagnóstico do Azure ou tabelas dedicadas em seu workspace. Insira Logs em seu workspace e execute esta consulta para recursos que enviam dados para a tabela AzureDiagnostics:

    AzureDiagnostics
    | where TimeGenerated > ago(12h)
    | summarize by  ResourceProvider , ResourceType, Resource
    | sort by ResourceProvider, ResourceType
    

    Execute esta consulta para recursos que enviam dados para tabelas dedicadas:

    search *
    | where TimeGenerated > ago(12h)
    | where isnotnull(_ResourceId)
    | extend ResourceProvider = split(_ResourceId, '/')[6]
    | where ResourceProvider !in ('microsoft.compute', 'microsoft.security')
    | extend ResourceType = split(_ResourceId, '/')[7]
    | extend Resource = split(_ResourceId, '/')[8]
    | summarize by tostring(ResourceProvider) , tostring(ResourceType), tostring(Resource)
    | sort by ResourceProvider, ResourceType
    

  • Soluções instaladas: selecione Soluções herdadas no painel de navegação do workspace para obter uma lista das soluções instaladas.

  • API do coletor de dados: os dados que chegam por meio de uma API do Coletor de Dados são armazenados em tabelas de log customizadas. Para obter uma lista de tabelas de log personalizadas, selecione Logs no painel de navegação do workspace e, em seguida, selecione Log personalizado no painel de esquema.

  • Serviços vinculados: os workspaces podem ter serviços vinculados a recursos dependentes, como uma conta de Automação do Azure, uma conta de armazenamento ou um cluster dedicado. Remova os serviços vinculados do workspace. Reconfigure-os manualmente no workspace de destino.

  • Alertas: para listar alertas, selecione Alertas no painel de navegação do workspace e, em seguida, selecione Gerenciar regras de alerta na barra de ferramentas. Os alertas em workspaces criados após 1º de junho de 2019 ou em workspaces que foram atualizados da API de Alerta do Log Analytics para a API scheduledQueryRules podem ser incluídos no modelo.

    Você pode verificar se a API scheduledQueryRules é usada para alertas em seu workspace. Como alternativa, você pode configurar os alertas manualmente no workspace de destino.

  • Pacotes de consulta: um workspace pode ser associado a vários pacotes de consulta. Para identificar os pacotes de consulta no seu workspace, selecione Logs no painel de navegação do workspace, selecione consultas no painel esquerdo e, em seguida, selecione as reticências à direita da caixa de pesquisa. Uma caixa de diálogo com os pacotes de consulta selecionados é aberta à direita. Se os pacotes de consulta estão no mesmo grupo de recursos que o workspace que você está movendo, você pode incluí-lo nessa migração.

• Verifique se a assinatura do Azure permite criar workspaces do Log Analytics na região de destino.

Tempo de inatividade

Para entender os possíveis tempos de inatividade envolvidos, confira Cloud Adoption Framework para o Azure: selecione um método de relocalização.

Preparar-se

Os procedimentos a seguir mostram como preparar os espaço de trabalho e os recursos para a mudança usando um modelo do Resource Manager.

1. Entre com sua conta no portal do Azure e selecione Grupos de Recursos.

2. Localize o grupo de recursos que contém o workspace e selecione-o.

3. Para visualizar um recurso de alerta, marque a caixa de seleção Mostrar tipos ocultos.

4. Selecione o filtro Tipo. Selecione workspace do Log Analytics, Solução, SavedSearches, microsoft.insights/scheduledqueryrules, defaultQueryPack e outros recursos relacionados ao workspace que você tem (como uma Conta de automação). Em seguida, selecione Aplicar.

5. Selecione o workspace, soluções, pesquisas salvas, alertas, pacotes de consulta e outros recursos relacionados ao workspace que você tem (como uma Conta de automação). Em seguida, selecione Exportar modelo na barra de ferramentas.

   Observação

   O Microsoft Sentinel não pode ser exportado com um modelo. Você precisa integrar o Sentinel a um workspace de destino.

6. Selecione Implantar na barra de ferramentas para editar e preparar o modelo para implantação.

7. Selecione Editar parâmetros na barra de ferramentas para abrir o arquivo parameters.json no editor online.

8. Para editar os parâmetros, altere a propriedade value em parameters. Aqui está um exemplo:

   {
     "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
     "contentVersion": "1.0.0.0",
     "parameters": {
       "workspaces_name": {
         "value": "my-workspace-name"
       },
       "workspaceResourceId": {
         "value": "/subscriptions/resource-id/resourceGroups/resource-group-name/providers/Microsoft.OperationalInsights/workspaces/workspace-name"
       },
       "alertName": {
         "value": "my-alert-name"
       },
       "querypacks_name": {
         "value": "my-default-query-pack-name"
       }
     }
   }
   

9. Selecione Salvar no editor.

Editar o modelo

1. Selecione Editar modelo na barra de ferramentas para abrir o arquivo template.json no editor online.

2. Para editar a região de destino na qual o workspace do Log Analytics será implantado, altere a propriedade location em resources no editor online.

