Calculs et options des coûts des journaux Azure Monitor

Les frais les plus importants pour la plupart des implémentations d’Azure Monitor sont généralement ceux liés à l’ingestion et à la conservation des données dans vos espaces de travail Log Analytics. Plusieurs fonctionnalités d’Azure Monitor n’ont pas de coût direct, mais ajoutent aux données de l’espace de travail collectées. Cet article décrit comment les frais de données sont calculés pour vos espaces de travail Log Analytics et vos ressources Application Insights, et les différentes options de configuration qui affectent les coûts.

Conseil

Pour connaître les stratégies de réduction de vos coûts Azure Monitor, consultez Optimisation des coûts et Azure Monitor.

Modèle de tarification

Les tarifs par défaut de Log Analytics suivent un modèle de Paiement à l’utilisation basé sur le volume de données ingérées et la conservation des données. Chaque espace de travail Log Analytics est facturée en tant que service distinct et s’ajoute à la facture de votre abonnement Azure. La tarification pour Log Analytics est définie régionalement. La quantité de données ingérées peut être considérable en fonction de ce qui suit :

  • Le jeu de solutions de gestion activées et leur configuration.
  • Le nombre et le type des ressources surveillées.
  • Les types de données collectées à partir de chaque ressource analysée.

Une liste des noms des compteurs de facturation Azure Monitor est disponible ici.

Calcul de la taille des données

Le volume de données correspond à la taille des données envoyées à stocker et est mesuré en unités de Go (10^9 octets). La taille des données d’un enregistrement unique est calculée à partir d’une représentation en chaîne des colonnes qui sont stockées dans l’espace de travail Log Analytics pour cet enregistrement. Peu importe que les données soient envoyées à partir d’un agent ou ajoutées pendant le processus d’ingestion. Ce calcul inclut toutes les colonnes personnalisées ajoutées par l’API d’ingestion des journaux, les transformations ou les champs personnalisés qui sont ajoutés à mesure que des données sont collectées puis stockées dans l’espace de travail.

Notes

Le calcul du volume de données facturables est généralement sensiblement inférieur à la taille de la totalité de l’événement entrant empaqueté JSON. En moyenne, la taille facturée est d’environ 25 pour cent inférieure à la taille des données entrantes. Il peut être jusqu’à 50 pour cent pour les petits événements. Le pourcentage inclut l’effet des colonnes standard exclues de la facturation. Il est essentiel de comprendre ce calcul de la taille des données facturées lors de l’estimation des coûts et de leur comparaison avec d’autres modèles de tarification.

Colonnes exclues

Les colonnes standard suivantes communes à toutes les tables sont exclues dans le calcul de la taille de l’enregistrement. Toutes les autres colonnes stockées dans Log Analytics sont incluses dans le calcul de la taille de l’enregistrement. Les colonnes standard sont les suivantes :

  • _ResourceId
  • _SubscriptionId
  • _ItemId
  • _IsBillable
  • _BilledSize
  • Type

Tables exclues

Certaines tables sont totalement exemptes de frais d’ingestion de données, notamment AzureActivity, Heartbeat, Usage et Operation. Ces informations seront toujours indiquées par la colonne _IsBillable, qui indique si un enregistrement a été exclu de la facturation pour l’ingestion, la rétention et l’archivage des données.

Frais pour d’autres solutions et services

Certaines solutions ont des stratégies plus spécifiques concernant l’ingestion des données gratuites. Par exemple, avec Azure Migrate les données de visualisation des dépendances sont gratuites pendant les 180 premiers jours d’une évaluation de serveur. Des services tels que Microsoft Defender pour le cloud, Microsoft Sentinel et Configuration Management ont leurs propres modèles tarifaires.

Consultez la documentation relative aux différents services et solutions pour connaître les calculs de facturation uniques.

