Kostenberechnungen und Optionen für Azure Monitor-Protokolle

  • Artikel

Bei den wichtigsten Gebühren für die meisten Azure Monitor-Implementierungen handelt es sich in der Regel um die Erfassung und Aufbewahrung von Daten in Ihren Log Analytics-Arbeitsbereichen. Mehrere Features in Azure Monitor sind nicht mit direkten Kosten verbunden, tragen aber zu den gesammelten Arbeitsbereichsdaten bei. In diesem Artikel wird beschrieben, wie Datengebühren für Ihre Log Analytics-Arbeitsbereiche und Application Insights-Ressourcen berechnet werden und welche verschiedenen Konfigurationsoptionen sich auf Ihre Kosten auswirken.

Tipp

Strategien zum Reduzieren Ihrer Azure Monitor-Kosten finden Sie unter Kostenoptimierung und Azure Monitor.

Preismodell

Log Analytics nutzt standardmäßig ein nutzungsbasiertes Zahlungsmodell auf Grundlage des erfassten Datenvolumens und der Datenaufbewahrung. Jeder Log Analytics-Arbeitsbereich wird als separater Dienst abgerechnet und auf der Rechnung für Ihr Azure-Abonnement aufgeführt. Die Preise für Log Analytics werden regional festgelegt. Die bei der Erfassung anfallende Datenmenge kann erheblich sein und hängt von Folgendem ab:

  • Den aktivierten Verwaltungslösungen und deren Konfiguration
  • Anzahl und Typ der überwachten Ressourcen
  • Den Typen von Daten, die von jeder überwachten Ressource gesammelt wurden

Hier finden Sie eine Liste der Namen der Azure Monitor-Abrechnungszähler.

Berechnung der Datengröße

Das Datenvolumen ist die Größe der zu speichernden Daten und wird in GB-Einheiten (10^9 Byte) gemessen. Die Datengröße eines einzelnen Datensatzes wird anhand einer Zeichenfolgendarstellung der Spalten berechnet, die im Log Analytics-Arbeitsbereich für diesen Datensatz gespeichert werden. Es spielt keine Rolle, ob die Daten von einem Agent gesendet oder während des Erfassungsvorgangs hinzugefügt werden. Zu der Berechnung gehören alle benutzerdefinierten Spalten, die von der Protokollerfassungs-API hinzugefügt werden, Transformationen oder benutzerdefinierte Felder, die bei der Erfassung von Daten hinzugefügt und dann im Arbeitsbereich gespeichert werden.

Hinweis

Die Berechnung des abrechenbaren Datenvolumens ist allgemein wesentlich kleiner als die Größe des gesamten eingehenden in JSON enthaltenen Ereignisses. Im Durchschnitt aller Ereignistypen ist die abgerechnete Größe etwa 25 % geringer als die Größe der eingehenden Daten. Sie kann bis zu 50 % für kleine Ereignisse betragen. Der Prozentsatz umfasst die Auswirkungen im Zusammenhang mit den Standardspalten, die von der Abrechnung ausgeschlossen sind. Sie sollten diese Berechnung der abgerechneten Datengröße kennen, wenn Sie Kosten schätzen und mit anderen Preismodellen vergleichen.

Ausgeschlossene Spalten

Die folgenden Standardspalten sind in allen Tabellen enthalten und werden bei der Berechnung der Datensatzgröße nicht berücksichtigt. Alle anderen Spalten, die in Log Analytics gespeichert werden, sind in der Berechnung der Datensatzgröße enthalten. Die Standardspalten sind:

  • _ResourceId
  • _SubscriptionId
  • _ItemId
  • _IsBillable
  • _BilledSize
  • Type

Ausgeschlossene Tabellen

Bei einigen Tabellen fallen keinerlei Gebühren für die Datenerfassung an. Dazu gehören AzureActivity, Heartbeat, Nutzung und Vorgang. Diese Informationen werden immer durch die Spalte _IsBillable angezeigt, die angibt, ob ein Datensatz von der Abrechnung für die Datenerfassung, -aufbewahrung und das Datenarchiv ausgeschlossen wurde.

Gebühren für andere Lösungen und Dienste

Einige Lösungen verfügen über spezifischere Richtlinien für die kostenlose Datenerfassung. So sind beispielsweise bei Azure Migrate Daten zur Visualisierung von Abhängigkeiten für die ersten 180 Tage einer Serverbewertung kostenlos. Dienste wie Microsoft Defender for Cloud, Microsoft Sentinel und Konfigurationsverwaltung weisen eigene Preismodelle auf.

In der Dokumentation zu den verschiedenen Diensten und Lösungen finden Sie Informationen zu den jeweiligen Abrechnungsberechnungen.

