Создание выделенного кластера и управление ими в журналах мониторинга Azure

Выделенный кластер в Azure Monitor обеспечивает расширенные возможности безопасности и управления и оптимизацию затрат. Вы можете связать новые или существующие рабочие области с выделенным кластером без прерывания приема и выполнения запросов.

Расширенные возможности

Azure Журналы мониторинга — это полностью управляемая облачная служба, предназначенная для автоматической обработки ввода данных, индексирования и запросов в масштабах больших и изменяющихся рабочих нагрузок. Его базовый механизм использует встроенные механизмы, которые оптимизируют выполнение запросов, распределяют обработку и автоматически масштабировать ресурсы без вмешательства пользователя. Эта высокопроизводительная служба — это платформа, на которой основаны рабочие области Log Analytics по умолчанию или общие кластеры. При создании выделенного кластера разблокируются следующие дополнительные возможности:

Управляемые клиентом ключи — шифрование данных с помощью ключа, который вы предоставляете и управляете.
Lockbox — контроль доступа инженера поддержки Microsoft к вашим данным.
Double encryption — дополнительный уровень шифрования данных.
Оптимизация между рабочими областями. Запросы между рабочими областями выполняются быстрее, когда в одном кластере.
Оптимизация стоимости — объедините рабочие области в одном регионе с кластером и получите скидку на тарифный уровень за обработку данных из всех связанных рабочих областей.
Availability zones — обеспечьте защиту данных с помощью центров обработки данных в разных физических расположениях, которые оснащены независимым питанием, охлаждением и сетевым оборудованием. Зоны доступности Azure Монитор автоматически расширяют отказоустойчивость Azure Монитор. Azure Монитор включает выделенные кластеры для зон доступности (isAvailabilityZonesEnabled: true) по умолчанию во всех регионах, поддерживающих зоны доступности. Поддерживаемые зоны доступности включают поддержку выделенных кластеров и общих кластеров.
Прием из Azure Event Hubs — позволяет напрямую получать данные из Event Hubs в рабочую область Log Analytics.

Примечание.

Выделенные кластеры не являются общим способом ускорить все запросы. Как и в любой крупной аналитической системе, выполнение запросов в очень больших наборах данных требует дополнительных вычислительных ресурсов и может повлиять на производительность запросов. Для повышения производительности запросов за пределами оптимизации между рабочими областями выделенных кластеров оптимизируйте запросы. Эта стратегия особенно эффективна с большими наборами данных и при запросе в течение длительных диапазонов времени.

Ценовая модель кластера

Выделенные кластеры Log Analytics используют модель ценообразования на уровне обязательств, начиная с 100 ГБ в день. Избыток приема, превышающий уровень обязательств, оплачивается по тарифу за ГБ. Вы можете в любой момент увеличить уровень обязательств, но у него есть 31-дневный период обязательств, прежде чем он может быть сокращен. Дополнительные сведения о ценах на уровни обязательств можно найти в разделе цены на Azure Monitor Logs.

Тип выставления счетов кластера имеет два возможных значения:

Cluster (по умолчанию): затраты на кластер относятся к кластерному ресурсу.
Workspaces: Затраты на кластер распределяются пропорционально рабочим областям в кластере, причем часть использования кластерного ресурса все равно выставляется на оплату, если общий объем принимаемых данных за день находится ниже уровня обязательств. Дополнительные сведения о модели ценообразования для кластеров см. в разделе Выделенные кластеры Log Analytics.

Необходимые разрешения

Для выполнения действий, связанных с кластером, вам потребуется следующее:

Действие	Необходимые разрешения или роли
Создать выделенный кластер	`Microsoft.Resources/deployments/*` и разрешения `Microsoft.OperationalInsights/clusters/write`, как предусмотрено встроенной ролью Log Analytics Contributor, например
Изменение свойств кластера	`Microsoft.OperationalInsights/clusters/write` разрешения, предоставляемые встроенной ролью участника Log Analytics, например
Связывание рабочих областей с кластером	`Microsoft.OperationalInsights/clusters/write`, `Microsoft.OperationalInsights/workspaces/write` и `Microsoft.OperationalInsights/workspaces/linkedservices/write` разрешения, предоставляемые встроенной ролью Log Analytics Вкладчика, например
Проверка состояния связывания рабочей области	`Microsoft.OperationalInsights/workspaces/read` разрешения для рабочей области, предоставляемые встроенной ролью, например, Log Analytics Reader
Получение кластеров или проверка статуса настройки кластера	`Microsoft.OperationalInsights/clusters/read` разрешения, предоставляемые встроенной ролью Log Analytics Reader, например
Обновление уровня обязательств по тарифу или типа выставления счетов в кластере	`Microsoft.OperationalInsights/clusters/write` разрешения, предоставленные встроенной ролью Log Analytics Contributor, например
Предоставление необходимых разрешений	Роль владельца или вкладчика с разрешениями `/write`, или встроенная роль Log Analytics Вкладчик с разрешениями `Microsoft.OperationalInsights/`
Отсоединение рабочей области от кластера	`Microsoft.OperationalInsights/workspaces/linkedServices/delete` разрешения, предоставляемые встраиваемой ролью Сотрудник Log Analytics, например
Удалите выделенный кластер	`Microsoft.OperationalInsights/clusters/delete` разрешения, предоставляемые встроенной ролью Log Analytics Contributor, например

Для получения дополнительных сведений о разрешениях Log Analytics см. раздел Управление доступом к данным журналов и рабочим областям в Azure Monitor.