Niveaux d’engagement

En plus du modèle Paiement à l’utilisation, Log Analytics possède des niveaux d’engagement peut vous permettre d’économiser jusqu’à 30 % par rapport au tarif de Paiement à l’utilisation. Avec les tarifs par niveau d’engagement, vous pouvez vous engager à acheter l’ingestion des données pour un espace de travail, à partir de 100 Go par jour, à un prix inférieur à celui de Paiement à l’utilisation. Toute utilisation au-delà du niveau d’engagement (dépassement) est facturée au même prix par Go que le niveau d’engagement actuel. (Le dépassement est facturé en utilisant le même compteur de facturation du niveau d'engagement. Par exemple, si un espace de travail est dans le palier d'engagement de 200 Go/jour et ingère 300 Go dans une journée, cette utilisation sera facturée comme 1,5 unité du palier d'engagement de 200 Go/jour). Les niveaux d'engagement ont une période d'engagement de 31 jours à partir du moment où un niveau d'engagement est sélectionné.

  • Pendant la période d’engagement, vous pouvez passer à un niveau d’engagement plus élevé, ce qui redémarre la période d’engagement de 31 jours. Vous ne pouvez pas revenir au paiement à l’utilisation ou à un niveau d’engagement inférieur jusqu’à ce que vous ayez terminé la période d’engagement.
  • À la fin de la période d’engagement, l’espace de travail conserve le niveau d’engagement sélectionné et peut être déplacé vers le niveau Paiement à l’utilisation ou vers un autre niveau d’engagement à tout moment.
  • Si un espace de travail est déplacé par inadvertance vers un niveau d’engagement, contactez Support Microsoft pour réinitialiser la période d’engagement afin de pouvoir revenir au niveau tarifaire Paiement à l’utilisation.

La facturation des niveaux d’engagement se fait par espace de travail sur une base quotidienne. Si l’espace de travail fait partie d’un cluster dédié, la facturation est effectuée pour le cluster. Consultez la section suivante « Clusters dédiés ». Consultez Tarification Azure Monitor pour obtenir une liste détaillée des niveaux d’engagement et de leurs prix.

Les remises en fonction du niveau d’engagement Azure, telles que celles obtenues dans le cadre des Contrats Entreprise Microsoft, s’appliquent à la tarification du niveau d’engagement des journaux Azure Monitor ainsi qu’à la tarification à l’utilisation. Les remises sont appliquées que l’utilisation soit facturée par espace de travail ou par cluster dédié.

Conseil

L'élément de menu Utilisation et coûts estimés pour chaque espace de travail Log Analytics affiche une estimation de vos frais d'ingestion de données à chaque niveau d'engagement pour vous aider à choisir le niveau d'engagement optimal pour vos modèles d'ingestion de données. Examinez régulièrement ces informations afin de déterminer si vous pouvez réduire vos frais en passant à un autre niveau. Consultez Utilisation et estimation des coûts pour plus d’informations sur cette vue. Pour consulter vos frais réels, utilisez Azure Cost Management = Billing.

Clusters dédiés

Un cluster dédié pour les journaux Azure Monitor est une collection d’espaces de travail dans un cluster Azure Data Explorer managé unique. Les clusters dédiés prennent en charge des fonctionnalités avancées telles que les clés gérées par le client, tout en utilisant le même modèle tarifaire de niveau d’engagement que les espaces de travail, bien qu’ils aient un niveau d’engagement d’au moins 100 Go par jour. Toute utilisation au-delà du niveau d’engagement (dépassement) est facturée au même prix par Go que le niveau d’engagement actuel. Il n’existe aucune option de paiement à l’utilisation pour les clusters.

Le niveau d’engagement du cluster a une période d’engagement de 31 jours après l’augmentation du niveau d’engagement. Au cours de la période d’engagement, le niveau d’engagement ne peut pas être réduit, mais il peut être augmenté à tout moment. Lorsque des espaces de travail sont associés à un cluster, la facturation d’ingestion des données de ces espaces de travail est effectuée au niveau du cluster à l’aide du niveau d’engagement configuré.

