Správa využití a nákladů pomocí protokolů Azure MonitorManage usage and costs with Azure Monitor Logs

Poznámka

Tento článek popisuje, jak pochopit a řídit náklady na protokoly Azure Monitor.This article describes how to understand and control your costs for Azure Monitor Logs. Související článek, sledování využití a odhadované náklady popisuje, jak zobrazit využití a odhadované náklady napříč více funkcemi monitorování Azure pro různé cenové modely.A related article, Monitoring usage and estimated costs describes how to view usage and estimated costs across multiple Azure monitoring features for different pricing models. Všechny ceny a náklady uvedené v tomto článku jsou třeba jenom pro účely.All prices and costs shown in this article are for example purposes only.

Protokoly Azure Monitor jsou určené ke škálování a podpoře shromažďování, indexování a ukládání velkých objemů dat za den z libovolného zdroje v podniku nebo v Azure, které jsou nasazené v Azure.Azure Monitor Logs is designed to scale and support collecting, indexing, and storing massive amounts of data per day from any source in your enterprise or deployed in Azure. I když to může být primárním ovladačem pro vaši organizaci, náklady na efektivitu jsou nakonec základní ovladače.While this may be a primary driver for your organization, cost-efficiency is ultimately the underlying driver. V tomto případě je důležité pochopit, že náklady na Log Analytics pracovní prostor nejsou založené jenom na objemu shromažďovaných dat, ale také závisí na vybraném plánu a na tom, jak dlouho jste se rozhodli ukládat data generovaná z připojených zdrojů.To that end, it's important to understand that the cost of a Log Analytics workspace isn't based only on the volume of data collected, it is also dependent on the plan selected, and how long you chose to store data generated from your connected sources.

V tomto článku si projdeme, jak můžete aktivně monitorovat monitorovaný objem dat a nárůst úložiště a definovat omezení pro řízení těchto přidružených nákladů.In this article we review how you can proactively monitor ingested data volume and storage growth, and define limits to control those associated costs.

Cenový modelPricing model

Výchozí ceny pro Log Analytics jsou Model průběžných plateb na základě ingestování objemu dat a volitelně i pro delší dobu uchovávání dat.The default pricing for Log Analytics is a Pay-As-You-Go model based on data volume ingested and optionally for longer data retention. Objem dat se měří jako velikost dat, která se uloží v GB (10 ^ 9 bajtů).Data volume is measured as the size of the data that will be stored in GB (10^9 bytes). Každý Log Analytics pracovní prostor se účtuje jako samostatná služba a přispívá vám k fakturaci za vaše předplatné Azure.Each Log Analytics workspace is charged as a separate service and contributes to the bill for your Azure subscription. Množství příjmu dat může být značná v závislosti na následujících faktorech:The amount of data ingestion can be considerable depending on the following factors:

  • Počet povolených řešení pro správu a jejich konfiguraciNumber of management solutions enabled and their configuration
  • Počet monitorovaných virtuálních počítačůNumber of VMs monitored
  • Typ dat shromažďovaných z každého monitorovaného virtuálního počítačeType of data collected from each monitored VM

Kromě modelu průběžných plateb Log Analytics má vrstvy rezervace kapacity , které vám umožní ve srovnání s průběžnými platbami ušetřit až 25%.In addition to the Pay-As-You-Go model, Log Analytics has Capacity Reservation tiers which enable you to save as much as 25% compared to the Pay-As-You-Go price. Cena za rezervaci kapacity vám umožní koupit rezervaci od 100 GB za den.The capacity reservation pricing enables you to buy a reservation starting at 100 GB/day. Veškeré využití nad úrovní rezervace se bude účtovat podle tarifu průběžných plateb.Any usage above the reservation level will be billed at the Pay-As-You-Go rate. Úrovně rezervace kapacity mají 31 dnů v období závazku.The Capacity Reservation tiers have a 31-day commitment period. Během období závazku můžete přejít na úroveň rezervace kapacity vyšší úrovně (která bude restartovala 31. období závazku), ale nemůžete přejít zpět na průběžné platby nebo na nižší úroveň rezervace kapacity až po dokončení období závazku.During the commitment period, you can change to a higher level Capacity Reservation tier (which will restart the 31-day commitment period), but you cannot move back to Pay-As-You-Go or to a lower Capacity Reservation tier until after the commitment period is finished. Faktura za úrovně rezervace kapacity se provádí každý den.Billing for the Capacity Reservation tiers is done on a daily basis. Přečtěte si další informace o cenách Log Analytics s průběžnými platbami a rezervací kapacity.Learn more about Log Analytics Pay-As-You-Go and Capacity Reservation pricing.

U všech cenových úrovní je velikost dat události počítána z řetězcové reprezentace vlastností, které jsou uloženy v Log Analytics pro tuto událost, bez ohledu na to, zda jsou data odesílána z agenta nebo přidána během procesu příjmu.In all pricing tiers, an event's data size is calculated from a string representation of the properties which are stored in Log Analytics for this event, whether the data is sent from an agent or added during the ingestion process. To zahrnuje všechna vlastní pole , která jsou přidána, když jsou shromažďována data a uložena v Log Analytics.This includes any custom fields that are added as data is collected and then stored in Log Analytics. Při výpočtu velikosti události jsou vyloučeny některé vlastnosti společné pro všechny typy dat, včetně některých log Analyticsch standardních vlastností.Several properties common to all data types, including some Log Analytics Standard Properties, are excluded in the calculation of the event size. To zahrnuje _ResourceId , _ItemId , _IsBillable _BilledSize a Type .This includes _ResourceId, _ItemId, _IsBillable, _BilledSize and Type. Všechny ostatní vlastnosti uložené v Log Analytics jsou zahrnuté do výpočtu velikosti události.All other properties stored in Log Analytics are included in the calculation of the event size. Některé datové typy jsou zcela bezplatné poplatky za příjem dat, například AzureActivity, prezenční signál a typy využití.Some data types are free from data ingestion charges altogether, for example the AzureActivity, Heartbeat and Usage types. Chcete-li zjistit, zda byla událost vyloučena z fakturace pro příjem dat, můžete použít _IsBillable vlastnost, jak je uvedeno níže.To determine whether an event was excluded from billing for data ingestion, you can use the _IsBillable property as shown below. Použití je hlášeno v GB (1,0 E9 bajtů).Usage is reported in GB (1.0E9 bytes).

Všimněte si také, že některá řešení, jako je Azure Security Center, Správa konfigurace a konfigurace Azure , mají své vlastní cenové modely.Also, note that some solutions, such as Azure Security Center, Azure Sentinel and Configuration management have their own pricing models.

Log Analytics vyhrazené clusteryLog Analytics Dedicated Clusters

Log Analytics vyhrazené clustery jsou kolekce pracovních prostorů do jednoho spravovaného clusteru Azure Průzkumník dat, který podporuje pokročilé scénáře, jako jsou klíče spravované zákazníky.Log Analytics Dedicated Clusters are collections of workspaces into a single managed Azure Data Explorer cluster to support advanced scenarios such as Customer-Managed Keys. Log Analytics vyhrazené clustery podporují jenom cenový model rezervace kapacity od 1000 GB za den s 25% slevou ve srovnání s cenami za průběžné platby.Log Analytics Dedicated Clusters support only a Capacity Reservation pricing model starting at 1000 GB/day with a 25% discount compared to Pay-As-You-Go pricing. Veškeré využití nad úrovní rezervace se bude účtovat podle tarifu průběžných plateb.Any usage above the reservation level will be billed at the Pay-As-You-Go rate. Rezervace kapacity clusteru má po zvýšení úrovně rezervace 31 dní období závazku.The cluster Capacity Reservation has a 31-day commitment period after the reservation level is increased. Během období závazku nelze úroveň rezervace kapacity snížit, ale je možné ji kdykoli zvýšit.During the commitment period the capacity reservation level cannot be reduced, but it can be increased at any time. Přečtěte si další informace o vytváření clusterů Log Analytics a jejich přiřazování k pracovním prostorům.Learn more about creating a Log Analytics Clusters and associating workspaces to it.

Úroveň rezervace kapacity clusteru je nakonfigurována prostřednictvím programově Azure Resource Manager s použitím Capacity parametru v Sku .The cluster capacity reservation level is configured via programatically with Azure Resource Manager using the Capacity parameter under Sku. CapacityHodnota je určena v jednotkách GB a může mít hodnoty 1000 GB/den nebo více v přírůstcích po 100 GB za den.The Capacity is specified in units of GB and can have values of 1000 GB/day or more in increments of 100 GB/day. Zdeje podrobně popsán.This is detailed here. Pokud váš cluster potřebuje rezervaci nad 2000 GB za den, kontaktujte nás na adrese LAIngestionRate@microsoft.com .If your cluster needs a reservation above 2000 GB/day contact us at LAIngestionRate@microsoft.com.

