Mover um workspace do Log Analytics para uma assinatura ou um grupo de recursos diferente

Artigo
11/24/2023

Neste artigo, você aprenderá as etapas para mover um workspace do Log Analytics para outro grupo de recursos ou assinatura na mesma região. Para mover um espaço de trabalho entre regiões, confira Mover um workspace do Log Analytics para outra região.

Dica

Para saber mais sobre como mover recursos do Azure por meio do portal do Azure, do PowerShell, da CLI do Azure ou da API REST, consulte Mover recursos para um novo grupo de recursos ou assinatura.

Pré-requisitos

A assinatura ou o grupo de recursos para o qual deseja mover o seu workspace do Log Analytics deve estar localizado na mesma região que o workpace do Log Analytics que está sendo movido.
A operação de mudança exige que nenhum serviço possa ser vinculado ao workspace. Antes da mudança, exclua as soluções que dependem dos serviços vinculados, incluindo uma conta de Automação do Azure. Essas soluções precisam ser removidas antes que você possa desvincular a conta de Automação. A coleta de dados para as soluções será interrompida e as respectivas tabelas serão removidas da interface do usuário, mas os dados permanecerão no workspace até o final do período de retenção definido para a tabela. Quando você adiciona soluções após a migração, a ingestão é restaurada e as tabelas ficam visíveis com os dados. Os serviços vinculados incluem:
- Gerenciamento de atualizações
- controle de alterações
- Iniciar/Parar VMs durante os horários inativos
- Microsoft Defender para Nuvem
Os agentes do Log Analytics e agente do Azure Monitor conectados permanecem conectados ao workspace após a mudança, sem interrupção na ingestão.
Os alertas devem ser recriados após a migração, já que as permissões de alertas são baseadas na ID do recurso do workspace que é alterada com a migração. Os alertas criados após 1º de junho de 2019 ou em workspaces cujas APIs foram atualizadas da API de Alerta herdada do Log Analytics para a API scheduledQueryRules podem ser exportados em modelos e implantados após a migração. Você pode verificar se a API scheduledQueryRules é usada para alertas em seu workspace. Como alternativa, você pode configurar os alertas manualmente no workspace de destino.
Atualize os caminhos do recurso após um workspace ser migrado para o Azure ou para recursos externos que apontem para o workspace. Por exemplo: regras de alerta do Azure Monitor, aplicativos de terceiros, scripts personalizados etc.

Permissões necessárias

Ação	Permissões necessárias
Verificar o locatário do Microsoft Entra.	`Microsoft.AzureActiveDirectory/b2cDirectories/read` permissões, conforme fornecido pela função interna Leitor do Log Analytics, por exemplo.
Excluir uma solução.	`Microsoft.OperationsManagement/solutions/delete` permissões na solução, conforme fornecido pela função interna Colaborador do Log Analytics, por exemplo.
Remover regras de alerta para a solução Iniciar/Parar VMs.	`microsoft.insights/scheduledqueryrules/delete` permissões, conforme fornecido pela função interna Colaborador de Monitoramento, por exemplo.
Desvincular a conta de Automação	Permissões `Microsoft.OperationalInsights/workspaces/linkedServices/delete` no workspace do Log Analytics conectado, conforme fornecido pela função interna Colaborador do Log Analytics, por exemplo.
Mover um workspace do Log Analytics.	Permissões `Microsoft.OperationalInsights/workspaces/delete` e `Microsoft.OperationalInsights/workspaces/write` no workspace do Log Analytics, conforme fornecido pela função interna Colaborador do Log Analytics, por exemplo.

Considerações e limitações

Considere estes pontos antes de mover um workspace do Log Analytics:

O Azure Resource Manager pode precisar de algumas horas para concluir esse processo. As soluções podem não responder durante a operação.
As soluções gerenciadas que estão instaladas no workspace também serão migradas.
As soluções gerenciadas são objetos do workspace e não podem ser migradas independentemente.
As chaves (primárias e secundárias) do workspace são regeneradas com a operação de mudança do workspace. Se você mantiver uma cópia das chaves do workspace no Azure Key Vault, atualize-as com as novas chaves geradas após a mudança do workspace.

Importante

Clientes do Microsoft Sentinel

Atualmente, depois que o Microsoft Sentinel é implantado em um workspace, não há suporte para migrar o workspace para outro grupo de recurso ou assinatura.
Se você já moveu o workspace, desabilite todas as regras ativas em Análise e habilite-as novamente após cinco minutos. Essa solução deve ser eficaz na maioria dos casos, embora não haja suporte para ela e ela traga riscos.

