將 Log Analytics 工作區移至不同的訂用帳戶或資源群組

在本文中，您將了解將 Log Analytics 工作區移至相同區域中的其他資源群組或訂用帳戶的步驟。 若要跨區域移動工作區，請參閱將 Log Analytics 工作區移至另一個區域。

提示

若需深入了解如何透過 Azure 入口網站、PowerShell、Azure CLI 或 REST API 移動 Azure 資源，請參閱將資源移至新的資源群組或訂用帳戶。

必要條件

• 您要移動 Log Analytics 工作區 的訂用帳戶或資源群組必須位於與要移動 Log Analytics 工作區相同的區域。
• 移動作業要求服務不可連結至工作區。 在移動之前，先刪除依賴連結服務的解決方案，包含 Azure 自動化帳戶。 必須先移除這些解決方案，您才能將自動化帳戶取消連結。 解決方案的資料收集將停止，其資料表將自 UI 移除，但在資料表定義的保留期間內，資料會保留在工作區中。 在移動之後新增回解決方案時，將還原擷取且資料表會顯示資料。 連結服務包括：
  • 更新管理
  • 變更追蹤
  • 於下班時間開始/停止 VM
  • 適用於雲端的 Microsoft Defender
• 連線的 Log Analytics 代理程式和Azure 監視器代理程式在移動後仍會連線至工作區，不會中斷擷取。
• 移動之後應重新建立警示，因為警示的權限以工作區資源識別碼為基礎並會在移動時變更。 在 2019 年 6 月 1 日之後建立的警示，或已從舊版 Log Analytics 警示 API 升級至 scheduledQueryRules API 的工作區中的警示，可以匯出至範本並在移動後進行部署。 您可以檢查 scheduledQueryRules API 是否用於工作區中的警示。 或者，您可以在目標工作區中手動設定警示。
• 針對指向工作區的 Azure 或外部資源，工作區移動之後更新資源路徑。 例如：Azure 監視器警示規則、第三方應用程式、自訂指令碼等。

需要的權限

動作	需要的權限
驗證 Microsoft Entra 租用戶。	例如，Log Analytics 讀者內建角色提供的 Microsoft.AzureActiveDirectory/b2cDirectories/read 權限。
刪除解決方案。	例如，Log Analytics 參與者內建角色提供的 Microsoft.OperationsManagement/solutions/delete 權限。
移除啟動/停止 VM 解決方案的警示規則。	例如，監視參與者的內建角色提供的 microsoft.insights/scheduledqueryrules/delete 權限。
取消連結自動化帳戶	例如，Log Analytics 參與者內建角色所提供連結 Log Analytics 工作區的 Microsoft.OperationalInsights/workspaces/linkedServices/delete 權限。
移動 Log Analytics 工作區。	例如，Log Analytics 參與者內建角色所提供 Log Analytics 工作區的 Microsoft.OperationalInsights/workspaces/delete 和 Microsoft.OperationalInsights/workspaces/write 權限。

考量事項和限制

在移動 Log Analytics 工作區之前，請先考量下列幾點：

• 這可能需要數小時才能完成 Azure Resource Manager。 擷取方案在作業時間可能無法回應。
• 同時也將移動在工作區中安裝的受控解決方案。
• 受控解決方案是工作區的物件，無法獨立移動。
• 工作區金鑰 (主要和次要) 會透過工作區移動作業重新產生。 如果您在 Azure Key Vault 中保存工作區金鑰的複本，請使用在工作區移動之後產生的新金鑰加以更新。

重要

Microsoft Sentinel 客戶

• 目前，在工作區上部署 Microsoft Sentinel 之後，不支援將工作區移至另一個資源群組或訂用帳戶。
• 如果您已移動工作區，請停用 Analytics 下的所有作用中規則，然後在五分鐘後重新啟用。 此解決方案在大部分情況下有效，即使不受支援且您須自行承擔風險。

驗證 Microsoft Entra 租用戶

工作區資源和目的地訂用帳戶必須存在於相同的 Microsoft 租用戶。 使用 Azure PowerShell，驗證這兩個訂用帳戶的 Entra 租用戶識別碼相同。

入口網站

針對來源和目的地訂用帳戶，尋找您的 Microsoft Entra 租用戶。

REST API

若要擷取來源和目的地訂用帳戶的租用戶識別碼，請呼叫訂用帳戶 - 取得 API：

GET https://management.azure.com/subscriptions/{subscriptionId}?api-version=2020-01-01

CLI

執行 az account tenant 命令：

az account tenant list --subscription <your-source-subscription>
az account tenant list --subscription <your-destination-subscription>

