将 Log Analytics 工作区移到其他订阅或资源组

项目
11/22/2023

本文介绍将 Log Analytics 工作区移动到同一区域中的另一个资源组或订阅的步骤。若要跨区域移动工作区，请参阅将 Log Analytics 工作区移到另一个区域。

提示

若要详细了解如何通过 Azure 门户、PowerShell、Azure CLI 或 REST API 移动 Azure 资源，请参阅将资源移动到新的资源组或订阅。

先决条件

要从中移动 Log Analytics 工作区的订阅或资源组必须与要移动的 Log Analytics 工作区位于同一区域。
移动操作要求任何服务都不能链接到工作区。在移动之前，请删除依赖于链接服务的解决方案，包括 Azure 自动化帐户。在取消链接自动化帐户之前必须先删除这些解决方案。会停止为解决方案收集数据，并从 UI 中移除其表，不过在为表定义的保留期内，数据仍会保留在工作区中。当在移动之后将解决方案重新添加回来，还原的引入和表会与数据一起变为可见。链接服务包括：
- 更新管理
- Change tracking
- 在非工作时间启动/停止 VM
- Microsoft Defender for Cloud
已连接的 Log Analytics 代理和 Azure Monitor 代理在移动后仍与工作区保持连接，且引入不会中断。
移动之后应创新创建警报，因为警报的权限是基于工作区资源 ID，会随着移动而更改。
在为 Azure 或指向工作区的外部资源进行工作区移动后，更新资源路径。例如：Azure Monitor 警报规则、第三方应用、自定义脚本等。

所需的权限

操作	所需的权限
验证 Microsoft Entra 租户。	`Microsoft.AzureActiveDirectory/b2cDirectories/read` 权限，例如，Log Analytics 读者内置角色所提供的权限。
删除解决方案。	对解决方案具有 `Microsoft.OperationsManagement/solutions/delete` 权限，例如，Log Analytics 参与者内置角色所提供的权限。
删除“启动/停止 VM”解决方案的警报规则。	`microsoft.insights/scheduledqueryrules/delete` 权限，例如，监视参与者内置角色所提供的权限。
取消链接自动化帐户	对链接的 Log Analytics 工作区具有 `Microsoft.OperationalInsights/workspaces/linkedServices/delete` 权限，例如，Log Analytics 参与者内置角色所提供的权限。
移动 Log Analytics 工作区。	对 Log Analytics 工作区具有 `Microsoft.OperationalInsights/workspaces/delete` 和 `Microsoft.OperationalInsights/workspaces/write` 权限，例如，Log Analytics 参与者内置角色所提供的权限。

注意事项和限制

在移动 Log Analytics 工作区之前，请考虑以下几点：

Azure 资源管理器可能需要几个小时才能完成此操作。在操作期间，解决方案可能无响应。
工作区中安装的托管解决方案也将一起移动。
托管解决方案是工作区的对象，无法单独移动。
通过工作区移动操作重新生成工作区密钥（主密钥和辅助密钥）。如果在 Azure Key Vault 中保留工作区密钥的副本，请使用工作区移动后生成的新密钥对其进行更新。

重要

Microsoft Sentinel 客户

目前，在工作区中部署 Microsoft Sentinel 后，不支持将工作区移到其他资源组或订阅。
如果已移动工作区，请禁用“分析”下的所有活动规则，并在五分钟后重新启用这些规则。此解决方案在大多数情况下应该是有效的，但不支持这样做，风险由你自己承担。

验证 Microsoft Entra 租户

工作区源订阅与目标订阅必须在同一个 Microsoft 租户中。使用 Azure PowerShell 来验证这两个订阅是否具有相同的 Entra 租户 ID。

查找源订阅和目标订阅的 Microsoft Entra 租户。

若要获取源订阅和目标订阅的租户 ID，请调用订阅 - 获取 API：

GET https://management.chinacloudapi.cn/subscriptions/{subscriptionId}?api-version=2020-01-01

运行 az account tenant 命令：

az account tenant list --subscription <your-source-subscription>
az account tenant list --subscription <your-destination-subscription>