Mindestabnahmen

Zusätzlich zum Modell der nutzungsbasierten Bezahlung bietet Log Analytics Mindestabnahme-Tarife. Mit diesen Tarifen können Sie Einsparungen von bis zu 30 Prozent gegenüber der nutzungsbasierten Zahlung erzielen. Bei der Mindestabnahme verpflichten Sie sich dazu, eine Datenerfassung für einen Arbeitsbereich ab 100 GB pro Tag zu einem niedrigeren Preis als bei der nutzungsbasierten Zahlung zu erwerben. Jegliche Nutzung über die Mindestabnahme hinaus (Überschreitung) wird zu demselben Preis pro GB wie bei der aktuellen Mindestabnahme abgerechnet. (Eine Überschreitung wird mit der gleichen Mindestabnahme abgerechnet. Wenn sich ein Arbeitsbereich beispielsweise in der Mindestabnahmen von 200 GB/Tag befindet und 300 GB an einem Tag erfasst, wird diese Nutzung als 1,5 Einheiten der 200 GB/Tag-Mindestabnahme in Rechnung gestellt.) Die Mindestabnahmen haben einen Verpflichtungszeitraum von 31 Tagen ab dem Zeitpunkt, zu dem eine Mindestabnahme ausgewählt wird.

  • Während des Verpflichtungszeitraums können Sie zu einem höheren Mindestabnahme-Tarif wechseln, der den 31-tägigen Verpflichtungszeitraum neu startet. Sie können erst nach Abschluss des Verpflichtungszeitraums zurück zur nutzungsbasierten Bezahlung oder zu einem niedrigeren Mindestabnahme-Tarif wechseln.
  • Am Ende des Verpflichtungszeitraums behält der Arbeitsbereich den ausgewählten Mindestabnahme-Tarif bei, und der Arbeitsbereich kann jederzeit in die nutzungsbasierte Bezahlung oder in einen niedrigeren Mindestabnahme-Tarif geändert werden.
  • Wenn ein Arbeitsbereich versehentlich in einen Mindestabnahme-Tarif verschoben wurde, wenden Sie sich an den Microsoft Support, um den Verpflichtungszeitraum zurückzusetzen, sodass Sie wieder in den Tarif mit nutzungsbasierter Bezahlung wechseln können.

Die Abrechnung für Mindestabnahmen erfolgt pro Arbeitsbereich und täglich. Wenn der Arbeitsbereich Teil eines dedizierten Clusters ist, erfolgt die Abrechnung für den Cluster. Weitere Informationen erhalten Sie im Abschnitt „Dedizierte Cluster“ (siehe unten). Eine Liste der Mindestabnahme-Tarife und deren Preise finden Sie unter Azure Monitor – Preise.

Azure-Rabatte bei Mindestabnahme wie beispielsweise Rabatte im Rahmen von Microsoft Enterprise Agreements gelten für die Mindestabnahmepreise für Azure Monitor-Protokolle ebenso für die Preise bei nutzungsbasierter Zahlung. Rabatte gelten unabhängig davon, ob die Nutzung pro Arbeitsbereich oder dediziertem Cluster in Rechnung gestellt wird.

Tipp

Das Menüelement Nutzung und geschätzte Kosten für jeden Log Analytics-Arbeitsbereich zeigt eine Schätzung der Gebühren für die Datenerfassung auf den einzelnen Verpflichtungsebenen an, damit Sie die optimale Verpflichtungsebene für Ihre Datenerfassungsmuster auswählen können. Überprüfen Sie diese Informationen regelmäßig, um festzustellen, ob Sie Ihre Gebühren durch den Wechsel zu einer anderen Stufe reduzieren können. Informationen zu dieser Ansicht finden Sie unter Nutzung und geschätzte Kosten. Verwenden Sie Azure Cost Management = Abrechnung, um Ihre tatsächlichen Gebühren zu überprüfen.

Dedicated-Cluster

Ein dedizierter Cluster für Azure Monitor-Protokolle ist eine Sammlung von Arbeitsbereichen in einem einzigen verwalteten Azure Data Explorer-Cluster. Dedizierte Cluster unterstützen erweiterte Features wie kundenseitig verwaltete Schlüssel und verwenden dasselbe Preismodell mit Mindestabnahme wie Arbeitsbereiche, müssen jedoch eine Mindestabnahme von mindestens 100 GB pro Tag aufweisen. Jegliche Nutzung über die Mindestabnahme hinaus (Überschreitung) wird zu demselben Preis pro GB wie bei der aktuellen Mindestabnahme abgerechnet. Für Cluster gibt es keine nutzungsbasierte Bezahlung.

Die Mindestabnahme für Cluster weist einen Verpflichtungszeitraum von 31 Tagen nach Erhöhung der Mindestabnahme auf. Während des Verpflichtungszeitraums kann die Mindestabnahme nicht herabgesetzt, aber jederzeit erhöht werden. Wenn Arbeitsbereiche einem Cluster zugeordnet sind, erfolgt die Abrechnung der Datenerfassung für diese Arbeitsbereiche auf Clusterebene anhand der konfigurierten Mindestabnahme.