примеры шаблонов Resource Manager

В этой статье приведены примеры шаблонов Azure Resource Manager (ARM для создания и настройки кластеров Log Analytics в Azure Monitor. Каждый пример включает файл шаблона и файл параметров с примерами значений для использования в шаблоне.

Примечание.

Ознакомьтесь с примерами Azure Resource Manager для Azure Monitor, чтобы получить список доступных примеров и руководство по их развертыванию в вашей подписке Azure.

Ссылки на шаблоны

Microsoft.OperationalInsights clusters

Подготовка

Выставление счетов уровня обязательств кластера начинается сразу после создания кластера независимо от приема данных. Перед началом работы подготовьте следующие предметы:

Подписка на создание кластера.
Список рабочих областей, которые необходимо связать с кластером. Эти рабочие области должны находиться в том же регионе, что и кластер.
Решение о выборе типа выставления счетов и атрибуции: указать в кластере (по умолчанию) или пропорционально связанным рабочим областям.
Проверка разрешений для создания кластера и связывания рабочих областей.

Примечание.

Создание кластера и связывание рабочих областей — это асинхронные операции, которые могут занять несколько часов.
Связывание или отсоединение рабочих областей от кластера не влияет на прием или запросы в процессе операций.

Создать выделенный кластер

Укажите следующие свойства при создании выделенного кластера:

ClusterName: должно быть уникальным для группы ресурсов.
ResourceGroupName: используйте центральную ИТ-группу ресурсов, так как многие команды в организации обычно используют кластеры. Дополнительные рекомендации по проектированию см. в статье "Проектирование конфигурации рабочей области Log Analytics".
Местонахождение
SkuCapacity: допустимые уровни обязательств: 100, 200, 300, 400, 500, 1000, 2000, 5000, 10000, 25000 или 50000 ГБ в день. Минимальный уровень обязательств, поддерживаемый в шаблонах интерфейса командной строки и развертывания, составляет 500 ГБ. Используйте REST API для настройки уровней обязательств ниже 500 ГБ. Дополнительные сведения о затратах на кластер см. в разделе "Выделенные кластеры".
Managed identity: кластеры поддерживают два типа управляемых удостоверений:
- Управляемое удостоверение, назначаемое системой, создается автоматически при создании кластера, если для удостоверения задано значение SystemAssigned. Используйте это удостоверение для предоставления доступа к хранилищу в вашем Key Vault для операций шифрования и расшифрования.
  
  Идентификация в REST-вызове кластера
```
{
  "identity": {
    "type": "SystemAssigned"
    }
}
```
- Назначаемое пользователем управляемое удостоверение. С помощью этого удостоверения можно настроить управляемый клиентом ключ при создании кластера при предоставлении ему разрешений в Key Vault перед созданием кластера.
  
  Идентификация в REST-вызове кластера
```
{
"identity": {
  "type": "UserAssigned",
    "userAssignedIdentities": {
      "subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.ManagedIdentity/UserAssignedIdentities/<cluster-assigned-managed-identity>"
    }
  }  
}
```

После создания ресурса кластера можно изменить такие свойства, как sku, keyVaultProperties или billingType. Дополнительные сведения см. ниже.

Удаленные кластеры полностью удаляются за две недели. Вы можете иметь до семи кластеров на подписку и регион — пять активных и два удаленных за последние две недели.

Примечание.

Создание кластера включает несколько ресурсов, и операция обычно завершается в два часа. Выделенный кластер оплачивается как только подготовка завершена независимо от приема данных. Подготовьте развертывание для ускорения подготовки и связывания рабочих областей с кластером. Проверьте выполнение следующих условий.

Определяется список начальных рабочих областей, связанных с кластером.
У вас есть разрешения на подписку, предназначенную для кластера, и любую рабочую область, которую необходимо связать.

Выберите Create в меню выделенных кластеров Log Analytics в Azure portal. Вам будет предложено получить подробные сведения, такие как имя кластера и уровень обязательств.

Примечание.

Минимальный уровень обязательств, поддерживаемый в CLI, составляет 500 ГБ. Используйте REST для настройки более низких уровней обязательств с минимальным количеством 100 ГБ.

az account set --subscription "cluster-subscription-id"

az monitor log-analytics cluster create --no-wait --resource-group "resource-group-name" --name "cluster-name" --location "region-name" --sku-capacity "daily-ingestion-gigabyte"

# Wait for job completion when `--no-wait` was used
$clusterResourceId = az monitor log-analytics cluster list --resource-group "resource-group-name" --query "[?contains(name, 'cluster-name')].[id]" --output tsv
az resource wait --created --ids $clusterResourceId --include-response-body true

Примечание.

Минимальный уровень обязательств, поддерживаемый в PowerShell, составляет 500 ГБ. Используйте REST для настройки более низких уровней обязательств с минимальным количеством 100 ГБ.