Il existe deux modes de facturation pour un cluster, que vous spécifiez lorsque vous créez le cluster :

  • Cluster (par défaut) : la facturation des données ingérées est effectuée au niveau du cluster. Les quantités de données ingérées de chaque espace de travail associé à un cluster sont agrégées pour calculer la facture quotidienne du cluster. Les allocations par nœud de Microsoft Defender pour le cloud sont appliquées au niveau de l’espace de travail avant cette agrégation des données sur tous les espaces de travail du cluster.

  • Espaces de travail : les coûts de niveau d’engagement pour votre cluster sont attribués proportionnellement aux espaces de travail du cluster, par volume d’ingestion des données de chaque espace de travail (après prise en compte des allocations par nœud à partir de Microsoft Defender pour le cloud pour chaque espace de travail).

    Si le volume total de données ingérées dans un cluster pendant une journée est inférieur au niveau d’engagement, chaque espace de travail est facturé pour ses données ingérées au tarif d’engagement effectif par Go à concurrence d’une fraction du niveau d’engagement. La partie inutilisée du niveau engagement est ensuite facturée à la ressource de cluster.

    Si le volume total de données ingérées dans un cluster au cours d’une journée est supérieur au niveau d’engagement, chaque espace de travail est facturé pour une fraction du niveau d’engagement, en fonction de sa fraction des données ingérées ce jour-là, et chaque espace de travail pour une fraction des données ingérées au-delà du niveau d’engagement. Si le volume total de données ingérées dans un espace de travail au cours d’une journée est supérieur au niveau d’engagement, rien n’est facturé à la ressource de cluster.

Dans les options de facturation du cluster, la conservation des données est facturée pour chaque espace de travail. La facturation du cluster commence lorsque le cluster est créé, que les espaces de travail aient ou non été associés au cluster.

Lorsque vous liez des espaces de travail à un cluster, le niveau tarifaire passe à Cluster, et l’ingestion est facturée en fonction du niveau d’engagement du cluster. Les espaces de travail associés à un cluster ne disposent plus de leur propre niveau tarifaire. Les espaces de travail peuvent être dissociés d’un cluster à tout moment. Dans ce cas, le niveau tarifaire passe à Par Go.

Si votre espace de travail lié utilise le niveau tarifaire Par nœud hérité, il sera facturé en fonction des données ingérées par rapport au niveau d’engagement du cluster, et non plus Par nœud. Les allocations de données par nœud à partir de Microsoft Defender pour le cloud continuent à être appliquées.

Si un cluster est supprimé, la facturation du cluster s’arrête même si le cluster se trouve dans sa période d’engagement de 31 jours.

Pour plus d’informations sur la création d’un cluster dédié et la spécification de son type de facturation, consultez Créer un cluster dédié.

Journaux de base

Vous pouvez configurer certaines tables dans un espace de travail Log Analytics de façon à utiliser des journaux de base. Les données de ces tables ont des frais d’ingestion considérablement réduits et une période de rétention limitée. Des frais sont encourus pour l’exécution de recherches sur ces tables. Les journaux de base sont destinés aux gros volumes de journaux détaillés servant au débogage, à la résolution des problèmes et aux audits, mais pas à l’analytique ni aux alertes.

Les frais de recherche sur les journaux de base sont basés sur les Go de données analysées lors de l’exécution de la recherche.

Pour plus d’informations sur les journaux de base, notamment comment les configurer et interroger leurs données, consultez Configuration des journaux de base dans Azure Monitor (préversion).