PowerShell

執行 Get-AzSubscription 命令：

(Get-AzSubscription -SubscriptionName <your-source-subscription>).TenantId
(Get-AzSubscription -SubscriptionName <your-destination-subscription>).TenantId

刪除解決方案

入口網站

1. 開啟安裝解決方案所在資源群組的功能表。
2. 選取要移除的解決方案。
3. 選取 [刪除資源]，然後選取 [刪除] 以確認要移除資源。

REST API

若要刪除解決方案，請呼叫資源 - 刪除 API：

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{parentResourcePath}/{resourceType}/{resourceName}?api-version=2021-04-01

CLI

若要移除解決方案，請執行 az resource delete 命令。 您必須指定您要移除解決方案的資源名稱、資源類型和資源群組：

az resource delete --name <resource-name> --resource-type <resource-type> --resource-group <resource-group-name>

PowerShell

若要移除解決方案，請使用 Remove-AzResource Cmdlet，如下列範例所示：

Remove-AzResource -ResourceType 'Microsoft.OperationsManagement/solutions' -ResourceName "ChangeTracking(<workspace-name>)" -ResourceGroupName <resource-group-name>
Remove-AzResource -ResourceType 'Microsoft.OperationsManagement/solutions' -ResourceName "Updates(<workspace-name>)" -ResourceGroupName <resource-group-name>
Remove-AzResource -ResourceType 'Microsoft.OperationsManagement/solutions' -ResourceName "Start-Stop-VM(<workspace-name>)" -ResourceGroupName <resource-group-name>

移除啟動/停止 VM 解決方案的警示規則

若要移除啟動/停止 VM 解決方案，您也必須移除解決方案所建立的警示規則。

入口網站

1. 開啟 [監視] 功能表，然後選取 [警示]。

2. 選取 [管理警示規則]。

3. 選取下列三個警示規則，然後選取 [刪除]：

   • AutoStop_VM_Child
   • ScheduledStartStop_Parent
   • SequencedStartStop_Parent

   

REST API

呼叫排程查詢規則 - 刪除 API 以刪除下列警示規則：

• AutoStop_VM_Child
• ScheduledStartStop_Parent
• SequencedStartStop_Parent

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/scheduledQueryRules/{ruleName}?api-version=2023-03-15-preview

CLI

執行 az monitor scheduled-query delete 命令以刪除下列警示規則：

• AutoStop_VM_Child
• ScheduledStartStop_Parent
• SequencedStartStop_Parent

az monitor scheduled-query delete [--ids]
                                  [--name]
                                  [--resource-group]
                                  [--subscription]
                                  [--yes]

PowerShell

執行 Remove-AzScheduledQueryRule 命令以刪除下列警示規則：

• AutoStop_VM_Child
• ScheduledStartStop_Parent
• SequencedStartStop_Parent

取消連結自動化帳戶

入口網站

請參閱刪除連結至工作區的獨立自動化帳戶。

REST API

呼叫連結服務 - 刪除 API。

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/linkedServices/{linkedServiceName}?api-version=2020-08-01

CLI

不支援。

PowerShell

不支援。

移動您的工作區

入口網站

1. 開啟 [Log Analytics 工作區] 功能表，然後選取您的工作區。

2. 在 [概觀] 頁面上，選取 [資源群組] 或 [訂用帳戶名稱] 旁的 [變更]。

3. 新的頁面隨即開啟，並列出與工作區相關的資源。 選取要移至與工作區相同的目的地訂用帳戶和資源群組的資源。

4. 選取目的地訂用帳戶和資源群組。 如果您將工作區移至相同訂用帳戶中的其他資源群組，則不會看到 [訂用帳戶] 選項。

5. 選取 [確定]，以移動工作區和選取的資源。

   

REST API

若要移除工作區，請呼叫資源 - 移動資源 API。

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{sourceResourceGroupName}/moveResources?api-version=2021-04-01

CLI

若要移動工作區，請執行 az resource move 命令：

az resource move --destination-group
                 --ids
                 [--destination-subscription-id]

PowerShell

若要移動工作區，請執行 Move-AzResource Cmdlet，如下列範例所示：

Move-AzResource -ResourceId "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup01/providers/Microsoft.OperationalInsights/workspaces/MyWorkspace" -DestinationSubscriptionId "00000000-0000-0000-0000-000000000000" -DestinationResourceGroupName "MyResourceGroup02"

重要

在移動作業之後，應重新設定已移除的解決方案和自動化帳戶連結，讓工作區回到先前的狀態。

下一步

如需支援移動作業的資源清單，請參閱資源的移動作業支援。