Select-AzSubscription "cluster-subscription-id"

New-AzOperationalInsightsCluster -ResourceGroupName "resource-group-name" -ClusterName "cluster-name" -Location "region-name" -SkuCapacity "daily-ingestion-gigabyte" -AsJob

# Check when the job is done when `-AsJob` was used
Get-Job -Command "New-AzOperationalInsightsCluster*" | Format-List -Property *

Позвонить

PUT https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.OperationalInsights/clusters/<cluster-name>?api-version=2023-09-01
Authorization: Bearer <token>
Content-type: application/json

{
  "identity": {
    "type": "systemAssigned"
    },
  "sku": {
    "name": "capacityReservation",
    "Capacity": 100
    },
  "properties": {
    "billingType": "Cluster",
    },
  "location": "<region>",
}

Ответ

Должно быть 202 (принято) и заголовок.

В следующем примере создается пустой кластер Log Analytics с уровнем обязательств размером 500 ГБ.

@description('Specify the name of the Log Analytics cluster.')
param clusterName string

@description('Specify the location of the resources.')
param location string = resourceGroup().location

@description('Specify the capacity reservation value.')
@allowed([
  100
  200
  300
  400
  500
  1000
  2000
  5000
])
param CommitmentTier int

@description('Specify the billing type settings. Can be \'Cluster\' (default) or \'Workspaces\' for proportional billing on workspaces.')
@allowed([
  'Cluster'
  'Workspaces'
])
param billingType string

resource cluster 'Microsoft.OperationalInsights/clusters@2021-06-01' = {
  name: clusterName
  location: location
  identity: {
    type: 'SystemAssigned'
  }
  sku: {
    name: 'CapacityReservation'
    capacity: CommitmentTier
  }
  properties: {
    billingType: billingType
  }
}

Файл параметров

{
  "$schema": "https://schema.management.azure.com/schemas/2019-08-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "clusterName": {
      "value": "MyCluster"
    },
    "CommitmentTier": {
      "value": 500
    },
    "billingType": {
      "value": "Cluster"
    }
  }
}

В следующем примере создается пустой кластер Log Analytics с уровнем обязательств размером 500 ГБ.

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "clusterName": {
      "type": "string",
      "metadata": {
        "description": "Specify the name of the Log Analytics cluster."
      }
    },
    "location": {
      "type": "string",
      "defaultValue": "[resourceGroup().location]",
      "metadata": {
        "description": "Specify the location of the resources."
      }
    },
    "CommitmentTier": {
      "type": "int",
      "allowedValues": [
        100,
        200,
        300,
        400,
        500,
        1000,
        2000,
        5000
      ],
      "metadata": {
        "description": "Specify the capacity reservation value."
      }
    },
    "billingType": {
      "type": "string",
      "allowedValues": [
        "Cluster",
        "Workspaces"
      ],
      "metadata": {
        "description": "Specify the billing type settings. Can be 'Cluster' (default) or 'Workspaces' for proportional billing on workspaces."
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.OperationalInsights/clusters",
      "apiVersion": "2021-06-01",
      "name": "[parameters('clusterName')]",
      "location": "[parameters('location')]",
      "identity": {
        "type": "SystemAssigned"
      },
      "sku": {
        "name": "CapacityReservation",
        "capacity": "[parameters('CommitmentTier')]"
      },
      "properties": {
        "billingType": "[parameters('billingType')]"
      }
    }
  ]
}

Файл параметров

{
  "$schema": "https://schema.management.azure.com/schemas/2019-08-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "clusterName": {
      "value": "MyCluster"
    },
    "CommitmentTier": {
      "value": 500
    },
    "billingType": {
      "value": "Cluster"
    }
  }
}

Проверка состояния подготовки кластера

Подготовка кластера Log Analytics занимает некоторое время. Чтобы проверить свойство ProvisioningState, используйте один из описанных ниже способов. Значение Создается при подготовке и Завершено после выполнения.

Портал предоставляет информацию о статусе процесса обеспечения кластера ресурсами.

az account set --subscription "cluster-subscription-id"

az monitor log-analytics cluster show --resource-group "resource-group-name" --name "cluster-name"

Select-AzSubscription "cluster-subscription-id"

Get-AzOperationalInsightsCluster -ResourceGroupName "resource-group-name" -ClusterName "cluster-name"

Отправьте запрос GET к ресурсу кластера и проверьте значение provisioningState . Значение Создается при подготовке и Завершено после выполнения.

GET https://management.azure.com/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.OperationalInsights/clusters/cluster-name?api-version=2023-09-01
Authorization: Bearer <token>

Ответ

{
  "identity": {
    "type": "SystemAssigned",
    "tenantId": "tenant-id",
    "principalId": "principal-id"
  },
  "sku": {
    "name": "capacityreservation",
    "capacity": 100
  },
  "properties": {
    "provisioningState": "Creating",
    "clusterId": "cluster-id",
    "billingType": "Cluster",
    "lastModifiedDate": "last-modified-date",
    "createdDate": "created-date",
    "isDoubleEncryptionEnabled": false,
    "isAvailabilityZonesEnabled": false,
    "capacityReservationProperties": {
      "lastSkuUpdate": "last-sku-modified-date",
      "minCapacity": 100
    }
  },
  "id": "/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.OperationalInsights/clusters/cluster-name",
  "name": "cluster-name",
  "type": "Microsoft.OperationalInsights/clusters",
  "location": "cluster-region"
}

Служба управляемых удостоверений создаёт GUID principalId при создании кластера.