Conservation et archivage des données de journaux

En plus de l’ingestion des données, la conservation des données dans chaque espace de travail Log Analytics est facturée. Vous pouvez définir la période de rétention pour l’ensemble de l’espace de travail ou pour chaque table. Après cette période, les données sont supprimées ou archivées. Les journaux archivés font l’objet de frais de conservation réduits, et les recherches effectuées dans ces journaux sont payantes. Utilisez les journaux d’archivage pour réduire les coûts liés aux données que vous devez stocker à des fins de conformité ou d’investigation occasionnelle.

La suppression d’une table personnalisée ne supprime pas les données associées à cette table, de sorte que les frais de rétention et d’archivage continueront à s’appliquer.

Pour plus d’informations sur la conservation et l’archivage des données, notamment sur la configuration de ces paramètres et l’accès aux données archivées, consultez Configurer des stratégies d’archivage et de conservation des données dans les journaux Azure Monitor.

Remarque

La suppression de données de votre espace de travail Log Analytics à l’aide de la fonctionnalité de suppression définitive de Log Analytics n’affecte pas vos coûts de rétention. Pour réduire les coûts de rétention, diminuez la période de rétention pour l’espace de travail ou pour des tables spécifiques.

Tâches de recherche

La recherche sur les journaux archivés utilise des tâches de recherche. Les tâches de recherche sont des requêtes asynchrones qui extraient des enregistrements dans une nouvelle table de recherche dans votre espace de travail pour une analyse plus poussée. Les tâches de recherche sont facturés en fonction du nombre de Go de données analysées chaque jour pour effectuer la recherche.

Restauration des données de journaux

Pour les situations dans lesquelles des journaux anciens ou archivés doivent être interrogés de manière intensive avec les fonctionnalités de requête analytiques complètes, la fonctionnalité de restauration des données est un outil puissant. L’opération de restauration rend une plage horaire spécifique de données dans une table disponible dans le cache à niveau d'accès chaud pour les requêtes hautes performances. Vous pouvez par la suite ignorer les données une fois que vous avez terminé. La restauration des données de journaux est facturée d’après la quantité de données restaurées, et en fonction de la durée pendant laquelle la restauration est maintenue active. Les valeurs minimales facturées pour toute restauration de données sont de 2 To et 12 heures. Les données restaurées de plus de 2 To et/ou pendant plus de 12 heures sont facturées au prorata.

Exportation des données de journaux

L’exportation des données dans l’espace de travail Log Analytics vous permet d’exporter en continu des données de tables sélectionnées dans votre espace de travail vers un compte Stockage Azure ou Azure Event Hubs dès qu’elles arrivent dans le pipeline Azure Monitor. Les frais d’utilisation de l’exportation des données sont basés sur la quantité de données exportées. La taille des données exportées est le nombre d’octets dans les données au format JSON exportées.

Facturation Application Insights

Étant donné que les ressources Application Insights basées sur un espace de travail Log Analytics stockent leurs données dans un espace de travail Log Analytics, la facturation de l’ingestion et de la conservation des données est effectuée par l’espace de travail où se trouvent les données Application Insights. Pour cette raison, vous pouvez utiliser toutes les options du modèle tarifaire Log Analytics, y compris les niveaux d’engagement, ainsi que le paiement à l’utilisation.

Conseil

Vous souhaitez ajuster les paramètres de rétention de vos tableaux Application Insights ? Les noms de tableaux ont été modifiés pour les composants basés sur l’espace de travail. Consultez la rubrique Structure des tableaux Application Insights

L’ingestion des données et la conservation des données pour une ressource Application Insights classique suivent les mêmes tarifs avec paiement à l’utilisation que les ressources basées sur l’espace de travail, mais elles ne peuvent pas tirer parti des niveaux d’engagement.

La télémétrie des tests Ping et des tests à plusieurs étapes est facturée comme l’utilisation des données pour d’autres télémétrie de votre application. L’utilisation des tests web et l’activation des alertes sur les dimensions métriques personnalisées sont toujours signalées par le biais d’Application Insights. Il n’existe aucun frais de volume de données pour l’utilisation du Flux de métriques temps réel.