Existují dva režimy fakturace pro použití v clusteru.There are two modes of billing for usage on a cluster. Tyto parametry mohou být zadány billingType parametrem při konfiguraci clusteru.These can be specified by the billingType parameter when configuring your cluster. Tyto dva režimy:The two modes are:

  1. Cluster: v tomto případě (což je výchozí nastavení) se fakturace pro ingestovaná data provádí na úrovni clusteru.Cluster: in this case (which is the default), billing for ingested data is done at the cluster level. Množství zpracovaných dat z každého pracovního prostoru přidruženého ke clusteru se agreguje za účelem výpočtu denního vyúčtování clusteru.The ingested data quantities from each workspace associated to a cluster is aggregated to calculate the daily bill for the cluster. Všimněte si, že přidělení na základě uzlů z Azure Security Center se aplikují na úrovni pracovního prostoru před touto agregací agregovaných dat napříč všemi pracovními prostory v clusteru.Note that per-node allocations from Azure Security Center are applied at the workspace level prior to this aggregation of aggregated data across all workspaces in the cluster.

  2. Pracovní prostory: náklady na rezervaci kapacity pro váš cluster se úměrně připočítají k pracovním prostorům v clusteru (po zaúčtování pro přidělení podle uzlu z Azure Security Center pro každý pracovní prostor.) Pokud je celkový objem dat zpracovaných v pracovním prostoru za den menší než rezervace kapacity, pak se každý pracovní prostor fakturuje za jeho ingestovaná data na základě sazby za nevyužitou kapacitu na GB tím, že je vyúčtováním zlomku kapacity rezervace a nevyužité části rezervace kapacity se účtují do prostředku clusteru.Workspaces: the Capacity Reservation costs for your Cluster are attributed proportionately to the workspaces in the Cluster (after accounting for per-node allocations from Azure Security Center for each workspace.) If the total data volume ingested into a workspace for a day is less than the Capacity Reservation, then each workspace is billed for its ingested data at the effective per-GB Capacity Reservation rate by billing them a fraction of the Capacity Reservation, and the unused part of the Capacity Reservation is billed to the cluster resource. Pokud celkový objem dat, který se během dne ingestuje do pracovního prostoru, je větší než rezervace kapacity, pak se pro každý pracovní prostor účtuje zlomek kapacity na základě jeho zlomku a v každém pracovním prostoru se podílem přijatých dat nad rámec rezervace kapacity.If the total data volume ingested into a workspace for a day is more than the Capacity Reservation, then each workspace is billed for a fraction of the Capacity Reservation based on it’s fraction of the ingested data that day, and each workspace for a fraction of the ingested data above the Capacity Reservation. K prostředku clusteru se nic neúčtuje, pokud je celkový objem dat ingestný do pracovního prostoru za den nad rezervací kapacity.There is nothing billed to the cluster resource if the total data volume ingested into a workspace for a day is over the Capacity Reservation.

V možnostech fakturace clusteru se uchovávání dat účtuje na úrovni pracovního prostoru.In cluster billing options, data retention is billed at the workspace level. Všimněte si, že při vytváření clusteru začíná fakturace clusteru bez ohledu na to, jestli byly pracovní prostory přidružené ke clusteru.Note that cluster billing starts when the cluster is created, regardless of whether workspaces have been associated to the cluster. Všimněte si také, že pracovní prostory přidružené k clusteru už nemají cenovou úroveň.Also, note that workspaces associated to a cluster no longer have a pricing tier.

Odhad nákladů na správu prostředíEstimating the costs to manage your environment

Pokud protokoly Azure Monitor ještě nepoužíváte, můžete pomocí cenové kalkulačky Azure monitor odhadnout náklady na používání Log Analytics.If you're not yet using Azure Monitor Logs, you can use the Azure Monitor pricing calculator to estimate the cost of using Log Analytics. Začněte zadáním "Azure Monitor" do vyhledávacího pole a kliknutím na výslednou Azure Monitor dlaždici.Start by entering "Azure Monitor" in the Search box, and clicking on the resulting Azure Monitor tile. Posuňte se dolů na stránku Azure Monitor a v rozevíracím seznamu Typ vyberte Log Analytics.Scroll down the page to Azure Monitor, and select Log Analytics from the Type dropdown. Tady můžete zadat počet virtuálních počítačů a GB dat, která se mají z každého virtuálního počítače shromažďovat.Here you can enter the number of VMs and the GB of data you expect to collect from each VM. Z typického virtuálního počítače Azure se typicky ingestují 1 až 3 GB datového měsíce.Typically 1 to 3 GB of data month is ingested from a typical Azure VM. Pokud už vyhodnocujete Azure Monitor protokoly, můžete použít statistiku dat z vlastního prostředí.If you're already evaluating Azure Monitor Logs already, you can use your data statistics from your own environment. Níže najdete informace o tom, jak určit Počet monitorovaných virtuálních počítačů a objem dat, na které váš pracovní prostor pracuje.See below for how to determine the number of monitored VMs and the volume of data your workspace is ingesting.

Pochopení nákladů na využití a odhadované nákladyUnderstand your usage and estimate costs

Pokud nyní používáte protokoly Azure Monitor, je snadné pochopit, jaké náklady jsou pravděpodobně založené na nedávných vzorech použití.If you're using Azure Monitor Logs now, it's easy to understand what the costs are likely be based on recent usage patterns. K tomu použijte Log Analytics využití a odhadované náklady na kontrolu a analýzu využití dat.To do this, use Log Analytics Usage and Estimated Costs to review and analyze data usage. Ukazuje, kolik dat je každé řešení shromažďováno, kolik dat se zachovává, a odhad nákladů na základě množství přijatých dat a dalšího uchovávání nad rámec zahrnutého množství.This shows how much data is collected by each solution, how much data is being retained and an estimate of your costs based on the amount of data ingested and any additional retention beyond the included amount.

Využití a odhadované náklady

Pokud chcete svá data prozkoumat podrobněji, klikněte na ikonu v pravém horním rohu obou grafů na stránce využití a odhadované náklady .To explore your data in more detail, click on the icon at the top right of either of the charts on the Usage and Estimated Costs page. Nyní můžete s tímto dotazem pracovat a prozkoumat podrobnější informace o jeho využití.Now you can work with this query to explore more details of your usage.

Zobrazení protokolů

Na stránce využití a odhadované náklady si můžete prohlédnout svůj objem dat za měsíc.From the Usage and Estimated Costs page you can review your data volume for the month. To zahrnuje všechna data přijatá a uchovávaná v pracovním prostoru Log Analytics.This includes all the data received and retained in your Log Analytics workspace. Kliknutím na Podrobnosti o využití v horní části stránky zobrazíte řídicí panel využití s informacemi o trendech objemu dat podle zdroje, počítačů a nabídky.Click Usage details from the top of the page, to view the usage dashboard with information on data volume trends by source, computers, and offering. Chcete-li zobrazit a nastavit denní limit nebo upravit dobu uchování, klikněte na položku Správa objemu dat.To view and set a daily cap or to modify the retention period, click Data volume management.

Do faktury Azure se přidají poplatky za Log Analytics.Log Analytics charges are added to your Azure bill. Podrobnosti o fakturaci Azure můžete zobrazit v části fakturace Azure Portal nebo v portál fakturace Azure.You can see details of your Azure bill under the Billing section of the Azure portal or in the Azure Billing Portal.

Zobrazení využití Log Analytics na faktuře AzureViewing Log Analytics usage on your Azure bill

Azure poskytuje skvělou užitečnou funkci centra Azure cost management + fakturace .Azure provides a great deal of useful functionality in the Azure Cost Management + Billing hub. Například funkce "cost Analysis" umožňuje zobrazit vaše výdaje na prostředky Azure.For instance, the "Cost analysis" functionality enables you to view your spends for Azure resources. Nejdřív přidejte filtr podle "typ prostředku" (do Microsoft. operationalinsights/Workspace pro Log Analytics a Microsoft. operationalinsights/Workspace for Log Analytics clusters) vám umožní sledovat výdaje na Log Analytics.First, add a filter by "Resource type" (to microsoft.operationalinsights/workspace for Log Analytics and microsoft.operationalinsights/workspace for Log Analytics Clusters) will allow you to track your Log Analytics spend. Pak u možnosti "seskupit podle" vyberte kategorii měřičů "nebo" měřič ".Then for "Group by" select "Meter category" or "Meter". Všimněte si, že jiné služby, například Azure Security Center a Sentinel Azure, účtují své využití také pomocí Log Analytics prostředků pracovního prostoru.Note that other services such as Azure Security Center and Azure Sentinel also bill their usage against Log Analytics workspace resources. Chcete-li zobrazit mapování na název služby, můžete místo grafu vybrat zobrazení tabulky.To see the mapping to Service name, you can select the Table view instead of a chart.