Verificar o locatário do Microsoft Entra

As assinaturas de workspaces de origem e destino precisam existir no mesmo locatário da Microsoft. Use o Azure PowerShell para verificar se ambas as assinaturas têm a mesma ID de locatário do Entra.

Localize o locatário do Microsoft Entra para as assinaturas de origem e destino.

Para obter a ID de Locatário para as assinaturas de origem e destino, chame Assinaturas- Obter a API:

GET https://management.azure.com/subscriptions/{subscriptionId}?api-version=2020-01-01

Execute o comando az account tenant:

az account tenant list --subscription <your-source-subscription>
az account tenant list --subscription <your-destination-subscription>

Execute o comando Get-AzSubscription:

(Get-AzSubscription -SubscriptionName <your-source-subscription>).TenantId
(Get-AzSubscription -SubscriptionName <your-destination-subscription>).TenantId

Excluir soluções

Abra o menu do grupo de recursos em que as soluções estão instaladas.
Selecione as soluções a remover.
Selecione Excluir Recursos e, a seguir, confirme os recursos que serão removidos selecionando Excluir.

Para excluir a solução, chame os Recursos - Excluir API:

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{parentResourcePath}/{resourceType}/{resourceName}?api-version=2021-04-01

Para remover as soluções, execute o comando az resource delete. Você precisa especificar o nome do recurso, o tipo de recurso e o grupo de recursos da solução que deseja Excluir:

az resource delete --name <resource-name> --resource-type <resource-type> --resource-group <resource-group-name>

Para remover soluções, utilize o cmdlet Remove-AzResource, conforme mostrado no exemplo a seguir:

Remove-AzResource -ResourceType 'Microsoft.OperationsManagement/solutions' -ResourceName "ChangeTracking(<workspace-name>)" -ResourceGroupName <resource-group-name>
Remove-AzResource -ResourceType 'Microsoft.OperationsManagement/solutions' -ResourceName "Updates(<workspace-name>)" -ResourceGroupName <resource-group-name>
Remove-AzResource -ResourceType 'Microsoft.OperationsManagement/solutions' -ResourceName "Start-Stop-VM(<workspace-name>)" -ResourceGroupName <resource-group-name>

Remover regras de alerta para a solução Iniciar/Parar VMs

Para remover a solução Iniciar/Parar VMs, você também precisa remover as regras de alerta criadas por ela.

Abra o menu Monitorar e selecione Alertas.
Selecione Gerenciar regras de alerta.
Selecione as seguintes três regras de alerta e selecione Excluir:
- AutoStop_VM_Child
- ScheduledStartStop_Parent
- SequencedStartStop_Parent

Exclua as seguintes regras de alerta chamando a API Scheduled Query Rules - Excluir:

AutoStop_VM_Child
ScheduledStartStop_Parent
SequencedStartStop_Parent

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/scheduledQueryRules/{ruleName}?api-version=2023-03-15-preview

Exclua as seguintes regras de alerta executando o comando az monitor scheduled-query delete:

AutoStop_VM_Child
ScheduledStartStop_Parent
SequencedStartStop_Parent

az monitor scheduled-query delete [--ids]
                                  [--name]
                                  [--resource-group]
                                  [--subscription]
                                  [--yes]

Desvincular a conta de Automação

Confira Excluir uma conta de Automação autônoma vinculada ao espaço de trabalho.

Chame o Serviços Vinculados - Excluir API.

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/linkedServices/{linkedServiceName}?api-version=2020-08-01

Mover o workspace

Abra o menu Workspaces do Log Analytics e selecione seu workspace.
Na página de Visão geral, selecione alterar ao lado de Grupo de recursos ou Nome da assinatura.
Uma nova página é aberta com uma lista de recursos relacionados ao workspace. Selecione os recursos a serem movidos para a mesma assinatura de destino e grupo de recursos que o workspace.
Selecione uma Assinatura de destino e um Grupo de recursos. Se estiver movendo o workspace para outro grupo de recursos na mesma assinatura, você não verá a opção Assinatura.
Selecione OK para mover o workspace e os recursos selecionados.

Para mover seu espaço de trabalho, chame os Recursos - API Mover Recursos.

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{sourceResourceGroupName}/moveResources?api-version=2021-04-01

Para mover seu espaço de trabalho, execute o comando az resource move:

az resource move --destination-group
                 --ids
                 [--destination-subscription-id]

Para mover seu espaço de trabalho, execute o cmdlet Move-AzResource, conforme mostrado no exemplo a seguir:

Move-AzResource -ResourceId "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup01/providers/Microsoft.OperationalInsights/workspaces/MyWorkspace" -DestinationSubscriptionId "00000000-0000-0000-0000-000000000000" -DestinationResourceGroupName "MyResourceGroup02"