Es gibt zwei Abrechnungsmodi für einen Cluster, die Sie beim Erstellen des Clusters angeben:

  • Cluster (Standardeinstellung) : Erfasste Daten werden auf Clusterebene abgerechnet. Die erfassten Datenmengen aus den einzelnen Arbeitsbereichen, die einem Cluster zugeordnet sind, werden aggregiert, um die tägliche Abrechnung für den Cluster zu berechnen. Zuordnungen pro Knoten von Microsoft Defender für Cloud gelten auf Arbeitsbereichsebene vor dieser Aggregation von Daten für alle Arbeitsbereiche im Cluster.

  • Arbeitsbereiche: Die Mindestabnahmekosten für Ihren Cluster werden anteilig auf die Arbeitsbereiche im Cluster umgelegt, und zwar nach dem Datenerfassungsvolumen jedes Arbeitsbereichs (nach Berücksichtigung der Zuweisungen pro Knoten von Microsoft Defender for Cloud für jeden Arbeitsbereich).

    Wenn das gesamte Datenvolumen, das an einem Tag in einem Cluster erfasst wird, kleiner als die Mindestabnahme ist, wird für jeden Arbeitsbereich das jeweilige Datenerfassungsvolumen zum effektiven Mindestabnahmetarif pro GB abgerechnet. Hierzu wird jeweils ein Teil der Mindestabnahmemenge in Rechnung gestellt. Der nicht genutzte Teil der Mindestabnahmemenge wird dann für die Clusterressource in Rechnung gestellt.

    Wenn das gesamte Datenvolumen, das an einem Tag in einem Cluster erfasst wird, über der Mindestabnahme liegt, wird für die einzelnen Arbeitsbereiche jeweils ein Teil der Mindestabnahme (basierend auf dem Anteil der an diesem Tag erfassten Daten) abgerechnet, und für jeden Arbeitsbereich wird jeweils ein Teil der erfassten Daten in Rechnung gestellt, die über die Mindestabnahme hinausgehen. Wenn das gesamte Datenvolumen, das an einem Tag in einem Arbeitsbereich erfasst wird, oberhalb der Mindestabnahme liegt, wird nichts für die Clusterressource abgerechnet.

In Clusterabrechnungsoptionen wird die Datenaufbewahrung für die einzelnen Arbeitsbereiche abgerechnet. Die Clusterabrechnung beginnt mit der Clustererstellung, unabhängig davon, ob dem Cluster Arbeitsbereiche zugeordnet sind.

Wenn Sie Arbeitsbereiche mit einem Cluster verknüpfen, wird der Tarif in Cluster geändert, und die Datenerfassung wird basierend auf der Mindestabnahme des Clusters abgerechnet. Arbeitsbereiche, die einem Cluster zugeordnet sind, weisen keinen eigenen Tarif mehr auf. Die Verknüpfung von Arbeitsbereichen mit einem Cluster kann jederzeit aufgehoben werden, und der Tarif kann in die GB-basierte Zahlung geändert werden.

Wenn Ihr verknüpfter Arbeitsbereich den alten Tarif auf Knotenbasis verwendet, wird er nicht mehr pro Knoten, sondern basierend auf den erfassten Daten gemäß der Mindestabnahme des Clusters abgerechnet. Datenzuordnungen pro Knoten von Microsoft Defender für Cloud werden weiterhin angewendet.

Wenn ein Cluster gelöscht wird, wird die Abrechnung für den Cluster auch dann beendet, wenn sich der Cluster innerhalb der 31-tägigen Verpflichtungsperiode befindet.

Weitere Informationen zum Erstellen eines dedizierten Clusters und zum Angeben des Abrechnungstyps finden Sie unter Erstellen eines dedizierten Clusters.

Standardprotokolle

Sie können bestimmte Tabellen in einem Log Analytics-Arbeitsbereich so konfigurieren, dass Standardprotokolle verwendet werden. Daten in diesen Tabellen weisen eine deutlich reduzierte Erfassungsgebühr und einen begrenzten Aufbewahrungszeitraum auf. Für die Suche in diesen Tabellen fällt eine Gebühr an. Basisprotokolle sind für ausführliche Protokolle mit hohem Volumen gedacht, die Sie zum Debuggen, zur Problembehandlung und zur Überwachung verwenden, jedoch nicht für Analysen und Warnungen.

Die Gebühr für die Suche in Standardprotokollen basiert auf der Anzahl von GB an Daten, die bei der Suche überprüft werden.

Ausführliche Informationen zu Basisprotokollen sowie deren Konfiguration und die Abfrage enthaltener Daten finden Sie unter Konfigurieren von Basisprotokollen in Azure Monitor.