Lepší porozumění vašemu využití můžete získat stažením vašeho využití z Azure Portal.More understanding of your usage can be gained by downloading your usage from the Azure portal. Ve stažených tabulkách vidíte využití podle prostředku Azure (např. Log Analytics pracovní prostor) za den.In the downloaded spreadsheet you can see usage per Azure resource (e.g. Log Analytics workspace) per day. V této excelové tabulce můžete využití vašich Log Analytics pracovních prostorů najít prvním filtrováním ve sloupci měřiče měření, ve kterém se zobrazí "Log Analytics", "přehledy a analýzy (používané některými staršími cenovými úrovněmi) a" Azure Monitor "(používané cenovými úrovněmi rezervací kapacity) a pak přidání filtru do sloupce" ID instance ", který je" obsahuje pracovní prostor "nebo" obsahuje cluster "(druhý k zahrnutí Log Analytics využití clusteru).In this Excel spreadsheet, usage from your Log Analytics workspaces can be found by first filtering on the "Meter Category" column to show "Log Analytics", "Insights and Analytics" (used by some of the legacy pricing tiers) and "Azure Monitor" (used by Capacity Reservation pricing tiers), and then adding a filter on the "Instance ID" column which is "contains workspace" or "contains cluster" (the latter to include Log Analytics Cluster usage). Využití se zobrazí ve sloupci "spotřebované množství" a jednotka pro každou položku je zobrazena ve sloupci Měrná jednotka.The usage is shown in the "Consumed Quantity" column and the unit for each entry is shown in the "Unit of Measure" column. K dispozici jsou další podrobnosti, které vám pomůžou pochopit Microsoft Azureovou fakturaci.More details are available to help you understand your Microsoft Azure bill.

Změna cenové úrovněChanging pricing tier

Pokud chcete změnit Log Analytics cenové úrovně vašeho pracovního prostoru,To change the Log Analytics pricing tier of your workspace,

  1. V Azure Portal otevřete z pracovního prostoru využití a odhadované náklady , kde se zobrazí seznam všech cenových úrovní dostupných pro tento pracovní prostor.In the Azure portal, open Usage and estimated costs from your workspace where you'll see a list of each of the pricing tiers available to this workspace.

  2. Přečtěte si odhadované náklady na jednotlivé cenové úrovně.Review the estimated costs for each of the pricing tiers. Tento odhad vychází z posledních 31 dnů od použití, takže tento odhad nákladů se spoléhá na posledních 31 dní, které jsou součástí typického využití.This estimate is based on the last 31 days of usage, so this cost estimate relies on the last 31 days being representative of your typical usage. V následujícím příkladu vidíte, jak na základě vzorů dat během posledních 31 dnů bude tento pracovní prostor méně levnější v rámci vrstvy s průběžnými platbami (#1) v porovnání s úrovní rezervace kapacity 100 GB/den (#2).In the example below you can see how, based on the data patterns from the last 31 days, this workspace would cost less in the Pay-As-You-Go tier (#1) compared to the 100 GB/day Capacity Reservation tier (#2).

    Cenové úrovně

  3. Po kontrole odhadovaných nákladů na základě posledních 31 dnů využití se rozhodnete změnit cenovou úroveň kliknutím na Vybrat.After reviewing the estimated costs based on the last 31 days of usage, if you decide to change the pricing tier, click Select.

Cenovou úroveň můžete také nastavit prostřednictvím Azure Resource Manager pomocí sku parametru ( pricingTier v Azure Resource Manager šabloně).You can also set the pricing tier via Azure Resource Manager using the sku parameter (pricingTier in the Azure Resource Manager template).

Starší cenové úrovněLegacy pricing tiers

Předplatná, která měl Log Analytics pracovní prostor nebo prostředek Application Insights před 2. dubna 2018 nebo jsou propojená s smlouva Enterprise, která začala před 1. února 2019, bude i nadále mít přístup k používání starších cenových úrovní: Free, Standalone (za GB) a per Node (OMS).Subscriptions who had a Log Analytics workspace or Application Insights resource in it before April 2, 2018, or are linked to an Enterprise Agreement that started prior to February 1, 2019, will continue to have access to use the legacy pricing tiers: Free, Standalone (Per GB) and Per Node (OMS). Pracovní prostory v bezplatné cenové úrovni budou mít denní příjem dat omezený na 500 MB (kromě datových typů zabezpečení shromažďovaných v Azure Security Center) a uchovávání dat je omezeno na 7 dní.Workspaces in the Free pricing tier will have daily data ingestion limited to 500 MB (except for security data types collected by Azure Security Center) and the data retention is limited to 7 days. Cenová úroveň Free je určena pouze pro účely vyhodnocení.The Free pricing tier is intended only for evaluation purposes. Pracovní prostory v cenové úrovni samostatného nebo počtu uzlů mají uživatelsky konfigurovatelné uchovávání dat od 30 do 730 dnů.Workspaces in the Standalone or Per Node pricing tiers have user-configurable retention from 30 to 730 days.

Cenové úrovně na jednotlivé uzly se účtují za monitorované virtuální počítače (uzel) na základě členitosti hodin.The Per Node pricing tier charges per monitored VM (node) on an hour granularity. U každého monitorovaného uzlu má pracovní prostor přiděleno 500 MB dat za den, který se neúčtuje.For each monitored node, the workspace is allocated 500 MB of data per day that is not billed. Toto přidělení je agregované na úrovni pracovního prostoru.This allocation is aggregated at the workspace level. Data ingestovaná nad agregovaným denním přidělením dat se účtují za GB jako nadlimitní využití dat.Data ingested above the aggregate daily data allocation is billed per GB as data overage. Všimněte si, že na faktuře bude služba Insight and Analytics Log Analytics využití, pokud je pracovní prostor v cenové úrovni podle počtu uzlů.Note that on your bill, the service will be Insight and Analytics for Log Analytics usage if the workspace is in the Per Node pricing tier.

Tip

Pokud má váš pracovní prostor přístup k cenové úrovni na jednotlivých uzlech , ale zjistíte, jestli by byl méně nákladně v úrovni průběžných plateb, můžete pomocí následujícího dotazu snadno získat doporučení.If your workspace has access to the Per Node pricing tier, but you're wondering whether it would be cost less in a Pay-As-You-Go tier, you can use the query below to easily get a recommendation.

Pracovní prostory vytvořené před dubna 2016 mají přístup také k původním cenovým úrovním Standard a Premium , které mají pevnou dobu uchovávání dat 30 a 365 dnů v uvedeném pořadí.Workspaces created prior to April 2016 can also access the original Standard and Premium pricing tiers which have fixed data retention of 30 and 365 days respectively. Nové pracovní prostory nelze vytvořit v cenové úrovni Standard nebo Premium a pokud je pracovní prostor přesunut z těchto úrovní, nelze jej přesunout zpět.New workspaces cannot be created in the Standard or Premium pricing tiers, and if a workspace is moved out of these tiers, it cannot be moved back.

K dispozici je také některé chování mezi používáním starších Log Analytics vrstev a způsobu, jakým se účtují využití Azure Security Center.There are also some behaviors between the use of legacy Log Analytics tiers and how usage is billed for Azure Security Center.

  1. Pokud je pracovní prostor ve starší verzi úrovně Standard nebo Premium, Azure Security Center se bude účtovat jenom pro Log Analytics příjem dat, ne na uzel.If the workspace is in the legacy Standard or Premium tier, Azure Security Center will be billed only for Log Analytics data ingestion, not per node.
  2. Pokud je pracovní prostor ve starší verzi na vrstvu uzlu, Azure Security Center se bude účtovat pomocí aktuálního cenového modelu založeného na uzlu Azure Security Center.If the workspace is in the legacy Per Node tier, Azure Security Center will be billed using the current Azure Security Center node-based pricing model.
  3. V jiných cenových úrovních (včetně rezervací kapacity), pokud Azure Security Center bylo povoleno před 19. června 2017, Azure Security Center bude účtováno pouze za Log Analytics přijímání dat.In other pricing tiers (including Capacity Reservations), if Azure Security Center was enabled before June 19, 2017, Azure Security Center will be billed only for Log Analytics data ingestion. Jinak se Azure Security Center bude účtovat pomocí aktuálního cenového modelu založeného na uzlu Azure Security Center.Otherwise Azure Security Center will be billed using the current Azure Security Center node-based pricing model.

Další podrobnosti o omezeních cenové úrovně jsou k dispozici zde.More details of pricing tier limitations are available here.

Poznámka

Pokud chcete použít nároky, které pocházejí z nákupu sady OMS E1 Suite, OMS E2 Suite nebo doplňku OMS pro System Center, vyberte cenovou úroveň Log Analytics pro jednotlivé uzly .To use the entitlements that come from purchasing OMS E1 Suite, OMS E2 Suite or OMS Add-On for System Center, choose the Log Analytics Per Node pricing tier.

Změna doby uchovávání datChange the data retention period

Následující postup popisuje, jak nakonfigurovat, jak dlouho budou data protokolu uchovávána ve vašem pracovním prostoru.The following steps describe how to configure how long log data is kept by in your workspace. Uchovávání dat je možné nakonfigurovat z 30 na 730 dní (2 roky) pro všechny pracovní prostory, pokud nepoužíváte starší verzi bezplatné cenové úrovně. Přečtěte si další informace o cenách pro delší dobu uchovávání dat.Data retention can be configured from 30 to 730 days (2 years) for all workspaces unless they are using the legacy Free pricing tier.Learn more about pricing for longer data retention.