Связывание рабочей области с кластером

Примечание.

Только связывайте рабочую область после завершения развертывания кластера Log Analytics на портале.
Связывание рабочей области с кластером синхронизирует несколько внутренних компонентов и гидратацию кэша, которые обычно выполняются в два часа.
При связывании рабочей области Log Analytics план выставления счетов рабочей области изменяется на LACluster. Удалите номер SKU в шаблоне рабочей области, чтобы предотвратить конфликт во время развертывания рабочей области.
Кроме аспектов выставления счетов, которые управляет план кластера, все конфигурации рабочих областей и аспекты запросов остаются неизменными во время и после ссылки.

Для операции ссылки на рабочую область и ресурс кластера требуются разрешения на запись:

В рабочей области: Microsoft.OperationalInsights/workspaces/write
В ресурсе кластера: Microsoft.OperationalInsights/clusters/write

После того как вы свяжете рабочую область Log Analytics с выделенным кластером, новые данные, отправляемые в рабочую область, будут перенаправлены в ваш выделенный кластер, в то время как ранее собранные данные останутся в кластере Log Analytics. Связывание рабочей области не влияет на функционирование рабочей области, в том числе на поглощение данных и работу с запросами. Механизм запросов Log Analytics автоматически объединяет данные из старых и новых кластеров, поэтому результаты запросов являются полными.

Кластеры являются региональными и могут связываться с 1000 рабочими областями, расположенными в том же регионе, что и кластер. Чтобы предотвратить фрагментацию данных, невозможно связать рабочую область с кластером более чем дважды в месяц.

Связанные рабочие области могут находиться в других подписках, отличных от той, в которой находится кластер. Если вы используете Azure Lighthouse для привязки обоих к одному арендатору, рабочая область и кластер могут находиться в разных арендаторах.

При настройке выделенного кластера с ключом, управляемым клиентом (CMK), вновь передаваемые данные шифруются с помощью ключа, в то время как старые данные остаются зашифрованными с помощью управляемого корпорацией Майкрософт ключа (MMK). Log Analytics абстрагирует конфигурацию ключа, а запросы в старых и новых шифрованиях данных выполняются легко.

Чтобы связать рабочую область с кластером, выполните следующие действия. Вы можете использовать автоматизацию для связывания нескольких рабочих областей:

Выберите кластер из меню выделенных кластеров Log Analytics в портале Azure. Выберите связанные рабочие области , чтобы просмотреть все рабочие области, связанные с выделенным кластером. Выберите "Связать рабочие области" , чтобы связать дополнительные рабочие области.

Примечание.

Используйте значение кластера для связанной службы .

# Find cluster resource ID
az account set --subscription "cluster-subscription-id"
$clusterResourceId = az monitor log-analytics cluster list --resource-group "resource-group-name" --query "[?contains(name, 'cluster-name')].[id]" --output tsv

# Link workspace
az account set --subscription "workspace-subscription-id"
az monitor log-analytics workspace linked-service create --no-wait --name cluster --resource-group "resource-group-name" --workspace-name "workspace-name" --write-access-resource-id $clusterResourceId

# Wait for job completion when `--no-wait` was used
$workspaceResourceId = az monitor log-analytics workspace list --resource-group "resource-group-name" --query "[?contains(name, 'workspace-name')].[id]" --output tsv
az resource wait --deleted --ids $workspaceResourceId --include-response-body true

Примечание.

Используйте значение кластера для .

Select-AzSubscription "cluster-subscription-id"

# Find cluster resource ID
$clusterResourceId = (Get-AzOperationalInsightsCluster -ResourceGroupName "resource-group-name" -ClusterName "cluster-name").id

Select-AzSubscription "workspace-subscription-id"

# Link the workspace to the cluster
Set-AzOperationalInsightsLinkedService -ResourceGroupName "resource-group-name" -WorkspaceName "workspace-name" -LinkedServiceName cluster -WriteAccessResourceId $clusterResourceId -AsJob

# Check when the job is done
Get-Job -Command "Set-AzOperationalInsightsLinkedService" | Format-List -Property *

Для связывания с кластером используйте следующий вызов REST:

Отправка

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/microsoft.operationalinsights/workspaces/<workspace-name>/linkedservices/cluster?api-version=2020-08-01 
Authorization: Bearer <token>
Content-type: application/json

{
  "properties": {
    "WriteAccessResourceId": "/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/microsoft.operationalinsights/clusters/<cluster-name>"
    }
}

Ответ

202 (принято) и заголовок.

Проверка состояния связывания рабочей области

Операция связывания рабочей области может занять до 90 минут. Состояние можно проверить как в связанных рабочих областях, так и в кластере. По завершении ресурсы рабочей области включают в себя свойство , а кластер включает связанные рабочие области в разделе .

При настройке кластера с ключом, управляемым клиентом, данные, поступающие в рабочую область, шифруются вашим ключом после завершения операции связывания.