Protokolldatenaufbewahrung und -archivierung

Zusätzlich zur Datenerfassung fällt eine Gebühr für die Aufbewahrung von Daten in jedem Log Analytics-Arbeitsbereich an. Sie können den Aufbewahrungszeitraum für den gesamten Arbeitsbereich oder für jede Tabelle festlegen. Nach diesem Zeitraum werden die Daten entweder entfernt oder archiviert. Archivierte Protokolle weisen eine reduzierte Aufbewahrungsgebühr auf, und für die Suche darin fällt eine Gebühr an. Verwenden Sie Archivprotokolle, um die Kosten für Daten zu verringern, die Sie für die Compliance oder zur gelegentlichen Untersuchung speichern müssen.

Durch das Löschen einer benutzerdefinierten Tabelle werden keine Daten entfernt, die dieser Tabelle zugeordnet sind, sodass Aufbewahrungs- und Archivgebühren weiterhin gelten.

Ausführliche Informationen zur Datenaufbewahrung und -archivierung, einschließlich der Konfiguration dieser Einstellungen und des Zugriffs auf archivierte Daten, finden Sie unter Konfigurieren von Datenaufbewahrungs- und Archivrichtlinien in Azure Monitor-Protokollen.

Hinweis

Das Löschen von Daten aus Ihrem Log Analytics-Arbeitsbereich mithilfe des Features zum Löschen von Log Analytics wirkt sich nicht auf Ihre Aufbewahrungskosten aus. Um die Aufbewahrungskosten zu senken, verringern Sie den Aufbewahrungszeitraum für den Arbeitsbereich oder für bestimmte Tabellen.

Suchaufträge

Für die Suche in archivierten Protokollen werden Suchaufträge verwendet. Suchaufträge sind asynchrone Abfragen, die Datensätze zur weiteren Analyse in eine neue Suchtabelle in Ihrem Arbeitsbereich abrufen. Suchaufträge werden anhand der Anzahl von GB an Daten berechnet, die jeden Tag überprüft werden und auf die für die Durchführung der Suche zugegriffen wird.

Protokolldatenwiederherstellung

In Situationen, in denen ältere oder archivierte Protokolle intensiv mit den vollständigen Abfragefunktionen für die Analyse abgefragt werden müssen, stellt die Datenwiederherstellung ein leistungsfähiges Tool dar. Mit dem Wiederherstellungsvorgang wird ein bestimmter Zeitbereich von Daten in einer Tabelle im Cache für heiße Daten für Hochleistungsabfragen bereitgestellt. Sie können die Daten später verwerfen, wenn Sie fertig sind. Die Protokolldatenwiederherstellung wird nach Menge der wiederhergestellten Daten berechnet, und nach dem Zeitraum, über den die Wiederherstellung aktiv bleibt. Die für eine Datenwiederherstellung berechneten Mindestwerte sind 2 TB und 12 Stunden. Wiederhergestellte Daten, die 2 TB und/oder eine Dauer von 12 Stunden überschreiten, werden anteilig in Rechnung gestellt.

Protokolldatenexport

Der Datenexport in einem Log Analytics-Arbeitsbereich ermöglicht es Ihnen, Daten nach ausgewählten Tabellen in Ihrem Arbeitsbereich fortlaufend in ein Azure Storage-Konto oder in Azure Event Hubs zu exportieren, sobald sie in einer Azure Monitor-Pipeline eintreffen. Die Gebühren für die Verwendung des Datenexports basieren auf der Menge der exportierten Daten. Die Größe der exportierten Daten ist die Anzahl an Bytes in den exportierten Daten im JSON-Format.

Abrechnung für Application Insights

Da arbeitsbereichsbasierte Application Insights-Ressourcen ihre Daten in einem Log Analytics-Arbeitsbereich speichern, erfolgt die Abrechnung für die Datenerfassung und -aufbewahrung über den Arbeitsbereich, in dem sich die Application Insights-Daten befinden. Aus diesem Grund können Sie alle Optionen des Log Analytics-Preismodells verwenden, einschließlich Mindestabnahmen sowie nutzungsbasierte Bezahlung.

Tipp

Möchten Sie die Aufbewahrungseinstellungen für Ihre Application Insights-Tabellen anpassen? Die Tabellennamen für arbeitsbereichsbasierte Komponenten wurden geändert. Weitere Informationen finden Sie unter Application Insights-Tabellenstruktur

Für die Datenerfassung und Datenaufbewahrung bei einer klassischen Application Insights-Ressource gelten dieselben nutzungsbasierten Preise wie bei arbeitsbereichsbasierten Ressourcen, doch können keine Mindestabnahmen genutzt werden.

Telemetriedaten aus Pingtests und mehrstufigen Tests werden ebenso wie die Nutzung anderer Telemetriedaten aus Ihrer App in Rechnung gestellt. Die Nutzung von Webtests und die Aktivierung von Warnungen für benutzerdefinierte Metrikdimensionen wird weiterhin über Application Insights gemeldet. Für die Verwendung von Live Metrics Stream fällt keine Gebühr für das Datenvolumen an.