Výchozí uchováníDefault retention

Pokud chcete nastavit výchozí dobu uchovávání pro váš pracovní prostor,To set the default retention for your workspace,

  1. V Azure Portal v pracovním prostoru v levém podokně vyberte využití a odhadované náklady .In the Azure portal, from your workspace, select Usage and estimated costs from the left pane.

  2. V horní části stránky Využití a odhadované náklady klikněte na Správa objemu dat.On the Usage and estimated costs page, click Data volume management from the top of the page.

  3. V podokně přesunutím posuvníku zvyšte nebo snižte počet dní a potom klikněte na tlačítko OK.On the pane, move the slider to increase or decrease the number of days and then click OK. Pokud jste na bezplatné úrovni, nebudete moct upravit dobu uchovávání dat a abyste mohli řídit toto nastavení, musíte upgradovat na placenou úroveň.If you are on the free tier, you will not be able to modify the data retention period and you need to upgrade to the paid tier in order to control this setting.

    Změnit nastavení uchovávání dat pracovního prostoru

Když je doba uchování nižší, před odebráním nejstarší dat se zobrazí několik dní po dobu odkladu.When the retention is lowered, there is a several day grace period before the oldest data is removed.

Uchovávání lze také nastavit prostřednictvím Azure Resource Manager pomocí retentionInDays parametru.The retention can also be set via Azure Resource Manager using the retentionInDays parameter. Pokud navíc nastavíte uchovávání dat na 30 dní, můžete spustit okamžitou mazání starších dat pomocí immediatePurgeDataOn30Days parametru, který může být užitečný pro scénáře související s dodržováním předpisů.Additionally, if you set the data retention to 30 days, you can trigger an immediate purge of older data using the immediatePurgeDataOn30Days parameter, which may be useful for compliance-related scenarios. Tato funkce se zveřejňuje jenom prostřednictvím Azure Resource Manager.This functionality is only exposed via Azure Resource Manager.

Ve výchozím nastavení se standardně uchovávají dva datové typy-- Usage a--a za AzureActivity Toto 90 dne se neúčtují žádné poplatky za 90 dní.Two data types -- Usage and AzureActivity -- are retained for a minimum of 90 days by default, and there is no charge for for this 90 day retention. Pokud se uchování v pracovním prostoru zvyšuje nad 90 dnů, bude se také zvyšovat doba uchování těchto datových typů.If the workspace retention is increased above 90 days, the retention of these data types will also be increased. Tyto datové typy jsou také zdarma z poplatků za příjem dat.These data types are also free from data ingestion charges.

Datové typy z prostředků Application Insights založených na pracovních prostorech ( AppAvailabilityResults , AppBrowserTimings ,, AppDependencies AppExceptions , AppEvents , AppMetrics , AppPageViews , AppPerformanceCounters , AppRequests AppSystemEvents a AppTraces ) se ve výchozím nastavení uchovávají i po dobu 90 dnů a za toto 90 dne se neúčtují žádné poplatky.Data types from workspace-based Application Insights resources (AppAvailabilityResults, AppBrowserTimings, AppDependencies, AppExceptions, AppEvents, AppMetrics, AppPageViews, AppPerformanceCounters, AppRequests, AppSystemEvents and AppTraces) are also retained for 90 days by default, and there is no charge for for this 90 day retention. Jejich uchování je možné upravit pomocí funkce uchování podle datového typu.Their retention can be adjust using the retention by data type functionality.

Uchovávání dat podle datového typuRetention by data type

Je také možné zadat různá nastavení uchovávání pro jednotlivé datové typy od 30 do 730 dnů (s výjimkou pracovních prostorů ve starší verzi bezplatné cenové úrovně).It is also possible to specify different retention settings for individual data types from 30 to 730 days (except for workspaces in the legacy Free pricing tier). Každý datový typ je dílčím prostředkem pracovního prostoru.Each data type is a sub-resource of the workspace. Například tabulku SecurityEvent lze vyřešit v Azure Resource Manager jako:For instance the SecurityEvent table can be addressed in Azure Resource Manager as:

/subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/MyResourceGroupName/providers/Microsoft.OperationalInsights/workspaces/MyWorkspaceName/Tables/SecurityEvent

Všimněte si, že datový typ (tabulka) rozlišuje velká a malá písmena.Note that the data type (table) is case sensitive. Chcete-li získat aktuální nastavení pro uchování dat určitého datového typu (v tomto příkladu SecurityEvent), použijte:To get the current per data type retention settings of a particular data type (in this example SecurityEvent), use:

    GET /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/MyResourceGroupName/providers/Microsoft.OperationalInsights/workspaces/MyWorkspaceName/Tables/SecurityEvent?api-version=2017-04-26-preview

Chcete-li pro všechny typy dat v pracovním prostoru získat aktuální nastavení pro uchování dat, stačí vynechat konkrétní datový typ, například:To get the current per data type retention settings for all data types in your workspace, just omit the specific data type, for example:

    GET /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/MyResourceGroupName/providers/Microsoft.OperationalInsights/workspaces/MyWorkspaceName/Tables?api-version=2017-04-26-preview

Chcete-li nastavit uchovávání konkrétního datového typu (v tomto příkladu SecurityEvent) až 730 dnů, udělejteTo set the retention of a particular data type (in this example SecurityEvent) to 730 days, do

    PUT /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/MyResourceGroupName/providers/Microsoft.OperationalInsights/workspaces/MyWorkspaceName/Tables/SecurityEvent?api-version=2017-04-26-preview
    {
        "properties": 
        {
            "retentionInDays": 730
        }
    }

Platné hodnoty pro retentionInDays jsou od 30 do 730.Valid values for retentionInDays are from 30 through 730.

Usage AzureActivity Datové typy a nelze nastavit s vlastním uchováváním.The Usage and AzureActivity data types cannot be set with custom retention. Budou platit až do maximálního počtu výchozích uchovávání pracovních prostorů nebo 90 dnů.They will take on the maximum of the default workspace retention or 90 days.

Skvělý nástroj pro připojení přímo k Azure Resource Manager k nastavení možnosti uchovávání informací podle datového typu je ARMclientnástroje OSS.A great tool to connect directly to Azure Resource Manager to set retention by data type is the OSS tool ARMclient. Další informace o ARMclient od článků získáte v článku David Ebbo a Daniel Bowbyes.Learn more about ARMclient from articles by David Ebbo and Daniel Bowbyes. Tady je příklad použití ARMClient a nastavení dat SecurityEvent na 730 dne:Here's an example using ARMClient, setting SecurityEvent data to a 730 day retention:

armclient PUT /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/MyResourceGroupName/providers/Microsoft.OperationalInsights/workspaces/MyWorkspaceName/Tables/SecurityEvent?api-version=2017-04-26-preview "{properties: {retentionInDays: 730}}"

Tip

Nastavení uchovávání pro jednotlivé datové typy lze použít ke snížení nákladů na uchovávání dat.Setting retention on individual data types can be used to reduce your costs for data retention. Pro data shromážděná od října 2019 (při vydání této funkce) snížení doby uchování některých datových typů může snížit náklady na uchovávání dat v průběhu času.For data collected starting in October 2019 (when this feature was released), reducing the retention for some data types can reduce your retention cost over time. U dříve shromážděných dat nastavení nižšího uchování pro jednotlivý typ nebude mít vliv na náklady na uchování.For data collected earlier, setting a lower retention for an individual type will not affect your retention costs.

Správa maximálního denního objemu datManage your maximum daily data volume

Můžete nakonfigurovat denní limit a omezit každodenní ingestování pro váš pracovní prostor, ale pečlivě používejte, protože by váš cíl neměl mít denní limit.You can configure a daily cap and limit the daily ingestion for your workspace, but use care as your goal should not be to hit the daily limit. Jinak ztratíte data zbývajícího dne, což může mít vliv na další služby a řešení Azure, jejichž funkce můžou záviset na dostupnosti dat v pracovním prostoru.Otherwise, you lose data for the remainder of the day, which can impact other Azure services and solutions whose functionality may depend on up-to-date data being available in the workspace. Výsledkem je, že schopnost sledovat a přijímat výstrahy, když jsou ovlivněny stavové stavy prostředků, které podporují IT služby.As a result, your ability to observe and receive alerts when the health conditions of resources supporting IT services are impacted. Denní limit je určený k použití jako způsob, jak spravovat neočekávané zvýšení objemu dat ze spravovaných prostředků a zůstat v rámci vašeho limitu, nebo pokud chcete omezit neplánované poplatky pro váš pracovní prostor.The daily cap is intended to be used as a way to manage the unexpected increase in data volume from your managed resources and stay within your limit, or when you want to limit unplanned charges for your workspace.

Každý pracovní prostor má denní limit, který se aplikuje na jinou hodinu dne.Each workspace has its daily cap applied on a different hour of the day. Nulová hodina se zobrazí na stránce denní limit (viz níže).The reset hour is shown in the Daily Cap page (see below). Tuto hodinu resetování nelze nakonfigurovat.This reset hour cannot be configured.