На странице "Обзор" для выделенного кластера выберите представление JSON. В разделе перечислены рабочие области, связанные с кластером.

az account set --subscription "workspace-subscription-id"

az monitor log-analytics workspace show --resource-group "resource-group-name" --workspace-name "workspace-name"

Select-AzSubscription "workspace-subscription-id"

Get-AzOperationalInsightsWorkspace -ResourceGroupName "resource-group-name" -Name "workspace-name"

Позвонить

GET https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/microsoft.operationalinsights/workspaces/<workspace-name>?api-version=2023-09-01
Authorization: Bearer <token>

Ответ

{
  "properties": {
    "source": "Azure",
    "customerId": "workspace-name",
    "provisioningState": "Succeeded",
    "sku": {
      "name": "pricing-tier-name",
      "lastSkuUpdate": "Tue, 28 Jan 2020 12:26:30 GMT"
    },
    "retentionInDays": 31,
    "features": {
      "legacy": 0,
      "searchVersion": 1,
      "enableLogAccessUsingOnlyResourcePermissions": true,
      "clusterResourceId": "/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.OperationalInsights/clusters/cluster-name"
    },
    "workspaceCapping": {
      "dailyQuotaGb": -1.0,
      "quotaNextResetTime": "Tue, 28 Jan 2020 14:00:00 GMT",
      "dataIngestionStatus": "RespectQuota"
    }
  },
  "id": "/subscriptions/subscription-id/resourcegroups/resource-group-name/providers/microsoft.operationalinsights/workspaces/workspace-name",
  "name": "workspace-name",
  "type": "Microsoft.OperationalInsights/workspaces",
  "location": "region"
}

Изменение свойств кластера

После создания ресурса кластера и его полной подготовки можно изменить свойства кластера с помощью CLI, PowerShell или REST API. После подготовки кластера можно задать следующие свойства:

keyVaultProperties — содержит ключ в Azure Key Vault со следующими параметрами: KeyVaultUriKeyName, KeyVersion. Дополнительные сведения об идентификаторе ключа см. в разделе "Обновление выделенного кластера".
Identity — удостоверение, используемое для проверки подлинности в Key Vault. Это удостоверение может быть назначено системой или назначаемое пользователем.
billingType: тип выставления счетов для кластерного ресурса и его данных. Включает следующие значения:
- Cluster (по умолчанию) - затраты на кластер относятся к кластерному ресурсу.
- Workspaces: затраты на кластер распределяются пропорционально рабочим областям в кластере. Некоторая часть использования кластерного ресурса оплачивается, если общий объем данных, принятых за день, находится ниже уровня обязательств. Дополнительные сведения о модели ценообразования для кластеров см. в разделе Выделенные кластеры Log Analytics.

Внимание

Обновление одного кластера не должно содержать сведения об идентификаторе и идентификаторе ключа в одной операции. Если необходимо обновить оба, сделайте это обновление двумя последовательными операциями.

Неприменимо

В следующем примере обновляется тип выставления счетов.

az account set --subscription "cluster-subscription-id"

az monitor log-analytics cluster update --resource-group "resource-group-name" --name "cluster-name"  --billing-type {Cluster, Workspaces}

В следующем примере обновляется тип выставления счетов.

Select-AzSubscription "cluster-subscription-id"

Update-AzOperationalInsightsCluster -ResourceGroupName "resource-group-name" -ClusterName "cluster-name" -BillingType "Workspaces"

В следующем примере обновляется тип выставления счетов.

Позвонить

PATCH https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.OperationalInsights/clusters/<cluster-name>?api-version=2023-09-01
Authorization: Bearer <token>
Content-type: application/json

{
  "properties": {
    "billingType": "Workspaces"
    },
    "location": "region"
}

В следующем примере кластер Log Analytics обновляется для использования ключа, управляемого клиентом.

@description('Specify the name of the Log Analytics cluster.')
param clusterName string
@description('Specify the location of the resources')
param location string = resourceGroup().location
@description('Specify the key vault name.')
param keyVaultName string
@description('Specify the key name.')
param keyName string
@description('Specify the key version. When empty, latest key version is used.')
param keyVersion string
var keyVaultUri = format('{0}{1}', keyVaultName, environment().suffixes.keyvaultDns)
resource cluster 'Microsoft.OperationalInsights/clusters@2021-06-01' = {
  name: clusterName
  location: location
  identity: {
    type: 'SystemAssigned'
  }
  properties: {
    keyVaultProperties: {
      keyVaultUri: keyVaultUri
      keyName: keyName
      keyVersion: keyVersion
    }
  }
}

Файл параметров

{
  "$schema": "https://schema.management.azure.com/schemas/2019-08-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "clusterName": {
      "value": "MyCluster"
    },
    "keyVaultUri": {
      "value": "https://key-vault-name.vault.azure.net"
    },
    "keyName": {
      "value": "MyKeyName"
    },
    "keyVersion": {
      "value": ""
    }
  }
}

В следующем примере кластер Log Analytics обновляется для использования ключа, управляемого клиентом.