Ausführliche Informationen zu Legacytarifen, die für Early Adopters von Application Insights verfügbar sind, finden Sie unter Application Insights: Legacy-Enterprise-Tarif (pro Knoten).

Arbeitsbereiche mit Microsoft Sentinel

Wenn Microsoft Sentinel in einem Log Analytics-Arbeitsbereich aktiviert ist, unterliegen alle in diesem Arbeitsbereich gesammelten Daten zusätzlich zu Log Analytics-Gebühren auch Microsoft Sentinel-Gebühren. Aus diesem Grund trennen Sie häufig die Sicherheits- und Betriebsdaten in verschiedenen Arbeitsbereichen, sodass keine Microsoft Sentinel-Gebühren für Betriebsdaten anfallen.

In einigen Szenarien kann die Kombination dieser Daten zu Kosteneinsparungen führen. Dies ist in der Regel der Fall, wenn Sie nicht genügend Sicherheits- und Betriebsdaten sammeln, um jeweils eine Mindestabnahmestufe zu erreichen, die kombinierten Daten aber für eine Mindestabnahme ausreichend sind. Ausführliche Informationen und eine Beispielkostenberechnung finden Sie im Abschnitt „Kombinieren Ihrer SOC-Daten und Nicht-SOC-Daten“ des Artikels Entwerfen der Microsoft Sentinel-Arbeitsbereichsarchitektur.

Arbeitsbereiche mit Microsoft Defender für Cloud

Microsoft Defender for Servers (Teil von Defender for Cloud)berechnet die Anzahl der überwachten Dienste. Ihnen stehen 500 MB pro Server und Tag der Datenzuordnung zur Verfügung, die auf die folgende Teilmenge von Sicherheitsdatentypen angewendet wird:

Wenn sich der Arbeitsbereich in der alten Preisstufe "Pro Knoten" befindet, werden die Zuweisungen für Defender für Cloud und Log Analytics kombiniert und gemeinsam auf alle abrechenbaren erfassten Daten angewendet. Weitere Informationen dazu, wie Microsoft Sentinel-Kund*innen profitieren können, finden Sie auf der Preisgestaltungsseite für Microsoft Sentinel.

Die Anzahl der überwachten Server wird pro Stunde berechnet. Die täglichen Datenzuordnungsbeiträge von jedem überwachten Server werden auf Arbeitsbereichsebene aggregiert. Wenn sich der Arbeitsbereich in der alten Preisstufe "Pro Knoten" befindet, werden die Zuweisungen für Microsoft Defender für Cloud und Log Analytics kombiniert und gemeinsam auf alle abrechenbaren erfassten Daten angewendet.

Legacytarife

Abonnements, die am 2. April 2018 einen Log Analytics-Arbeitsbereich oder eine Application Insights Ressource enthielten oder mit einem Enterprise Agreement verknüpft sind, das vor dem 1. Februar 2019 begann und noch immer aktiv ist, haben weiterhin Zugriff auf die folgenden Legacytarife:

  • Eigenständig (pro GB)
  • Pro Knoten (Operations Management Suite (OMS))

Der Zugriff auf den Legacy-Tarif „Kostenlose Testversion“ wurde am 1. Juli 2022 eingeschränkt. Preisinformationen für die Tarife „Eigenständig“ und „Pro Knoten“ finden Sie hier.

Eine Liste der Namen der Azure Monitor-Abrechnungsmesser, einschließlich dieser älteren Ebenen, ist hier verfügbar.

Wichtig

Die älteren Tarife unterstützen den Zugriff auf einige der neuesten Features in Log Analytics nicht, z. B. das Erfassen von Daten als kostengünstige Basisprotokolle.

Tarif „Kostenlose Testversion“

Für Arbeitsbereiche im Tarif „Kostenlose Testversion“ ist die tägliche Datenerfassung auf 500 MB beschränkt (mit Ausnahme von Sicherheitsdatentypen, die von Microsoft Defender for Cloud gesammelt werden). Darüber hinaus ist die Datenaufbewahrung auf sieben Tage beschränkt. Der Tarif „Kostenlose Testversion“ dient nur zu Evaluierungszwecken. Für den Tarif „Kostenlose Testversion“ wird keine SLA bereitgestellt.

Hinweis

Das Erstellen neuer Arbeitsbereiche innerhalb des Tarifs „Kostenlose Testversion“ oder die Einstufung vorhandener Arbeitsbereiche in diesen Tarif war bis zum 1. Juli 2022 möglich.

Tarif „Eigenständig“

Die Nutzung des Tarifs „Eigenständig“ wird anhand des erfassten Datenvolumens abgerechnet. Es wird im Log Analytics-Dienst gemeldet, und die Verbrauchseinheit wird als „Analysierte Daten“ bezeichnet. Bei Arbeitsbereichen im Tarif „Eigenständig“ können Sie aus einer vom Benutzer konfigurierbaren Aufbewahrungsdauer zwischen 30 und 730 Tagen wählen. Arbeitsbereiche im Tarif „Eigenständig“ unterstützen nicht die Verwendung von Basisprotokollen.