   Para obter códigos de localização de região, confira Residência de dados no Azure. O código de uma região é o nome da região sem nenhum espaço. Por exemplo, Centro dos EUA deve ser centralus.

3. Remova os recursos de serviços vinculados (microsoft.operationalinsights/workspaces/linkedservices) se eles estiverem presentes no modelo. Você deve reconfigurar esses recursos manualmente no workspace de destino.

   O exemplo de modelo a seguir inclui o workspace, pesquisa salva, soluções, alertas e pacote de consulta:

   {
     "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
     "contentVersion": "1.0.0.0",
     "parameters": {
       "workspaces_name": {
         "type": "String"
       },
       "workspaceResourceId": {
         "type": "String"
       },
       "alertName": {
         "type": "String"
       },
       "querypacks_name": {
         "type": "String"
       }
     },
     "variables": {},
     "resources": [
       {
         "type": "microsoft.operationalinsights/workspaces",
         "apiVersion": "2020-08-01",
         "name": "[parameters('workspaces_name')]",
         "location": "france central",
         "properties": {
           "sku": {
             "name": "pergb2018"
           },
           "retentionInDays": 30,
           "features": {
             "enableLogAccessUsingOnlyResourcePermissions": true
           },
           "workspaceCapping": {
             "dailyQuotaGb": -1
           },
           "publicNetworkAccessForIngestion": "Enabled",
           "publicNetworkAccessForQuery": "Enabled"
         }
       },
       {
         "type": "Microsoft.OperationalInsights/workspaces/savedSearches",
         "apiVersion": "2020-08-01",
         "name": "[concat(parameters('workspaces_name'), '/2b5112ec-5ad0-5eda-80e9-ad98b51d4aba')]",
         "dependsOn": [
           "[resourceId('Microsoft.OperationalInsights/workspaces', parameters('workspaces_name'))]"
         ],
         "properties": {
           "category": "VM Monitoring",
           "displayName": "List all versions of curl in use",
           "query": "VMProcess\n| where ExecutableName == \"curl\"\n| distinct ProductVersion",
           "tags": [],
           "version": 2
         }
       },
       {
         "type": "Microsoft.OperationsManagement/solutions",
         "apiVersion": "2015-11-01-preview",
         "name": "[concat('Updates(', parameters('workspaces_name'))]",
         "location": "france central",
         "dependsOn": [
           "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name'))]"
         ],
         "plan": {
           "name": "[concat('Updates(', parameters('workspaces_name'))]",
           "promotionCode": "",
           "product": "OMSGallery/Updates",
           "publisher": "Microsoft"
         },
         "properties": {
           "workspaceResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name'))]",
           "containedResources": [
             "[concat(resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name')), '/views/Updates(', parameters('workspaces_name'), ')')]"
           ]
         }
       }
       {
         "type": "Microsoft.OperationsManagement/solutions",
         "apiVersion": "2015-11-01-preview",
         "name": "[concat('VMInsights(', parameters('workspaces_name'))]",
         "location": "france central",
         "plan": {
           "name": "[concat('VMInsights(', parameters('workspaces_name'))]",
           "promotionCode": "",
           "product": "OMSGallery/VMInsights",
           "publisher": "Microsoft"
         },
         "properties": {
           "workspaceResourceId": "[resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name'))]",
           "containedResources": [
             "[concat(resourceId('microsoft.operationalinsights/workspaces', parameters('workspaces_name')), '/views/VMInsights(', parameters('workspaces_name'), ')')]"
           ]
         }
       },
       {
         "type": "microsoft.insights/scheduledqueryrules",
         "apiVersion": "2021-08-01",
         "name": "[parameters('alertName')]",
         "location": "france central",
         "properties": {
           "displayName": "[parameters('alertName')]",
           "severity": 3,
           "enabled": true,
           "evaluationFrequency": "PT5M",
           "scopes": [
             "[parameters('workspaceResourceId')]"
           ],
           "windowSize": "PT15M",
           "criteria": {
             "allOf": [
               {
                 "query": "Heartbeat | where computer == 'my computer name'",
                 "timeAggregation": "Count",
                 "operator": "LessThan",
                 "threshold": 14,
                 "failingPeriods": {
                   "numberOfEvaluationPeriods": 1,
                   "minFailingPeriodsToAlert": 1
                 }
               }
             ]
           },
           "autoMitigate": true,
           "actions": {}
         }
       },
       {
         "type": "Microsoft.OperationalInsights/querypacks",
         "apiVersion": "2019-09-01-preview",
         "name": "[parameters('querypacks_name')]",
         "location": "francecentral",
         "properties": {}
       },
       {
         "type": "Microsoft.OperationalInsights/querypacks/queries",
         "apiVersion": "2019-09-01-preview",
         "name": "[concat(parameters('querypacks_name'), '/00000000-0000-0000-0000-000000000000')]",
         "dependsOn": [
           "[resourceId('Microsoft.OperationalInsights/querypacks', parameters('querypacks_name'))]"
         ],
         "properties": {
           "displayName": "my-query-name",
           "body": "my-query-text",
           "related": {
             "categories": [],
             "resourceTypes": [
                 "microsoft.operationalinsights/workspaces"
             ]
           },
           "tags": {
             "labels": []
           }
         }
       }
     ]
   }
   