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "clusterName": {
      "type": "string",
      "metadata": {
        "description": "Specify the name of the Log Analytics cluster."
      }
    },
    "location": {
      "type": "string",
      "defaultValue": "[resourceGroup().location]",
      "metadata": {
        "description": "Specify the location of the resources"
      }
    },
    "keyVaultName": {
      "type": "string",
      "metadata": {
        "description": "Specify the key vault name."
      }
    },
    "keyName": {
      "type": "string",
      "metadata": {
        "description": "Specify the key name."
      }
    },
    "keyVersion": {
      "type": "string",
      "metadata": {
        "description": "Specify the key version. When empty, latest key version is used."
      }
    }
  },
  "variables": {
    "keyVaultUri": "[format('{0}{1}', parameters('keyVaultName'), environment().suffixes.keyvaultDns)]"
  },
  "resources": [
    {
      "type": "Microsoft.OperationalInsights/clusters",
      "apiVersion": "2021-06-01",
      "name": "[parameters('clusterName')]",
      "location": "[parameters('location')]",
      "identity": {
        "type": "SystemAssigned"
      },
      "properties": {
        "keyVaultProperties": {
          "keyVaultUri": "[variables('keyVaultUri')]",
          "keyName": "[parameters('keyName')]",
          "keyVersion": "[parameters('keyVersion')]"
        }
      }
    }
  ]
}

Файл параметров

{
  "$schema": "https://schema.management.azure.com/schemas/2019-08-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "clusterName": {
      "value": "MyCluster"
    },
    "keyVaultUri": {
      "value": "https://key-vault-name.vault.azure.net"
    },
    "keyName": {
      "value": "MyKeyName"
    },
    "keyVersion": {
      "value": ""
    }
  }
}

Получите все кластеры в группе ресурсов

В меню Log Analytics выделенных кластеров в портале Azure выберите фильтр группа ресурсов.

az account set --subscription "cluster-subscription-id"

az monitor log-analytics cluster list --resource-group "resource-group-name"

Select-AzSubscription "cluster-subscription-id"

Get-AzOperationalInsightsCluster -ResourceGroupName "resource-group-name"

Позвонить

GET https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.OperationalInsights/clusters?api-version=2023-09-01
Authorization: Bearer <token>

Ответ

{
  "value": [
    {
      "identity": {
        "type": "SystemAssigned",
        "tenantId": "tenant-id",
        "principalId": "principal-id"
      },
      "sku": {
        "name": "capacityreservation",
        "capacity": 100
      },
      "properties": {
        "provisioningState": "Succeeded",
        "clusterId": "cluster-id",
        "billingType": "Cluster",
        "lastModifiedDate": "last-modified-date",
        "createdDate": "created-date",
        "isDoubleEncryptionEnabled": false,
        "isAvailabilityZonesEnabled": false,
        "capacityReservationProperties": {
          "lastSkuUpdate": "last-sku-modified-date",
          "minCapacity": 100
        }
      },
      "id": "/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.OperationalInsights/clusters/cluster-name",
      "name": "cluster-name",
      "type": "Microsoft.OperationalInsights/clusters",
      "location": "cluster-region"
    }
  ]
}

Получите все кластеры в подписке

В меню выделенных кластеров Log Analytics в Azure portal выберите фильтр Subscription.

az account set --subscription "cluster-subscription-id"

az monitor log-analytics cluster list

Select-AzSubscription "cluster-subscription-id"

Get-AzOperationalInsightsCluster

Позвонить

GET https://management.azure.com/subscriptions/<subscription-id>/providers/Microsoft.OperationalInsights/clusters?api-version=2023-09-01
Authorization: Bearer <token>

Ответ

То же самое, что и для "кластеров в группе ресурсов", но в границах подписки.

Обновление уровня обязательств в кластере

Когда объем данных для связанных рабочих областей изменяется со временем, обновите уровень обязательств, чтобы оптимизировать затраты. Укажите уровень в единицах гигабайт (ГБ). Уровень может иметь значения 100, 200, 300, 400, 500, 1000, 2 000, 5000, 10 000, 25 000 или 50 000 ГБ в день. Вам не нужно предоставить полный текст запроса REST, но необходимо включить номер SKU.

В течение периода обязательств вы можете переходить на более высокий уровень обязательств, который перезапускает 31-дневный период обязательств. Вы не можете вернуться на оплату по мере использования или на более низкий уровень обязательств до тех пор, пока не завершите период обязательств.

Выберите кластер из меню выделенных кластеров Log Analytics в портале Azure. Выберите "Изменить" рядом с уровнем обязательств.

az account set --subscription "cluster-subscription-id"

az monitor log-analytics cluster update --resource-group "resource-group-name" --name "cluster-name"  --sku-capacity 500

Select-AzSubscription "cluster-subscription-id"

Update-AzOperationalInsightsCluster -ResourceGroupName "resource-group-name" -ClusterName "cluster-name" -SkuCapacity 500

Позвонить

PATCH https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.OperationalInsights/clusters/<cluster-name>?api-version=2023-09-01
Authorization: Bearer <token>
Content-type: application/json

{
  "sku": {
    "name": "capacityReservation",
    "Capacity": 2000
  }
}

Отсоединение рабочей области от кластера

Предупреждение

Отмена связывания рабочей области не перемещает данные рабочей области из кластера. Все данные, собранные для рабочей области во время связывания с выделенным кластером, остаются в кластере в течение периода хранения, определенного рабочей областью, и доступны, пока кластер не удаляется.