Tarif „Pro Knoten“

Der Tarif „Pro Knoten“ wird pro überwachter VM (Knoten) mit einer Granularität von einer Stunde berechnet. Für jeden überwachten Knoten werden dem Arbeitsbereich 500 MB Daten pro Tag zugeteilt, die nicht berechnet werden. Diese Zuteilung wird auf Stundenbasis berechnet und täglich auf Arbeitsbereichsebene aggregiert. Daten, die über die aggregierte tägliche Datenzuteilung hinaus erfasst werden, werden pro GB als Datenüberschreitung berechnet. Der Tarif pro Knoten ist ein Legacytarif, der nur für vorhandene Abonnements verfügbar ist, die die Anforderung für Legacytarife erfüllen.

Der Dienst wird auf Ihrer Rechnung als Insight & Analytics für die Log Analytics-Nutzung ausgewiesen, wenn für den Arbeitsbereich der Tarif „Pro Knoten“ festgelegt ist. Für Arbeitsbereiche im Tarif „Pro Knoten“ gilt eine vom Benutzer festlegbare Datenaufbewahrungsfrist von 30 bis 730 Tagen. Arbeitsbereiche im Tarif „Pro Knoten“ unterstützen nicht die Verwendung von Basisprotokollen. Die Nutzung wird mit drei Verbrauchseinheiten gemeldet:

  • Knoten: Der Verbrauch für die Anzahl der überwachten Knoten (VMs) in Einheiten von Knotenmonaten.
  • Datenüberschreitung pro Knoten: Die Anzahl von GB an Daten, die über die aggregierte Datenzuordnung hinaus erfasst wurden.
  • Pro Knoten enthaltene Daten: Die Menge der erfassten Daten, die durch die aggregierte Datenzuordnung abgedeckt wurden. Diese Verbrauchseinheit wird auch verwendet, wenn der Arbeitsbereich in allen Tarifen verfügbar ist, um die Menge der von Microsoft Defender for Cloud abgedeckten Daten anzuzeigen.

Tipp

Falls für Ihren Arbeitsbereich Zugriff auf den Tarif Pro Knoten besteht und Sie sich fragen, ob die Kosten beim Tarif mit nutzungsbasierter Zahlung niedriger wären, können Sie die unten angegebene Abfrage für eine Empfehlung nutzen.

Tarif „Standard“ und „Premium“

Arbeitsbereiche können seit dem 1. Oktober 2016 nicht mehr in den Tarifen Standard oder Premium erstellt oder verschoben werden. Arbeitsbereiche, die bereits in diesen Tarifen enthalten sind, können sie weiterhin verwenden, aber wenn ein Arbeitsbereich aus diesen Tarifen verschoben wird, kann er nicht dahin zurück verschoben werden. Die Tarife „Standard“ und „Premium“ haben eine feste Datenaufbewahrung von 30 Tagen bzw. 365 Tagen. Arbeitsbereiche in diesen Tarifen unterstützen nicht die Verwendung von Basisprotokollen und Datenarchiven. Die Verbrauchseinheiten für die Datenerfassung werden bei diesen Legacytarifen auf Ihrer Azure-Rechnung als „Analysierte Daten“ bezeichnet.

Microsoft Defender für Cloud mit Legacytarifen

Nachfolgend werden Überlegungen zu den verschiedenen Log Analytics-Legacytarifen und der Berechnung der Nutzung für Microsoft Defender for Cloud aufgeführt:

  • Wenn für den Arbeitsbereich der Legacy-Tarif „Standard“ oder „Premium“ gilt, wird Microsoft Defender für Cloud nur für die Log Analytics-Datenerfassung und nicht pro Knoten berechnet.
  • Wenn sich der Arbeitsbereich im Legacy-Tarif „Pro Knoten“ befindet, wird Microsoft Defender für Cloud mithilfe des aktuellen knotenbasierten Microsoft Defender für Cloud-Preismodells abgerechnet.
  • Wenn Microsoft Defender für Cloud vor dem 19. Juni 2017 aktiviert wurde, wird Microsoft Defender für Cloud in anderen Tarifen (einschließlich Mindestabnahmetarifen) nur die Log Analytics-Datenerfassung in Rechnung gestellt. Andernfalls wird Microsoft Defender für Cloud mit dem aktuellen knotenbasierten Preismodell von Microsoft Defender für Cloud abgerechnet.

Weitere Informationen zu den Einschränkungen der Tarife finden Sie unter Azure-Abonnement- und -Dienstgrenzen, Kontingente und Einschränkungen.

Keiner der Legacytarife bietet regionsbezogene Preise.