4. Selecione Salvar no editor online.

Reimplantar

1. Selecione Assinatura para escolher a assinatura na qual o workspace de destino será implantado.

2. Selecione Grupo de recursos para escolher o grupo de recursos no qual o workspace de destino será implantado. Você pode selecionar Criar a fim de criar um grupo de recursos para o workspace de destino.

3. Verifique se a Região está definida como o local de destino onde você deseja que o grupo de segurança de rede seja implantado.

4. Selecione o botão Revisar + criar para verificar seu modelo.

5. Selecione Criar para implantar o workspace e o recurso selecionado na região de destino.

6. Seu workspace, incluindo recursos selecionados, agora está implantado na região de destino. Você pode concluir a configuração restante no workspace para emparelhar a funcionalidade com o workspace original.

   • Configurar agentes: use qualquer uma das opções disponíveis, incluindo Regras de Coleta de Dados, para configurar os agentes necessários em máquinas virtuais e conjunto de dimensionamento de máquinas virtuais e para especificar o novo workspace de destino.
   • Configurações de diagnóstico: atualize as configurações de diagnóstico nos recursos identificados, com o workspace de destino.
   • Instalar soluções: algumas soluções, como Microsoft Sentinel exigem determinados procedimentos de integração e não foram incluídas no modelo. Você deve integrá-los separadamente ao novo workspace.
   • Configurar a API do Coletor de Dados: configurar instâncias da API do Coletor de Dados para enviar dados para o workspace de destino.
   • Configurar regras de alerta: quando os alertas não são exportados no modelo, você precisa configurá-los manualmente no workspace de destino.

7. Verifique se os novos dados não são ingeridos no workspace original. Execute a seguinte consulta em seu workspace original e observe que não há ingestão após a migração:

   search *
   | where TimeGenerated > ago(12h)
   | summarize max(TimeGenerated) by Type
   

Depois que as fontes de dados forem conectadas ao workspace de destino, os dados ingeridos são armazenados no workspace de destino. Os dados mais antigos permanecem no workspace original e estão sujeitos à política de retenção. Você pode realizar uma consulta entre workspaces. Se ambos workspaces tiverem o mesmo nome, use um nome qualificado (subscriptionName/resourceGroup/componentName) na referência de workspace.

Aqui está um exemplo de uma consulta em dois workspaces com o mesmo nome:

union 
  workspace('subscription-name1/<resource-group-name1/<original-workspace-name>')Update, 
  workspace('subscription-name2/<resource-group-name2/<target-workspace-name>').Update, 
| where TimeGenerated >= ago(1h)
| where UpdateState == "Needed"
| summarize dcount(Computer) by Classification

Descartar

Se você quiser descartar o workspace de origem, exclua os recursos exportados ou o grupo de recursos que contém esses recursos:

1. Selecione grupo de recursos de destino no portal do Azure.

2. Na página Visão geral:

   • Se você criou um novo grupo de recursos para essa implantação, selecione Excluir grupo de recursos na barra de ferramentas para excluir o grupo de recursos.
   • Se o modelo foi implantado em um grupo de recursos existente, selecione os recursos que foram implantados com o modelo e, em seguida, selecione Excluir na barra de ferramentas para excluir os recursos selecionados.

Limpeza

Durante a ingestão dos novos dados no novo espaço de trabalho, os dados mais antigos permanecem disponíveis para consulta e estão sujeitos à política de retenção definida no espaço de trabalho original. Recomendamos que você mantenha o workspace original pelo tempo que precisar de dados mais antigos para consultar entre workspaces.

Se você não precisar mais de acesso a dados mais antigos no workspace original:

1. Selecione o grupo de recursos original no portal do Azure.
2. Selecione todos os recursos que você deseja remover e, em seguida, selecione Excluir na barra de ferramentas.

Conteúdo relacionado

• Mover recursos para um novo grupo de recursos ou assinatura

• Mover as VMs do Azure para outra região