Pour plus d’informations sur les niveaux hérités disponibles pour les utilisateurs précoces d’Application Insights, consultez Niveau tarifaire d’entreprise hérité Application Insights (par nœud).

Espaces de travail avec Microsoft Sentinel

Lorsque Microsoft Sentinel est activé dans un espace de travail Log Analytics, toutes les données collectées dans cet espace de travail sont soumises à des frais Microsoft Sentinel en plus des frais Log Analytics. Pour cette raison, vous séparerez souvent vos données de sécurité et vos données opérationnelles dans différents espaces de travail afin de ne pas encourir de frais Microsoft Sentinel pour les données opérationnelles.

Dans certains scénarios, la combinaison de ces données peut permettre de réaliser des économies. Cette situation se produit généralement lorsque vous ne collectez pas suffisamment de données opérationnelles et de sécurité pour atteindre pour chacune un niveau d’engagement, mais où les données combinées sont suffisantes pour atteindre un niveau d’engagement. Pour plus d’informations et pour obtenir un exemple de calcul des coûts, consultez « Combinaison de vos données SOC et non-SOC » dans Concevoir votre architecture d’espace de travail Microsoft Sentinel.

Espaces de travail avec Microsoft Defender pour le cloud

Microsoft Defender pour serveurs (qui fait partie de Defender pour le cloud)facture par nombre de services surveillés. Il fournit 500 Mo par serveur par jour d’allocation de données appliqué au sous-ensemble suivant de types de données de sécurité :

Si l’espace de travail est au niveau tarifaire hérité Par nœud, les allocations de Defender pour le cloud et de Log Analytics sont combinées et appliquées conjointement avec toutes les données ingérées facturables. Pour en savoir plus sur la façon dont les clients Microsoft Sentinel peuvent en bénéficier, consultez la page de la tarification Microsoft Sentinel.

Le nombre de serveurs surveillés est calculé sur une granularité horaire. Les contributions quotidiennes à l’allocation de données de chaque serveur surveillé sont agrégées au niveau de l’espace de travail. Si l’espace de travail est au niveau tarifaire hérité Par nœud, les allocations de Microsoft Defender pour le cloud et de Log Analytics sont combinées et appliquées conjointement avec toutes les données ingérées facturables.

Niveaux de tarification hérités

Les abonnements qui contenaient un espace de travail Log Analytics ou une ressource Application Insights le 2 avril 2018, ou qui sont liés à un Contrat Entreprise qui a débuté avant le 1er février 2019 et qui est toujours actif, continueront d’avoir accès à l’utilisation des niveaux tarifaires hérités suivants :

  • Autonome (par Go)
  • Par nœud (Operations Management Suite [OMS])

L’accès au niveau tarifaire d’essai gratuit hérité a été limité le 1er juillet 2022. Les informations sur la tarification pour les niveaux tarifaires autonome et par nœud sont disponibles ici.

Une liste des noms des compteurs de facturation Azure Monitor, y compris ces niveaux hérités, est disponible ici.

Important

Les niveaux tarifaires hérités ne prennent pas en charge l’accès à certaines des fonctionnalités les plus récentes de Log Analytics, comme l’ingestion de données en tant que journaux d’activité basiques économiques.

Niveau tarifaire Essai gratuit

Les espaces de travail du niveau tarifaire Essai gratuit permettent une ingestion des données quotidienne limitée à 500 Mo (à l’exception des types de données de sécurité collectés par Microsoft Defender pour le cloud). La conservation des données est limitée à sept jours. Le niveau tarifaire Essai gratuit est conçu à des fins d’évaluation uniquement, et non pas pour des charges de travail de production. Aucun Contrat de niveau de service n’est fourni pour le niveau Essai gratuit.

Notes

La création de nouveaux espaces de travail dans (ou en déplaçant des espaces de travail existants dans) le niveau tarifaire Essai gratuit hérité était uniquement possible jusqu’au 1er juillet 2022.