Brzy po dosažení denního limitu se kolekce fakturovatelných datových typů zastaví pro zbytek dne.Soon after the daily limit is reached, the collection of billable data types stops for the rest of the day. (Latence vyplývající z použití denního limitu znamená, že se limit nepoužívá přesně na určenou denní úroveň limitu.) V horní části stránky se zobrazí banner s upozorněním pro vybraný Log Analytics pracovní prostor a událost operace se odešle do tabulky Operation v kategorii LogManagement .(Latency inherent in applying the daily cap means that the cap is not applied at precisely the specified daily cap level.) A warning banner appears across the top of the page for the selected Log Analytics workspace and an operation event is sent to the Operation table under LogManagement category. Shromažďování dat se obnoví po uplynutí doby obnovení definované v rámci denního limitu.Data collection resumes after the reset time defined under Daily limit will be set at. Doporučujeme definovat pravidlo výstrahy na základě této události operace, která je nakonfigurována tak, aby po dosažení denního limitu dat upozornila na oznámení.We recommend defining an alert rule based on this operation event, configured to notify when the daily data limit has been reached.

Upozornění

Denní limit nezastaví shromažďování dat z Azure Sentinal ani Azure Security Center, s výjimkou pracovních prostorů, ve kterých Azure Security Center byl nainstalován před 19. června 2017.The daily cap does not stop the collection of data from Azure Sentinal or Azure Security Center, except for workspaces in which Azure Security Center was installed before June 19, 2017.

Určete, který denní limit dat se má definovat.Identify what daily data limit to define

Přečtěte si Log Analytics využití a odhadované náklady , abyste porozuměli trendům příjmu dat a jaký je denní zakončení pro definování.Review Log Analytics Usage and estimated costs to understand the data ingestion trend and what is the daily volume cap to define. Měli byste se považovat za pečlivě, protože jste ji vyhráli? po dosažení limitu by bylo možné monitorovat vaše prostředky.It should be considered with care, since you won?t be able to monitor your resources after the limit is reached.

Nastavení denního limituSet the Daily Cap

Následující postup popisuje, jak nakonfigurovat limit pro správu objemu dat, který Log Analytics pracovní prostor ingestovat za den.The following steps describe how to configure a limit to manage the volume of data that Log Analytics workspace will ingest per day.

  1. V levém podokně vašeho pracovního prostoru vyberte Využití a odhadované náklady.From your workspace, select Usage and estimated costs from the left pane.

  2. Na stránce využití a odhadované náklady pro vybraný pracovní prostor klikněte v horní části stránky na možnost datový limit .On the Usage and estimated costs page for the selected workspace, click Data Cap from the top of the page.

  3. Denní limit je ve výchozím nastavení vypnutý ?Daily cap is OFF by default ? klikněte na zapnout a pak nastavte limit počtu dat v GB za den.click ON to enable it, and then set the data volume limit in GB/day.

    Log Analytics konfiguraci omezení dat

Denní limit se dá nakonfigurovat přes ARM nastavením dailyQuotaGb parametru v části jak je WorkspaceCapping popsáno zde.The daily cap can be configured via ARM by setting the dailyQuotaGb parameter under WorkspaceCapping as described here.

Výstraha při denním limituAlert when Daily Cap reached

Když při splnění prahové hodnoty limitu dat prezentujeme Azure Portal vizuální sestavování, toto chování se nemusí nutně sjednotit na to, jak budete spravovat provozní problémy, které vyžadují okamžitou pozornost.While we present a visual cue in the Azure portal when your data limit threshold is met, this behavior doesn't necessarily align to how you manage operational issues requiring immediate attention. Chcete-li dostávat oznámení o výstrahách, můžete v Azure Monitor vytvořit nové pravidlo výstrahy.To receive an alert notification, you can create a new alert rule in Azure Monitor. Další informace najdete v tématu jak vytvářet, zobrazovat a spravovat výstrahy.To learn more, see how to create, view, and manage alerts.

Pokud chcete začít, tady je doporučené nastavení pro tuto výstrahu:To get you started, here are the recommended settings for the alert:

  • Cíl: Vyberte prostředek Log AnalyticsTarget: Select your Log Analytics resource
  • MěřítkCriteria:
    • Název signálu: prohledávání vlastního protokoluSignal name: Custom log search
    • Vyhledávací dotaz: operace | kde detail má ' překročení kvóty 'Search query: Operation | where Detail has 'OverQuota'
    • Podle: počet výsledkůBased on: Number of results
    • Podmínka: je větší nežCondition: Greater than
    • Prahová hodnota: 0Threshold: 0
    • Období: 5 (minuty)Period: 5 (minutes)
    • Frekvence: 5 (minuty)Frequency: 5 (minutes)
  • Název pravidla výstrahy: dosáhlo se denního limitu dat.Alert rule name: Daily data limit reached
  • Závažnost: upozornění (závažnost 1)Severity: Warning (Sev 1)

Po definování výstrahy a dosažení limitu se aktivuje výstraha a bude provedena odpověď definovaná ve skupině akcí.Once alert is defined and the limit is reached, an alert is triggered and performs the response defined in the Action Group. Může váš tým informovat prostřednictvím e-mailu a textových zpráv nebo automatizovat akce pomocí webhooků, runbooků pro automatizaci nebo integrací s externím řešením ITSM.It can notify your team via email and text messages, or automate actions using webhooks, Automation runbooks or integrating with an external ITSM solution.

Řešení potíží způsobujících větší využití, než se čekaloTroubleshooting why usage is higher than expected

Větší využití je způsobeno jedním nebo obojím z těchto aspektů:Higher usage is caused by one, or both of:

  • Více uzlů, než se čekalo na odesílání dat do Log Analytics pracovního prostoruMore nodes than expected sending data to Log Analytics workspace
  • Více dat, než se čekalo do Log Analytics pracovního prostoru (možná z důvodu zahájení použití nového řešení nebo změny konfigurace stávajícího řešení)More data than expected being sent to Log Analytics workspace (perhaps due to starting to use a new solution or a configuration change to an existing solution)

Porozumění uzlům odesílajícím dataUnderstanding nodes sending data

Chcete-li pochopit počet uzlů, které hlásí prezenční signály od agenta každý den za poslední měsíc, použijteTo understand the number of nodes reporting heartbeats from the agent each day in the last month, use

Heartbeat 
| where TimeGenerated > startofday(ago(31d))
| summarize nodes = dcount(Computer) by bin(TimeGenerated, 1d)    
| render timechart

Hodnota získat počet uzlů odesílajících data za posledních 24 hodin používá dotaz:The get a count of nodes sending data in the last 24 hours use the query:

union * 
| where TimeGenerated > ago(24h)
| extend computerName = tolower(tostring(split(Computer, '.')[0]))
| where computerName != ""
| summarize nodes = dcount(computerName)

Chcete-li získat seznam uzlů, které odesílají data (a objem dat odesílaných každým), je možné použít následující dotaz:To get a list of nodes sending any data (and the amount of data sent by each) the follow query can be used:

union * 
| where TimeGenerated > ago(24h)
| extend computerName = tolower(tostring(split(Computer, '.')[0]))
| where computerName != ""
| summarize TotalVolumeBytes=sum(_BilledSize) by computerName

Tip

Tyto dotazy můžete použít union * zřídka, protože kontroly napříč datovými typy jsou náročné na prostředky , které je potřeba provést.Use these union * queries sparingly as scans across data types are resource intensive to execute. Pokud nepotřebujete výsledky na počítač , zadejte dotaz na datový typ použití (viz níže).If you do not need results per computer then query on the Usage data type (see below).

Principy ingestných objemů datUnderstanding ingested data volume

Na stránce využití a odhadované náklady zobrazuje ingestování dat na řešení celkový objem odeslaných dat a množství, které jednotlivé řešení odesílají.On the Usage and Estimated Costs page, the Data ingestion per solution chart shows the total volume of data sent and how much is being sent by each solution. Díky tomu můžete určit trendy, jako je například to, jestli celkové využití dat (nebo využití konkrétního řešení) roste, zbývající stabilní nebo klesající.This allows you to determine trends such as whether the overall data usage (or usage by a particular solution) is growing, remaining steady or decreasing.

Objem dat pro konkrétní událostiData volume for specific events

Chcete-li se podívat na velikost přijatých dat pro určitou sadu událostí, můžete zadat dotaz na konkrétní tabulku (v tomto příkladu Event ) a pak dotaz omezit na události, které vás zajímají (v tomto příkladě ID události 5145 nebo 5156):To look at the size of ingested data for a particular set of events, you can query the specific table (in this example Event) and then restrict the query to the events of interest (in this example event ID 5145 or 5156):

Event
| where TimeGenerated > startofday(ago(31d)) and TimeGenerated < startofday(now()) 
| where EventID == 5145 or EventID == 5156
| where _IsBillable == true
| summarize count(), Bytes=sum(_BilledSize) by EventID, bin(TimeGenerated, 1d)

Všimněte si, že klauzule where _IsBillable = true filtruje datové typy z určitých řešení, pro které se neúčtují žádné poplatky za ingestování.Note that the clause where _IsBillable = true filters out data types from certain solutions for which there is no ingestion charge. Přečtěte si další informace o _IsBillable .Learn more about _IsBillable.