运行 Get-AzSubscription 命令：

(Get-AzSubscription -SubscriptionName <your-source-subscription>).TenantId
(Get-AzSubscription -SubscriptionName <your-destination-subscription>).TenantId

删除解决方案

打开其中已安装任何解决方案的资源组的菜单。
选择要删除的解决方案。
选择“删除资源”，然后选择“删除”确认删除资源。

若要删除解决方案，请调用资源 - 删除 API：

DELETE https://management.chinacloudapi.cn/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{parentResourcePath}/{resourceType}/{resourceName}?api-version=2021-04-01

若要删除解决方案，请运行 az resource delete 命令。需要指定要删除的解决方案的资源名称、资源类型和资源组：

az resource delete --name <resource-name> --resource-type <resource-type> --resource-group <resource-group-name>

若要删除解决方案，请按以下示例中所示使用 Remove-AzResource cmdlet：

Remove-AzResource -ResourceType 'Microsoft.OperationsManagement/solutions' -ResourceName "ChangeTracking(<workspace-name>)" -ResourceGroupName <resource-group-name>
Remove-AzResource -ResourceType 'Microsoft.OperationsManagement/solutions' -ResourceName "Updates(<workspace-name>)" -ResourceGroupName <resource-group-name>
Remove-AzResource -ResourceType 'Microsoft.OperationsManagement/solutions' -ResourceName "Start-Stop-VM(<workspace-name>)" -ResourceGroupName <resource-group-name>

删除“启动/停止 VM”解决方案的警报规则

若要删除“启动/停止 VM”解决方案，还需要删除该解决方案创建的警报规则。

打开“监视”菜单，然后选择“警报”。
选择“管理警报规则”。
选择以下三个警报规则，然后选择“删除”：
- AutoStop_VM_Child
- ScheduledStartStop_Parent
- SequencedStartStop_Parent

通过调用“计划的查询规则 - 删除 API”来删除以下警报规则：

AutoStop_VM_Child
ScheduledStartStop_Parent
SequencedStartStop_Parent

DELETE https://management.chinacloudapi.cn/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/scheduledQueryRules/{ruleName}?api-version=2023-03-15-preview

通过运行 az monitor scheduled-query delete 命令删除以下警报规则：

AutoStop_VM_Child
ScheduledStartStop_Parent
SequencedStartStop_Parent

az monitor scheduled-query delete [--ids]
                                  [--name]
                                  [--resource-group]
                                  [--subscription]
                                  [--yes]

取消链接自动化帐户

请参阅删除与工作区相链接的独立自动化帐户。

调用链接服务 - 删除 API。

DELETE https://management.chinacloudapi.cn/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/linkedServices/{linkedServiceName}?api-version=2020-08-01

移动工作区

打开“Log Analytics 工作区”菜单，然后选择你的工作区。
在“概述”页的“资源组”或“订阅名称”旁，选择“更改”。
此时会打开一个新页，其中显示了与该工作区相关的资源列表。选择要移到该工作区所在的同一目标订阅和资源组中的资源。
选择目标“订阅”和“资源组”。如果将工作区移到同一订阅中的另一个资源组，则看不到“订阅”选项。
选择“确定”以移动工作区和所选资源。

若要移动工作区，请调用资源 - 移动资源 API。

POST https://management.chinacloudapi.cn/subscriptions/{subscriptionId}/resourceGroups/{sourceResourceGroupName}/moveResources?api-version=2021-04-01

若要移动工作区，请运行 az resource move 命令：

az resource move --destination-group
                 --ids
                 [--destination-subscription-id]

若要移动工作区，请按以下示例中所示运行 Move-AzResource cmdlet：

Move-AzResource -ResourceId "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup01/providers/Microsoft.OperationalInsights/workspaces/MyWorkspace" -DestinationSubscriptionId "00000000-0000-0000-0000-000000000000" -DestinationResourceGroupName "MyResourceGroup02"

重要

移动操作完成后，应重新配置已删除的解决方案和自动化帐户链接，使工作区恢复以前的状态。

后续步骤

有关支持移动操作的资源列表，请参阅资源的移动操作支持。