Вы можете в любое время отвязать рабочую область от кластера. Вот что происходит, когда рабочая область не связана

Ценовая категория рабочей области изменяется на основе объема данных в гигабайтах.
Данные, внесенные в кластер до операции отмены связи, остаются в кластере.
Новые данные, отправленные в рабочую область, обрабатываются в рабочей области, а не в выделенном кластере.
Запросы не затрагиваются при отмене связи рабочей области. Служба Log Analytics выполняет запросы между кластерами без проблем.
Если выделенный кластер был настроен с использованием ключа управления клиентом (CMK), данные, переданные в рабочую область, пока кластер был связан, остаются зашифрованными с помощью вашего ключа в выделенном кластере и доступны, пока у вас есть ключ и разрешения в Key Vault.

Примечание.

Чтобы предотвратить распределение данных между кластерами, можно выполнять только две операции связывания для определенной рабочей области в течение месяца. Обратитесь в службу поддержки, если достигнут предел.
Несвязанные рабочие области переходят на ценовую категорию с оплатой по мере использования.

Используйте следующие команды для отсоединения рабочей области от кластера:

Выберите кластер из меню Log Analytics выделенных кластеров в портале Azure. Выберите связанные рабочие области , чтобы просмотреть все рабочие области, связанные с выделенным кластером. Выберите любые рабочие области, связь с которыми вы хотите отменить, и нажмите "Отменить связь".

az account set --subscription "workspace-subscription-id"

az monitor log-analytics workspace linked-service delete --resource-group "resource-group-name" --workspace-name "workspace-name" --name cluster

Select-AzSubscription "workspace-subscription-id"

# Unlink a workspace from cluster
Remove-AzOperationalInsightsLinkedService -ResourceGroupName "resource-group-name" -WorkspaceName {workspace-name} -LinkedServiceName cluster

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/linkedServices/{linkedServiceName}?api-version=2020-08-01

Удаление кластера

Необходимы разрешения на запись в ресурсе кластера.

Удалите кластер с осторожностью. Отменить эту операцию невозможно. Все загруженные в кластер данные из связанных рабочих областей безвозвратно удаляются.

Выставление счетов кластера останавливается при удалении кластера независимо от 31-дневного периода обязательств, определенного в кластере.

Если удалить кластер с связанными рабочими областями, рабочие области автоматически отменяют связь с кластером. Они переходят на тариф с оплатой по мере использования, а новые данные, отправленные в рабочие области, передаются в кластеры Log Analytics. Вы можете запросить рабочую область в диапазоне времени, прежде чем она была связана с кластером, и после отмены связи служба выполняет запросы между кластерами без проблем.

Примечание.

Существует ограничение в семь кластеров для каждой подписки и региона: пять активных кластеров, а также два, которые были удалены за последние две недели.
Имя кластера остается зарезервированным через две недели после удаления, в течение которого его нельзя использовать для создания нового кластера.

Используйте следующие команды для удаления кластера:

Выберите кластер из меню выделенных кластеров Log Analytics в портале Azure. Затем выберите Удалить.

az account set --subscription "cluster-subscription-id"

az monitor log-analytics cluster delete --resource-group "resource-group-name" --name $clusterName

Select-AzSubscription "cluster-subscription-id"

Remove-AzOperationalInsightsCluster -ResourceGroupName "resource-group-name" -ClusterName "cluster-name"

Для удаления кластера используйте следующий вызов REST:

DELETE https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.OperationalInsights/clusters/<cluster-name>?api-version=2023-09-01
Authorization: Bearer <token>

Ответ

200 OK (Запрос выполнен успешно)

Изменение типа управляемого удостоверения

Вы можете изменить тип идентичности после создания кластера без прерывания ввода данных или запросов. Рассмотрим следующее:

Обновите SystemAssigned до UserAssigned, предоставив удостоверение UserAssign в Key Vault, а затем обновите тип удостоверения в кластере.
Обновление до -: поскольку управляемое удостоверение, назначаемое системой, создается после обновления типа удостоверения кластера, выполните следующие действия.
1. Обновите кластер, чтобы удалить ключ — установите , , и на значение .
2. Измените тип удостоверения кластера на [укажите тип удостоверения].
3. Обновите Key Vault и предоставьте разрешения удостоверению.
4. Обновление ключа в выделенном кластере.

Предельные значения и ограничения

Вы можете создать до пяти активных кластеров в каждом регионе и подписке.
У вас может быть до семи кластеров на одну подписку и регион: пять активных кластеров и два удаленных кластера за последние две недели.
Вы можете связать до 1000 рабочих областей Log Analytics с кластером.
Вы можете выполнять до двух операций связывания рабочей области в определенной рабочей области в течение 30-дневного периода.
Невозможно переместить кластер в другую группу ресурсов или подписку.
Невозможно переместить кластер в другой регион.
При обновлении кластера не следует включать сведения об идентификаторе и идентификаторе ключа в одну и ту же операцию. Если необходимо обновить оба, выполните две последовательные операции обновления.
Защищенное хранилище в настоящее время недоступно в Китае.
Lockbox в настоящее время не может применяться к таблицам с Вспомогательным планом.
шифрование Double настраивается автоматически для кластеров, созданных с октября 2020 г. в поддерживаемых регионах. Вы можете проверить, настроено ли для кластера двойное шифрование, отправив запрос GET в кластер и убедившись, что значение равно для кластеров с включенным двойным шифрованием.
- Если вы создаете кластер и получаете сообщение об ошибке "<имя_региона> не поддерживает двойное шифрование для кластеров", вы по-прежнему можете создать кластер без двойного шифрования, добавив соответствующий параметр в текст запроса REST.
- После создания кластера невозможно изменить параметр двойного шифрования.
Вы можете удалить рабочую область, связанную с кластером. При восстановлении рабочей области во время периода обратимого удаления рабочая область возвращается в предыдущее состояние и остается связанной с кластером.
В течение периода обязательств вы можете переходить на более высокий уровень обязательств, который перезапускает 31-дневный период обязательств. Вы не можете вернуться на оплату по мере использования или на более низкий уровень обязательств до тех пор, пока не завершите период обязательств.