Hinweis

Wenn Sie die Berechtigungen nutzen möchten, die Sie durch den Kauf der OMS E1-Suite, OMS E2-Suite oder des OMS-Add-Ons für System Center erwerben, wählen Sie den Tarif Pro Knoten für Log Analytics aus.

Bewerten des Legacytarifs „Pro Knoten“

Es ist häufig schwer festzustellen, ob für Arbeitsbereiche mit Zugriff auf den Legacytarif „Pro Knoten“ anstelle des derzeitigen Tarifs ein aktueller Tarif wie „Nutzungsbasierte Zahlung“ oder „Mindestabnahme“ besser geeignet ist. Sie müssen einerseits mit den Fixkosten pro überwachtem Knoten im Tarif „Pro Knoten“ und der enthaltenen Datenzuordnung von 500 MB pro Knoten und Tag vertraut sein und andererseits auch wissen, welche Kosten für die erfassten Daten im Tarif mit nutzungsbasierter Zahlung (pro GB) anfallen.

Mithilfe der folgenden Abfrage können Sie eine Empfehlung zum optimalen Tarif erhalten, die auf den Nutzungsmustern des Arbeitsbereichs basiert. Bei dieser Abfrage werden die überwachten Knoten und Daten untersucht, die in den letzten sieben Tagen in einem Arbeitsbereich erfasst wurden. Für jeden Tag wird ausgewertet, welcher Tarif optimal wäre. Um die Abfrage zu verwenden, ist Folgendes erforderlich:

