将日志从一个 Azure Log Analytics 工作区传送到另一个

Posted 2023-03-25

【中文标题】将日志从一个 Azure Log Analytics 工作区传送到另一个

【英文标题】：Ship Logs from One Azure Log Analytics Workspace to Another

【发布时间】：2022-01-09 22:36:38

【问题描述】：

我们是一家托管服务提供商，通过 Azure Lighthouse 管理大约 30 个租户。

每个租户都有一个 Log Analytics 工作区，用于收集该租户下托管的资源的日志和指标。

我的问题是我们能否将数据从所有租户的工作区发送到我们租户的主工作区。这主要是因为我们要创建 Alert 规则，它不会以多个资源为源。

如果有更好的选择来实现这一点，请提出建议

【参考方案1】：

如果您查看此Move a Log Analytics workspace to different subscription or resource group Microsoft 文档，您会发现将日志从一个 Log Analytics 工作区移动到另一个订阅中的另一个工作区非常容易。

但是，如果您尝试将日志从一个租户移动到另一个租户，那么这会变得有点困难，因为很多数据将没有用，因为您会丢失很多参考数据。还是有办法解决这个问题的。

要将数据从所有租户的工作区发送到租户的主工作区，您必须使用 Microsoft Sentinel。 Microsoft Sentinel 构建在 Log Analytics 工作区之上。 Microsoft Sentinel 提供多工作区功能，支持集中监控、配置和管理。

在您的情况下，您应该使用托管安全服务提供商 (MSSP) Microsoft Sentinel 服务。 MSSP 可以使用 Azure Lighthouse 跨租户扩展 Microsoft Sentinel 跨工作空间功能。有关更多信息，请查看此 Work with incidents in many workspaces at once 文档。我还建议阅读来自 Microsoft 的 Extend Microsoft Sentinel across workspaces and tenants 文档以获取更多信息。

还有另一种方法可以将日志从一个租户的工作区移动到另一个租户，但与上述方法相比，这种方法效率不高。您可以使用 Log Analytics 数据导出并将事件发送到该租户的 EventHub。数据位于事件中心后，您可以编写逻辑应用来处理数据并将其写入新租户中的逻辑应用。但个人会推荐第一种方法而不是这种方法。