Objem dat podle řešeníData volume by solution

Dotaz použitý k zobrazení objemu fakturovatelných dat podle řešení za poslední měsíc (s výjimkou posledního částečného dne) je:The query used to view the billable data volume by solution over the last month (excluding the last partial day) is:

Usage 
| where TimeGenerated > ago(32d)
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by bin(StartTime, 1d), Solution | render barchart

Klauzule WITH TimeGenerated je určena pouze k zajištění toho, aby se možnosti dotazování v Azure Portal vypadaly až za výchozí 24 hodin.The clause with TimeGenerated is only to ensure that the query experience in the Azure portal will look back beyond the default 24 hours. Při použití datového typu použití StartTime a EndTime představují časové intervaly, pro které jsou zobrazeny výsledky.When using the Usage data type, StartTime and EndTime represent the time buckets for which results are presented.

Objem dat podle typuData volume by type

Další podrobnosti můžete prozkoumat a zobrazit tak trendy dat pro datový typ:You can drill in further to see data trends for by data type:

Usage 
| where TimeGenerated > ago(32d)
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by bin(StartTime, 1d), DataType | render barchart

Nebo pokud chcete zobrazit tabulku podle řešení a typu za poslední měsíc,Or to see a table by solution and type for the last month,

Usage 
| where TimeGenerated > ago(32d)
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) by Solution, DataType
| sort by Solution asc, DataType asc

Objem dat podle počítačeData volume by computer

UsageDatový typ neobsahuje informace na úrovni počítače.The Usage data type does not include information at the computer level. Chcete-li zobrazit Velikost zpracovaných dat na jeden počítač, použijte _BilledSize vlastnost, která poskytuje velikost v bajtech:To see the size of ingested data per computer, use the _BilledSize property, which provides the size in bytes:

union * 
| where TimeGenerated > ago(24h)
| where _IsBillable == true 
| extend computerName = tolower(tostring(split(Computer, '.')[0]))
| summarize BillableDataBytes = sum(_BilledSize) by  computerName 
| sort by BillableDataBytes nulls last

_IsBillable Vlastnost určuje, jestli se za ingestovaná data účtují poplatky.The _IsBillable property specifies whether the ingested data will incur charges.

Chcete-li zobrazit počet fakturovaných událostí zpracovaných na počítač, použijteTo see the count of billable events ingested per computer, use

union * 
| where TimeGenerated > ago(24h)
| where _IsBillable == true 
| extend computerName = tolower(tostring(split(Computer, '.')[0]))
| summarize eventCount = count() by computerName  
| sort by eventCount nulls last

Tip

Tyto dotazy můžete použít union * zřídka, protože kontroly napříč datovými typy jsou náročné na prostředky , které je potřeba provést.Use these union * queries sparingly as scans across data types are resource intensive to execute. Pokud nepotřebujete výsledky na počítač , pak na něj zadejte dotaz na datový typ použití.If you do not need results per computer then query on the Usage data type.

Objem dat podle prostředku Azure, skupiny prostředků nebo předplatnéhoData volume by Azure resource, resource group, or subscription

Pro data z uzlů hostovaných v Azure můžete získat Velikost zpracovaných dat na jeden počítač, použít vlastnost_ResourceId, která poskytuje úplnou cestu k prostředku:For data from nodes hosted in Azure you can get the size of ingested data per computer, use the _ResourceId property, which provides the full path to the resource:

union * 
| where TimeGenerated > ago(24h)
| where _IsBillable == true 
| summarize BillableDataBytes = sum(_BilledSize) by _ResourceId | sort by BillableDataBytes nulls last

Pro data z uzlů hostovaných v Azure můžete získat Velikost přijatých dat pro každé předplatné Azure, získat ID předplatného _ResourceId jako tuto vlastnost:For data from nodes hosted in Azure you can get the size of ingested data per Azure subscription, get subscription ID the _ResourceId property as:

union * 
| where TimeGenerated > ago(24h)
| where _IsBillable == true 
| summarize BillableDataBytes = sum(_BilledSize) by _ResourceId
| extend subscriptionId = split(_ResourceId, "/")[2] 
| summarize BillableDataBytes = sum(BillableDataBytes) by subscriptionId | sort by BillableDataBytes nulls last

Podobně platí, že pokud chcete získat objem dat podle skupiny prostředků, bude to:Similarly, to get data volume by resource group this would be:

union * 
| where TimeGenerated > ago(24h)
| where _IsBillable == true 
| summarize BillableDataBytes = sum(_BilledSize) by _ResourceId
| extend resourceGroup = split(_ResourceId, "/")[4] 
| summarize BillableDataBytes = sum(BillableDataBytes) by resourceGroup | sort by BillableDataBytes nulls last

V případě potřeby můžete také _ResourceId plně analyzovat v případě potřeby i.You can also parse the _ResourceId more fully if needed as well using

| parse tolower(_ResourceId) with "/subscriptions/" subscriptionId "/resourcegroups/" 
    resourceGroup "/providers/" provider "/" resourceType "/" resourceName   

Tip

Tyto dotazy můžete použít union * zřídka, protože kontroly napříč datovými typy jsou náročné na prostředky , které je potřeba provést.Use these union * queries sparingly as scans across data types are resource intensive to execute. Pokud nepotřebujete výsledky v rámci předplatného, skupiny prostředků nebo názvu prostředku, pak dotaz na datový typ použití.If you do not need results per subscription, resouce group or resource name, then query on the Usage data type.

Upozornění

Některá pole datového typu použití, ale stále ve schématu, jsou zastaralá a jejich hodnoty se už neplní.Some of the fields of the Usage data type, while still in the schema, have been deprecated and will their values are no longer populated. Jedná se o počítač a pole související s ingestování (TotalBatches, BatchesWithinSla, BatchesOutsideSla, BatchesCapped a AverageProcessingTimeMs).These are Computer as well as fields related to ingestion (TotalBatches, BatchesWithinSla, BatchesOutsideSla, BatchesCapped and AverageProcessingTimeMs.

Dotazování na Common data typesQuerying for common data types

Pokud chcete dig hlouběji ke zdroji dat pro určitý datový typ, tady jsou některé užitečné příklady dotazů:To dig deeper into the source of data for a particular data type, here are some useful example queries:

  • Prostředky Application Insights založené na pracovním prostoruWorkspace-based Application Insights resources
  • Řešení zabezpečeníSecurity solution
    • SecurityEvent | summarize AggregatedValue = count() by EventID
  • Řešení pro správu protokolůLog Management solution
    • Usage | where Solution == "LogManagement" and iff(isnotnull(toint(IsBillable)), IsBillable == true, IsBillable == "true") == true | summarize AggregatedValue = count() by DataType
  • Datový typ PerfPerf data type
    • Perf | summarize AggregatedValue = count() by CounterPath
    • Perf | summarize AggregatedValue = count() by CounterName
  • Datový typ EventEvent data type
    • Event | summarize AggregatedValue = count() by EventID
    • Event | summarize AggregatedValue = count() by EventLog, EventLevelName
  • Datový typ SyslogSyslog data type
    • Syslog | summarize AggregatedValue = count() by Facility, SeverityLevel
    • Syslog | summarize AggregatedValue = count() by ProcessName
  • Datový typ AzureDiagnosticsAzureDiagnostics data type
    • AzureDiagnostics | summarize AggregatedValue = count() by ResourceProvider, ResourceId

Tipy pro snížení objemu datTips for reducing data volume

Mezi návrhy na snížení objemu shromažďovaných protokolů patří:Some suggestions for reducing the volume of logs collected include:

Zdroj velkého objemu datSource of high data volume Postup snížení objemu datHow to reduce data volume
Přehledy kontejnerůContainer Insights Nakonfigurujte službu Container Insights tak, aby shromáždila pouze data, která požadujete.Configure Container Insights to collect only the data you required.
Události zabezpečeníSecurity events Vyberte běžné nebo minimální události zabezpečení.Select common or minimal security events
Změňte zásady auditu zabezpečení tak, aby se shromažďovaly jenom potřebné události.Change the security audit policy to collect only needed events. Zaměřte se hlavně na potřebu shromažďovat události proIn particular, review the need to collect events for
- audit platformy Filtering Platform- audit filtering platform
- audit registru- audit registry
- audit systému souborů- audit file system
- audit objektu jádra- audit kernel object
- audit manipulace s popisovačem- audit handle manipulation
– audit vyměnitelného úložiště- audit removable storage
Čítače výkonuPerformance counters Změňte konfiguraci čítačů výkonu tak, aby se:Change performance counter configuration to:
– Snížila četnost shromažďování dat- Reduce the frequency of collection
– Snížil počet čítačů výkonu- Reduce number of performance counters
Protokoly událostíEvent logs Změňte konfiguraci protokolů událostí tak, aby se:Change event log configuration to:
– Snížil počet shromažďovaných protokolů událostí- Reduce the number of event logs collected
– Shromažďovaly pouze požadované úrovně událostí- Collect only required event levels. Například zrušte shromažďování událostí úrovně Informace.For example, do not collect Information level events
SyslogSyslog Změňte konfiguraci syslogu tak, aby se:Change syslog configuration to:
– Snížil počet zařízení, ze kterých se shromažďují data- Reduce the number of facilities collected
– Shromažďovaly pouze požadované úrovně událostí- Collect only required event levels. Například zrušte shromažďování událostí úrovně Informace a Ladění.For example, do not collect Info and Debug level events
AzureDiagnosticsAzureDiagnostics Změňte shromažďování protokolů prostředků tak, aby se:Change resource log collection to:
– Snížil počet prostředků, které odesílají protokoly do Log Analytics- Reduce the number of resources send logs to Log Analytics
– Shromažďovaly pouze požadované protokoly- Collect only required logs
Data řešení z počítačů, které řešení nepotřebujíSolution data from computers that don't need the solution K shromažďování dat z požadovaných skupin počítačů použijte cílení na řešení .Use solution targeting to collect data from only required groups of computers.