Устранение неполадок

Если при создании кластера возникает ошибка конфликта, кластер может быть удален и по-прежнему находится в процессе удаления. Имя кластера остается зарезервированным в течение двухнедельного периода удаления, и вы не можете создать новый кластер с таким именем.
Если вы обновляете кластер, пока кластер находится в состоянии подготовки или обновления, обновление завершается ошибкой.
Некоторые операции являются продолжительными, и их выполнение может занять много времени. Эти операции — создание кластера, обновление ключа кластера и удаление кластера. Вы можете проверить состояние операции, отправив запрос GET в кластер или рабочую область и наблюдая за ответом. Например, у отключенной рабочей области нет идентификатораClusterResource в разделе возможностей.
Если вы пытаетесь связать рабочую область Log Analytics, которая уже связана с другим кластером, операция завершается ошибкой.

Сообщения об ошибках

Создание кластера

Недопустимое имя кластера. Имя кластера может содержать символы a-z, A-Z, 0-9 и длину 3-63.
400 — тело запроса пустое или имеет неправильный формат.
400 — недопустимое имя SKU. Установите имя SKU на capacityReservation.
400--Емкость была предоставлена, но SKU не является резервированием емкости. Установите имя SKU на capacityReservation.
400 — отсутствие емкости в SKU. Задайте значение емкости 100, 200, 300, 400, 500, 1000, 2 000, 5000, 10 000, 25 000, 50 000 ГБ в день.
400 — емкость заблокирована на 30 дней. Уменьшение емкости разрешено через 30 дней после обновления.
400 — номер SKU не задан. Установите имя SKU как capacityReservation и Емкость как 100, 200, 300, 400, 500, 1 000, 2 000, 5 000, 10 000, 25 000, 50 000 ГБ в день.
400--Операция не может быть выполнена сейчас. Асинхронная операция находится в состоянии, отличном от "Выполнено". Перед выполнением операции обновления кластер должен завершить операцию.

Обновление кластера

400: кластер находится в состоянии удаления. Выполняется асинхронная операция. Перед выполнением операции обновления кластер должен завершить операцию.
400--KeyVaultProperties не пуст, но имеет неправильный формат. См. раздел об обновлении идентификатора ключа.
400- Не удалось проверить ключ в Key Vault. Это может быть связано с отсутствием разрешений или ключа. Убедитесь, что вы настроили ключ и политику доступа в хранилище ключей.
400---Key не может восстановиться. Необходимо настроить Key Vault на мягкое удаление и защиту от окончательного удаления. См. документацию Key Vault
400--Операция не может быть выполнена сейчас. Дождитесь завершения асинхронной операции и повторите попытку.
400: кластер находится в состоянии удаления. Дождитесь завершения асинхронной операции и повторите попытку.

Получение кластера

404--Cluster не найден, кластер может быть удален. Если вы пытаетесь создать кластер с таким именем и сталкиваетесь с конфликтом, кластер находится в процессе удаления.

Удаление кластера

409 — нельзя удалить кластер в состоянии подготовки. Дождитесь завершения асинхронной операции и повторите попытку.

Ссылка на рабочую область

404 — рабочая область не найдена. Указанная рабочая область не существует или была удалена.
409 — операция привязки или отмены привязки рабочей области в процессе.
400 — кластер не найден, указанный кластер не существует или был удален.

Отсоединение рабочей области

404 — рабочая область не найдена. Указанная рабочая область не существует или была удалена.
409 — операция привязки или отмены привязки рабочей области в процессе.

Следующие шаги

Узнайте о выставлении счетов за выделенный кластер Log Analytics.
Узнайте о правильном проектировании рабочих областей Log Analytics.
Получите другие образцы шаблонов для Azure Monitor.

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2026-02-02

Поделиться через

Создание выделенного кластера и управление ими в журналах мониторинга Azure

Расширенные возможности

Ценовая модель кластера

Необходимые разрешения

примеры шаблонов Resource Manager

Ссылки на шаблоны

Подготовка

Создать выделенный кластер

Проверка состояния подготовки кластера

Связывание рабочей области с кластером

Проверка состояния связывания рабочей области

Изменение свойств кластера

Получите все кластеры в группе ресурсов

Получите все кластеры в подписке

Обновление уровня обязательств в кластере

Отсоединение рабочей области от кластера

Удаление кластера

Изменение типа управляемого удостоверения

Предельные значения и ограничения

Устранение неполадок

Сообщения об ошибках

Создание кластера

Обновление кластера

Получение кластера

Удаление кластера

Ссылка на рабочую область

Отсоединение рабочей области

Следующие шаги

Обратная связь

Дополнительные ресурсы