Niveau tarifaire Autonome

L’utilisation au niveau tarifaire Autonome est facturée en fonction du volume de données ingérées. Cela est signalé dans le service Log Analytics, et le compteur est nommé « Données analysées ». Les espaces de travail du niveau tarifaire Autonome ont une conservation configurable par l’utilisateur de 30 à 730 jours. Les espaces de travail du niveau tarifaire Autonome ne prennent pas en charge l’utilisation des journaux d’activité basiques.

Niveau tarifaire Par nœud

Le niveau tarifaire par nœud est facturé par machine virtuelle (nœud) surveillée sur une granularité horaire. Pour chaque nœud analysé, 500 Mo de données non facturées par jour sont affectées à l’espace de travail. Cette allocation est calculée avec une granularité horaire et est agrégée chaque jour au niveau de l’espace de travail. Les données ingérées au-delà de l’allocation de données quotidienne agrégée sont facturées par Go comme dépassement de données. Le niveau tarifaire par nœud est un niveau hérité uniquement disponible pour les abonnements existants qui répondent aux exigences relatives aux niveaux tarifaires hérités.

Sur votre facture, le service indiqué est Insight and Analytics pour l’utilisation de Log Analytics si l’espace de travail se trouve dans le niveau tarifaire Par nœud. Les espaces de travail du niveau tarifaire Par nœud présentent une rétention configurable par l’utilisateur de 30 à 730 jours. Les espaces de travail du niveau tarifaire Par nœud ne prennent pas en charge l’utilisation des journaux d’activité basiques. L’utilisation est signalée sur trois compteurs :

  • Nœud : l’utilisation du nombre de nœuds surveillés (machines virtuelles) en unités de nœud par mois.
  • Dépassement de données par nœud : le nombre de Go de données ingérées au-delà de l’allocation de données agrégées.
  • Données incluses par nœud : la quantité de données ingérées qui a été couverte par l’allocation de données agrégées. Ce compteur est également utilisé lorsque l’espace de travail se trouve dans tous les niveaux de tarification pour afficher la quantité de données couvertes par le service Microsoft Defender pour le cloud.

Conseil

Si votre espace de travail a accès au niveau tarifaire Par nœud, mais que vous vous demandez si ce serait moins cher dans un niveau Paiement à l’utilisation, vous pouvez utiliser la requête ci-dessous pour obtenir une suggestion.

Niveaux tarifaires Standard et Premium

Depuis le 1er octobre 2016, les espaces de travail ne peuvent pas être créés ou déplacés vers les niveaux tarifaires Standard ou Premium. Les espaces de travail existant dans ces niveaux tarifaires peuvent continuer à y servir, mais si un espace de travail est déplacé hors de ces niveaux, il ne peut pas y être déplacé à nouveau. Les niveaux tarifaires Standard et Premium disposent de conservation des données respective de 30 et 365 jours. Les espaces de travail de ces niveaux tarifaires ne prennent pas en charge l’utilisation des journaux d’activité basiques et les archives de données. Les compteurs d’ingestion de données sur votre facture Azure pour ces niveaux hérités sont appelés « Données analysées ».

Microsoft Defender pour le cloud avec niveaux tarifaires hérités

Voici quelques points à noter concernant les niveaux Log Analytics hérités et la façon dont l’utilisation est facturée pour Microsoft Defender pour le cloud :

  • Si l’espace de travail se trouve dans le niveau Standard ou Premium hérité, Microsoft Defender pour le cloud est facturé uniquement pour l’ingestion des données Log Analytics, et non par nœud.
  • Si l’espace de travail se situe dans le niveau Par Nœud hérité, Microsoft Defender pour le cloud est facturé en utilisant le modèle de tarification actuel basé sur les nœuds Microsoft Defender pour le cloud.
  • Dans les autres niveaux tarifaires (y compris les niveaux d’engagement), si Microsoft Defender pour le cloud a été activé avant le 19 juin 2017, Microsoft Defender pour le cloud est facturé uniquement pour l’ingestion de données Log Analytics. Sinon, Microsoft Defender pour le cloud est facturé selon le modèle de tarification actuel basé sur les nœuds Microsoft Defender pour le cloud.