Získávání uzlů, které se účtují v cenové úrovni podle počtu uzlůGetting nodes as billed in the Per Node pricing tier

Pokud chcete získat seznam počítačů, které se budou fakturovat jako uzly, pokud je pracovní prostor ve starší verzi na cenové úrovni uzlů, hledejte uzly, které odesílají účtované datové typy (některé datové typy jsou zdarma).To get a list of computers which will be billed as nodes if the workspace is in the legacy Per Node pricing tier, look for nodes which are sending billed data types (some data types are free). K tomu použijte _IsBillable vlastnost a použijte pole s plně kvalifikovaným názvem domény v levém krajním poli.To do this, use the _IsBillable property and use the leftmost field of the fully qualified domain name. Vrátí počet počítačů s fakturovanými daty za hodinu (což je členitost, při které se uzly počítají a účtují):This returns the count of computers with billed data per hour (which is the granularity at which nodes are counted and billed):

union * 
| where _IsBillable == true 
| extend computerName = tolower(tostring(split(Computer, '.')[0]))
| where computerName != ""
| summarize billableNodes=dcount(computerName) by bin(TimeGenerated, 1h) | sort by TimeGenerated asc

Načítají se počty uzlů zabezpečení a automatizace.Getting Security and Automation node counts

Pokud se nacházíte na cenové úrovni per Node (OMS), bude se vám účtovat na základě počtu uzlů a řešení, která používáte, a v tabulce na stránce využití a odhadované náklady se zobrazí počet uzlů Insights a analýz, pro které se vám účtují poplatky.If you are on "Per node (OMS)" pricing tier, then you are charged based on the number of nodes and solutions you use, the number of Insights and Analytics nodes for which you are being billed will be shown in table on the Usage and Estimated Cost page.

Pokud chcete zobrazit počet různých uzlů zabezpečení, můžete použít dotaz:To see the number of distinct Security nodes, you can use the query:

union
(
    Heartbeat
    | where (Solutions has 'security' or Solutions has 'antimalware' or Solutions has 'securitycenter')
    | project Computer
),
(
    ProtectionStatus
    | where Computer !in~
    (
        (
            Heartbeat
            | project Computer
        )
    )
    | project Computer
)
| distinct Computer
| project lowComputer = tolower(Computer)
| distinct lowComputer
| count

Pro zobrazení počtu různých uzlů automatizace použijte dotaz:To see the number of distinct Automation nodes, use the query:

 ConfigurationData 
 | where (ConfigDataType == "WindowsServices" or ConfigDataType == "Software" or ConfigDataType =="Daemons") 
 | extend lowComputer = tolower(Computer) | summarize by lowComputer 
 | join (
     Heartbeat 
       | where SCAgentChannel == "Direct"
       | extend lowComputer = tolower(Computer) | summarize by lowComputer, ComputerEnvironment
 ) on lowComputer
 | summarize count() by ComputerEnvironment | sort by ComputerEnvironment asc

Vyhodnocení starší cenové úrovně na úrovni jednotlivých uzlůEvaluating the legacy Per Node pricing tier

Rozhodnutí o tom, jestli jsou pracovní prostory s přístupem k starší verzi na úrovni jednotlivých uzlů v této úrovni nebo v aktuální úrovni rezervace kapacity pro průběžné platby často pro zákazníky obtížné vyhodnotit.The decision of whether workspaces with access to the legacy Per Node pricing tier are better off in that tier or in a current Pay-As-You-Go or Capacity Reservation tier is often difficult for customers to assess. To zahrnuje porozumění vzájemnému poměru mezi pevnými náklady na uzel na základě cenové úrovně jednotlivých uzlů a jeho zahrnutým přidělením dat 500 MB/uzel/den a náklady spojené s příjmem dat na úrovni průběžných plateb (za GB).This involves understanding the trade-off between the fixed cost per monitored node in the Per Node pricing tier and its included data allocation of 500 MB/node/day and the cost of just paying for ingested data in the Pay-As-You-Go (Per GB) tier.

K usnadnění tohoto posouzení se dá použít následující dotaz k vytvoření doporučení pro optimální cenovou úroveň na základě vzorů používání pracovního prostoru.To facilitate this assessment, the following query can be used to make a recommendation for the optimal pricing tier based on a workspace's usage patterns. Tento dotaz prohlíží monitorované uzly a data ingestovaná do pracovního prostoru za posledních 7 dnů. každý den vyhodnocuje, která cenová úroveň byla optimální.This query looks at the monitored nodes and data ingested into a workspace in the last 7 days, and for each day evaluates which pricing tier would have been optimal. Chcete-li použít dotaz, je nutné zadatTo use the query, you need to specify

  1. zda pracovní prostor používá Azure Security Center nastavením workspaceHasSecurityCenter na true nebo false ,whether the workspace is using Azure Security Center by setting workspaceHasSecurityCenter to true or false,
  2. Aktualizujte ceny, pokud máte specifické slevy aupdate the prices if you have specific discounts, and
  3. Zadejte počet dní, po který se má vyhledat a analyzovat daysToEvaluate .specify the number of days to look back and analyze by setting daysToEvaluate. To je užitečné v případě, že dotaz trvá příliš dlouho, než se podíváme na 7 dní dat.This is useful if the query is taking too long trying to look at 7 days of data.

Tady je dotaz doporučení cenové úrovně:Here is the pricing tier recommendation query:

// Set these parameters before running query
let workspaceHasSecurityCenter = true;  // Specify if the workspace has Azure Security Center
let PerNodePrice = 15.; // Enter your montly price per monitored nodes
let PerNodeOveragePrice = 2.30; // Enter your price per GB for data overage in the Per Node pricing tier
let PerGBPrice = 2.30; // Enter your price per GB in the Pay-as-you-go pricing tier
let daysToEvaluate = 7; // Enter number of previous days look at (reduce if the query is taking too long)
// ---------------------------------------
let SecurityDataTypes=dynamic(["SecurityAlert", "SecurityBaseline", "SecurityBaselineSummary", "SecurityDetection", "SecurityEvent", "WindowsFirewall", "MaliciousIPCommunication", "LinuxAuditLog", "SysmonEvent", "ProtectionStatus", "WindowsEvent", "Update", "UpdateSummary"]);
let StartDate = startofday(datetime_add("Day",-1*daysToEvaluate,now()));
let EndDate = startofday(now());
union * 
| where TimeGenerated >= StartDate and TimeGenerated < EndDate
| extend computerName = tolower(tostring(split(Computer, '.')[0]))
| where computerName != ""
| summarize nodesPerHour = dcount(computerName) by bin(TimeGenerated, 1h)  
| summarize nodesPerDay = sum(nodesPerHour)/24.  by day=bin(TimeGenerated, 1d)  
| join kind=leftouter (
    Heartbeat 
    | where TimeGenerated >= StartDate and TimeGenerated < EndDate
    | where Computer != ""
    | summarize ASCnodesPerHour = dcount(Computer) by bin(TimeGenerated, 1h) 
    | extend ASCnodesPerHour = iff(workspaceHasSecurityCenter, ASCnodesPerHour, 0)
    | summarize ASCnodesPerDay = sum(ASCnodesPerHour)/24.  by day=bin(TimeGenerated, 1d)   
) on day
| join (
    Usage 
    | where TimeGenerated >= StartDate and TimeGenerated < EndDate
    | where IsBillable == true
    | extend NonSecurityData = iff(DataType !in (SecurityDataTypes), Quantity, 0.)
    | extend SecurityData = iff(DataType in (SecurityDataTypes), Quantity, 0.)
    | summarize DataGB=sum(Quantity)/1000., NonSecurityDataGB=sum(NonSecurityData)/1000., SecurityDataGB=sum(SecurityData)/1000. by day=bin(StartTime, 1d)  
) on day
| extend AvgGbPerNode =  NonSecurityDataGB / nodesPerDay
| extend PerGBDailyCost = iff(workspaceHasSecurityCenter,
             (NonSecurityDataGB + max_of(SecurityDataGB - 0.5*ASCnodesPerDay, 0.)) * PerGBPrice,
             DataGB * PerGBPrice)
| extend OverageGB = iff(workspaceHasSecurityCenter, 
             max_of(DataGB - 0.5*nodesPerDay - 0.5*ASCnodesPerDay, 0.), 
             max_of(DataGB - 0.5*nodesPerDay, 0.))
| extend PerNodeDailyCost = nodesPerDay * PerNodePrice / 31. + OverageGB * PerNodeOveragePrice
| extend Recommendation = iff(PerNodeDailyCost < PerGBDailyCost, "Per Node tier", 
             iff(NonSecurityDataGB > 85., "Capacity Reservation tier", "Pay-as-you-go (Per GB) tier"))
| project day, nodesPerDay, ASCnodesPerDay, NonSecurityDataGB, SecurityDataGB, OverageGB, AvgGbPerNode, PerGBDailyCost, PerNodeDailyCost, Recommendation | sort by day asc
//| project day, Recommendation // Comment this line to see details
| sort by day asc