  • angeben, ob der Arbeitsbereich Microsoft Defender für Cloud verwendet, indem Sie workspaceHasSecurityCenter auf true oder false festlegen.
  • die Preise aktualisieren, wenn Sie über bestimmte Rabatte verfügen.
  • die Anzahl der Tage angeben, die rückwirkend ermittelt und analysiert werden sollen, indem Sie daysToEvaluate festlegen. Diese Option ist hilfreich, wenn die Abfrage bei Berücksichtigung der Daten von sieben Tagen zu lange dauert.
// Set these parameters before running query
// For pay-as-you-go (per-GB) and commitment tier pricing details, see https://azure.microsoft.com/pricing/details/monitor/.
// You can see your per-node costs in your Azure usage and charge data. For more information, see https://learn.microsoft.com/azure/cost-management-billing/understand/download-azure-daily-usage.  
let workspaceHasSecurityCenter = true;
let daysToEvaluate = 7;
let PerNodePrice = 15.; // Monthly price per monitored node
let PerNodeOveragePrice = 2.30; // Price per GB for data overage in the Per Node pricing tier
let PerGBPrice = 2.30; // Enter the pay-as-you-go price for your workspace's region (from https://azure.microsoft.com/pricing/details/monitor/)
let CommitmentTier100Price = 196.; // Enter your price for the 100 GB/day commitment tier
let CommitmentTier200Price = 368.; // Enter your price for the 200 GB/day commitment tier
let CommitmentTier300Price = 540.; // Enter your price for the 300 GB/day commitment tier
let CommitmentTier400Price = 704.; // Enter your price for the 400 GB/day commitment tier
let CommitmentTier500Price = 865.; // Enter your price for the 500 GB/day commitment tier
let CommitmentTier1000Price = 1700.; // Enter your price for the 1000 GB/day commitment tier
let CommitmentTier2000Price = 3320.; // Enter your price for the 2000 GB/day commitment tier
let CommitmentTier5000Price = 8050.; // Enter your price for the 5000 GB/day commitment tier
// ---------------------------------------
let SecurityDataTypes=dynamic(["SecurityAlert", "SecurityBaseline", "SecurityBaselineSummary", "SecurityDetection", "SecurityEvent", "WindowsFirewall", "MaliciousIPCommunication", "LinuxAuditLog", "SysmonEvent", "ProtectionStatus", "WindowsEvent", "Update", "UpdateSummary"]);
let StartDate = startofday(datetime_add("Day",-1*daysToEvaluate,now()));
let EndDate = startofday(now());
union * 
| where TimeGenerated >= StartDate and TimeGenerated < EndDate
| extend computerName = tolower(tostring(split(Computer, '.')[0]))
| where computerName != ""
| summarize nodesPerHour = dcount(computerName) by bin(TimeGenerated, 1h)  
| summarize nodesPerDay = sum(nodesPerHour)/24.  by day=bin(TimeGenerated, 1d)  
| join kind=leftouter (
    Heartbeat 
    | where TimeGenerated >= StartDate and TimeGenerated < EndDate
    | where Computer != ""
    | summarize ASCnodesPerHour = dcount(Computer) by bin(TimeGenerated, 1h) 
    | extend ASCnodesPerHour = iff(workspaceHasSecurityCenter, ASCnodesPerHour, 0)
    | summarize ASCnodesPerDay = sum(ASCnodesPerHour)/24.  by day=bin(TimeGenerated, 1d)   
) on day
| join (
    Usage 
    | where TimeGenerated >= StartDate and TimeGenerated < EndDate
    | where IsBillable == true
    | extend NonSecurityData = iff(DataType !in (SecurityDataTypes), Quantity, 0.)
    | extend SecurityData = iff(DataType in (SecurityDataTypes), Quantity, 0.)
    | summarize DataGB=sum(Quantity)/1000., NonSecurityDataGB=sum(NonSecurityData)/1000., SecurityDataGB=sum(SecurityData)/1000. by day=bin(StartTime, 1d)  
) on day
| extend AvgGbPerNode =  NonSecurityDataGB / nodesPerDay
| extend OverageGB = iff(workspaceHasSecurityCenter, 
             max_of(DataGB - 0.5*nodesPerDay - 0.5*ASCnodesPerDay, 0.), 
             max_of(DataGB - 0.5*nodesPerDay, 0.))
| extend PerNodeDailyCost = nodesPerDay * PerNodePrice / 31. + OverageGB * PerNodeOveragePrice
| extend billableGB = iff(workspaceHasSecurityCenter,
             (NonSecurityDataGB + max_of(SecurityDataGB - 0.5*ASCnodesPerDay, 0.)), DataGB )
| extend PerGBDailyCost = billableGB * PerGBPrice
| extend CommitmentTier100DailyCost = CommitmentTier100Price + max_of(billableGB - 100, 0.)* CommitmentTier100Price/100.
| extend CommitmentTier200DailyCost = CommitmentTier200Price + max_of(billableGB - 200, 0.)* CommitmentTier200Price/200.
| extend CommitmentTier300DailyCost = CommitmentTier300Price + max_of(billableGB - 300, 0.)* CommitmentTier300Price/300.
| extend CommitmentTier400DailyCost = CommitmentTier400Price + max_of(billableGB - 400, 0.)* CommitmentTier400Price/400.
| extend CommitmentTier500DailyCost = CommitmentTier500Price + max_of(billableGB - 500, 0.)* CommitmentTier500Price/500.
| extend CommitmentTier1000DailyCost = CommitmentTier1000Price + max_of(billableGB - 1000, 0.)* CommitmentTier1000Price/1000.
| extend CommitmentTier2000DailyCost = CommitmentTier2000Price + max_of(billableGB - 2000, 0.)* CommitmentTier2000Price/2000.
| extend CommitmentTier5000DailyCost = CommitmentTier5000Price + max_of(billableGB - 5000, 0.)* CommitmentTier5000Price/5000.
| extend MinCost = min_of(
    PerNodeDailyCost,PerGBDailyCost,CommitmentTier100DailyCost,CommitmentTier200DailyCost,
    CommitmentTier300DailyCost, CommitmentTier400DailyCost, CommitmentTier500DailyCost, CommitmentTier1000DailyCost, CommitmentTier2000DailyCost, CommitmentTier5000DailyCost)
| extend Recommendation = case(
    MinCost == PerNodeDailyCost, "Per node tier",
    MinCost == PerGBDailyCost, "Pay-as-you-go tier",
    MinCost == CommitmentTier100DailyCost, "Commitment tier (100 GB/day)",
    MinCost == CommitmentTier200DailyCost, "Commitment tier (200 GB/day)",
    MinCost == CommitmentTier300DailyCost, "Commitment tier (300 GB/day)",
    MinCost == CommitmentTier400DailyCost, "Commitment tier (400 GB/day)",
    MinCost == CommitmentTier500DailyCost, "Commitment tier (500 GB/day)",
    MinCost == CommitmentTier1000DailyCost, "Commitment tier (1000 GB/day)",
    MinCost == CommitmentTier2000DailyCost, "Commitment tier (2000 GB/day)",
    MinCost == CommitmentTier5000DailyCost, "Commitment tier (5000 GB/day)",
    "Error"
)
| project day, nodesPerDay, ASCnodesPerDay, NonSecurityDataGB, SecurityDataGB, OverageGB, AvgGbPerNode, PerGBDailyCost, PerNodeDailyCost, 
    CommitmentTier100DailyCost, CommitmentTier200DailyCost, CommitmentTier300DailyCost, CommitmentTier400DailyCost, CommitmentTier500DailyCost, CommitmentTier1000DailyCost, CommitmentTier2000DailyCost, CommitmentTier5000DailyCost, Recommendation 
| sort by day asc
//| project day, Recommendation // Comment this line to see details
| sort by day asc

Diese Abfrage spiegelt nicht exakt wider, wie der Verbrauch berechnet wird, bietet aber in den meisten Fällen Empfehlungen für einen Tarif.

Hinweis

Wenn Sie die Berechtigungen nutzen möchten, die Sie durch den Kauf der OMS E1-Suite, OMS E2-Suite oder des OMS-Add-Ons für System Center erwerben, wählen Sie den Tarif Pro Knoten für Log Analytics aus.

Nächste Schritte