Pour plus d’informations sur les limitations de niveau tarifaire, consultez Abonnement Azure et limites, quotas et contraintes de service.

Aucun des niveaux tarifaires hérités n’a de tarification régionale.

Notes

Pour utiliser les droits que vous obtenez à l’achat de la suite OMS E1, OMS E2 ou du module complémentaire OMS pour System Center, sélectionnez le niveau tarifaire Par nœud de Log Analytics.

Évaluer le niveau tarifaire Par nœud hérité

Il est souvent difficile de déterminer si les espaces de travail ayant accès au niveau tarifaire Par nœud hérité sont mieux dans ce niveau ou dans l’une des offres actuelles, Paiement à l’utilisation ou Niveau d’engagement. Cela implique de bien comprendre le compromis entre le coût fixe par nœud supervisé dans le niveau de tarification Par nœud et son allocation de données incluse de 500 Mo par nœud et par jour, et le coût supporté en payant simplement les données ingérées dans le niveau Paiement à l’utilisation (Par Go).

Vous pouvez utiliser la requête suivante pour obtenir une recommandation concernant le niveau tarifaire optimal en fonction des modèles d’utilisation d’un espace de travail. Cette requête examine les nœuds surveillés et les données ingérées dans un espace de travail au cours des sept derniers jours. Pour chaque jour, il évalue le niveau tarifaire qui aurait été optimal. Pour utiliser la requête, vous devez spécifier :