Tento dotaz nepředstavuje přesnou replikaci toho, jak se vypočítává využití, ale ve většině případů bude fungovat s doporučeními cenové úrovně.This query is not an exact replication of how usage is calculated, but will work for providing pricing tier recommendations in most cases.

Poznámka

Pokud chcete použít nároky, které pocházejí z nákupu sady OMS E1 Suite, OMS E2 Suite nebo doplňku OMS pro System Center, vyberte cenovou úroveň Log Analytics pro jednotlivé uzly .To use the entitlements that come from purchasing OMS E1 Suite, OMS E2 Suite or OMS Add-On for System Center, choose the Log Analytics Per Node pricing tier.

Vytvořit výstrahu, když je shromažďování dat vysokéCreate an alert when data collection is high

V této části se dozvíte, jak vytvořit výstrahu, kterou datový svazek za posledních 24 hodin překročil zadanou velikost pomocí Azure Monitor výstrahy protokolu.This section describes how to create an alert the data volume in the last 24 hours exceeded a specified amount, using Azure Monitor Log Alerts.

Chcete-li upozornit, zda byl objem fakturovatelných dat zobrazený za posledních 24 hodin větší než 50 GB, postupujte podle následujících kroků:To alert if the billable data volume ingested in the last 24 hours was greater than 50 GB, follow these steps:

  • Definujte podmínku upozornění – Jako cíl prostředku zadejte svůj pracovní prostor služby Log Analytics.Define alert condition specify your Log Analytics workspace as the resource target.
  • Kritéria upozornění – Zadejte následující:Alert criteria specify the following:
    • Název signálu – Vyberte Vlastní prohledávání protokolu.Signal Name select Custom log search
    • Vyhledávací dotaz na Usage | where IsBillable | summarize DataGB = sum(Quantity / 1000.) | where DataGB > 50 .Search query to Usage | where IsBillable | summarize DataGB = sum(Quantity / 1000.) | where DataGB > 50. Pokud chcete differetnIf you want a differetn
    • Logika upozornění je Založená na počtu výsledků a Podmínka je Větší nežPrahová hodnota0.Alert logic is Based on number of results and Condition is Greater than a Threshold of 0
    • Časové období 1440 minut a frekvence upozornění každé 1440 minutesto spustit jednou denně.Time period of 1440 minutes and Alert frequency to every 1440 minutesto run once a day.
  • Definujte podrobnosti upozornění – Zadejte následující:Define alert details specify the following:
    • Název pro fakturovatelný objem dat větší než 50 GB za 24 hodinName to Billable data volume greater than 50 GB in 24 hours
    • Závažnost na Upozornění.Severity to Warning

Zadejte existující nebo vytvořte novou Skupinu akcí, abyste dostali upozornění, když upozornění protokolu splní kritéria.Specify an existing or create a new Action Group so that when the log alert matches criteria, you are notified.

Když obdržíte výstrahu, postupujte podle kroků uvedených v předchozích částech o postupu při řešení potíží s tím, proč je použití vyšší, než se očekávalo.When you receive an alert, use the steps in the above sections about how to troubleshoot why usage is higher than expected.

Poplatky za přenos dat pomocí Log AnalyticsData transfer charges using Log Analytics

Odesílání dat do Log Analytics může mít za následek poplatky za šířku pásma dat.Sending data to Log Analytics might incur data bandwidth charges. Jak je popsáno na stránce ceny za Azure šířku pásma, přenos dat mezi službami Azure v rámci dvou oblastí se v normální sazbě účtuje jako odchozí přenos dat.As described in the Azure Bandwidth pricing page, data transfer between Azure services located in two regions charged as outbound data transfer at the normal rate. Příchozí přenos dat je zdarma.Inbound data transfer is free. Tento poplatek je však velmi malý (několik%) v porovnání s náklady na Log Analytics přijímání dat.However, this charge is very small (few %) compared to the costs for Log Analytics data ingestion. V důsledku toho se řídí náklady na Log Analytics se musí soustředit na přijatý objem dat a máme vám Rady, jak to porozumět .Consequently controlling costs for Log Analytics needs to focus on your ingested data volume, and we have guidance to help understand that here.

Řešení potíží s tím, proč Log Analytics už neshromažďuje dataTroubleshooting why Log Analytics is no longer collecting data

Pokud používáte starší verzi bezplatné cenové úrovně a v den jste poslali více než 500 MB dat, zastaví se shromažďování dat pro zbytek dne.If you are on the legacy Free pricing tier and have sent more than 500 MB of data in a day, data collection stops for the rest of the day. Dosažení denního limitu je běžný důvod, proč Log Analytics zastaví shromažďování dat, nebo se zdá, že data chybí.Reaching the daily limit is a common reason that Log Analytics stops collecting data, or data appears to be missing. Log Analytics vytvoří událost typu operace při spuštění a zastavení shromažďování dat.Log Analytics creates an event of type Operation when data collection starts and stops. Spuštěním následujícího dotazu v hledání ověřte, jestli se vám dosáhlo denního limitu a chybějících dat:Run the following query in search to check if you are reaching the daily limit and missing data:

Operation | where OperationCategory == 'Data Collection Status'

Po zastavení shromažďování dat je stav operationstatus Upozornění.When data collection stops, the OperationStatus is Warning. Když se spustí shromažďování dat, stav operationstatus se podařilo.When data collection starts, the OperationStatus is Succeeded. Následující tabulka popisuje důvody, proč se shromažďování dat zastaví, a navrhovanou akci pro pokračování shromažďování dat:The following table describes reasons that data collection stops and a suggested action to resume data collection:

Kolekce důvodů – zastaveníReason collection stops ŘešeníSolution
Dosáhlo se denního limitu starší verze bezplatné cenové úrovně.Daily limit of legacy Free pricing tier reached Počkejte prosím, než se automaticky restartuje kolekce, nebo se změní na placenou cenovou úroveň.Wait until the following day for collection to automatically restart, or change to a paid pricing tier.
Dosáhlo se denního limitu pracovního prostoru.Daily cap of your workspace was reached Počkejte na automatické restartování kolekce nebo zvyšte počet denních objemů dat popsaných v tématu Správa maximálního denního objemu dat.Wait for collection to automatically restart, or increase the daily data volume limit described in manage the maximum daily data volume. Doba obnovení denního limitu se zobrazí na stránce Správa objemu dat .The daily cap reset time is shows on the Data volume management page.
Předplatné Azure je v pozastaveném stavu z důvodu:Azure subscription is in a suspended state due to:
Zkušební verze skončila.Free trial ended
Platnost Azure Pass vypršela.Azure pass expired
Dosáhlo se limitu měsíčního útraty (například na předplatném MSDN nebo Visual Studio).Monthly spending limit reached (for example on an MSDN or Visual Studio subscription)
Přechod na placené předplatnéConvert to a paid subscription
Odebrat limit nebo počkat na obnovení limituRemove limit, or wait until limit resets

Chcete-li být upozorněni na zastavení shromažďování dat, postupujte podle kroků popsaných v části Vytvoření výstrahy denního datového zakončení , která bude oznámena při zastavení shromažďování dat.To be notified when data collection stops, use the steps described in Create daily data cap alert to be notified when data collection stops. Pomocí kroků popsaných v tématu Vytvoření skupiny akcí nakonfigurujte akci e-mailu, Webhooku nebo Runbooku pro pravidlo výstrahy.Use the steps described in create an action group to configure an e-mail, webhook, or runbook action for the alert rule.

Souhrn omezeníLimits summary

Existují další limity Log Analytics, některé z nich závisí na cenové úrovni Log Analytics.There are some additional Log Analytics limits, some of which depend on the Log Analytics pricing tier. Ty jsou popsány zde.These are documented here.

Další krokyNext steps