  • Spécifier si l’espace de travail utilise Microsoft Defender pour le cloud en définissant workspaceHasSecurityCenter sur true ou false.
  • Mettre à jour les tarifs si vous avez des remises spécifiques.
  • Spécifiez le nombre de jours à examiner et à analyser en définissant daysToEvaluate. Cette option est utile si la requête prend trop de temps pour essayer de consulter sept jours de données.
// Set these parameters before running query
// For pay-as-you-go (per-GB) and commitment tier pricing details, see https://azure.microsoft.com/pricing/details/monitor/.
// You can see your per-node costs in your Azure usage and charge data. For more information, see https://learn.microsoft.com/azure/cost-management-billing/understand/download-azure-daily-usage.  
let workspaceHasSecurityCenter = true;
let daysToEvaluate = 7;
let PerNodePrice = 15.; // Monthly price per monitored node
let PerNodeOveragePrice = 2.30; // Price per GB for data overage in the Per Node pricing tier
let PerGBPrice = 2.30; // Enter the pay-as-you-go price for your workspace's region (from https://azure.microsoft.com/pricing/details/monitor/)
let CommitmentTier100Price = 196.; // Enter your price for the 100 GB/day commitment tier
let CommitmentTier200Price = 368.; // Enter your price for the 200 GB/day commitment tier
let CommitmentTier300Price = 540.; // Enter your price for the 300 GB/day commitment tier
let CommitmentTier400Price = 704.; // Enter your price for the 400 GB/day commitment tier
let CommitmentTier500Price = 865.; // Enter your price for the 500 GB/day commitment tier
let CommitmentTier1000Price = 1700.; // Enter your price for the 1000 GB/day commitment tier
let CommitmentTier2000Price = 3320.; // Enter your price for the 2000 GB/day commitment tier
let CommitmentTier5000Price = 8050.; // Enter your price for the 5000 GB/day commitment tier
// ---------------------------------------
let SecurityDataTypes=dynamic(["SecurityAlert", "SecurityBaseline", "SecurityBaselineSummary", "SecurityDetection", "SecurityEvent", "WindowsFirewall", "MaliciousIPCommunication", "LinuxAuditLog", "SysmonEvent", "ProtectionStatus", "WindowsEvent", "Update", "UpdateSummary"]);
let StartDate = startofday(datetime_add("Day",-1*daysToEvaluate,now()));
let EndDate = startofday(now());
union * 
| where TimeGenerated >= StartDate and TimeGenerated < EndDate
| extend computerName = tolower(tostring(split(Computer, '.')[0]))
| where computerName != ""
| summarize nodesPerHour = dcount(computerName) by bin(TimeGenerated, 1h)  
| summarize nodesPerDay = sum(nodesPerHour)/24.  by day=bin(TimeGenerated, 1d)  
| join kind=leftouter (
    Heartbeat 
    | where TimeGenerated >= StartDate and TimeGenerated < EndDate
    | where Computer != ""
    | summarize ASCnodesPerHour = dcount(Computer) by bin(TimeGenerated, 1h) 
    | extend ASCnodesPerHour = iff(workspaceHasSecurityCenter, ASCnodesPerHour, 0)
    | summarize ASCnodesPerDay = sum(ASCnodesPerHour)/24.  by day=bin(TimeGenerated, 1d)   
) on day
| join (
    Usage 
    | where TimeGenerated >= StartDate and TimeGenerated < EndDate
    | where IsBillable == true
    | extend NonSecurityData = iff(DataType !in (SecurityDataTypes), Quantity, 0.)
    | extend SecurityData = iff(DataType in (SecurityDataTypes), Quantity, 0.)
    | summarize DataGB=sum(Quantity)/1000., NonSecurityDataGB=sum(NonSecurityData)/1000., SecurityDataGB=sum(SecurityData)/1000. by day=bin(StartTime, 1d)  
) on day
| extend AvgGbPerNode =  NonSecurityDataGB / nodesPerDay
| extend OverageGB = iff(workspaceHasSecurityCenter, 
             max_of(DataGB - 0.5*nodesPerDay - 0.5*ASCnodesPerDay, 0.), 
             max_of(DataGB - 0.5*nodesPerDay, 0.))
| extend PerNodeDailyCost = nodesPerDay * PerNodePrice / 31. + OverageGB * PerNodeOveragePrice
| extend billableGB = iff(workspaceHasSecurityCenter,
             (NonSecurityDataGB + max_of(SecurityDataGB - 0.5*ASCnodesPerDay, 0.)), DataGB )
| extend PerGBDailyCost = billableGB * PerGBPrice
| extend CommitmentTier100DailyCost = CommitmentTier100Price + max_of(billableGB - 100, 0.)* CommitmentTier100Price/100.
| extend CommitmentTier200DailyCost = CommitmentTier200Price + max_of(billableGB - 200, 0.)* CommitmentTier200Price/200.
| extend CommitmentTier300DailyCost = CommitmentTier300Price + max_of(billableGB - 300, 0.)* CommitmentTier300Price/300.
| extend CommitmentTier400DailyCost = CommitmentTier400Price + max_of(billableGB - 400, 0.)* CommitmentTier400Price/400.
| extend CommitmentTier500DailyCost = CommitmentTier500Price + max_of(billableGB - 500, 0.)* CommitmentTier500Price/500.
| extend CommitmentTier1000DailyCost = CommitmentTier1000Price + max_of(billableGB - 1000, 0.)* CommitmentTier1000Price/1000.
| extend CommitmentTier2000DailyCost = CommitmentTier2000Price + max_of(billableGB - 2000, 0.)* CommitmentTier2000Price/2000.
| extend CommitmentTier5000DailyCost = CommitmentTier5000Price + max_of(billableGB - 5000, 0.)* CommitmentTier5000Price/5000.
| extend MinCost = min_of(
    PerNodeDailyCost,PerGBDailyCost,CommitmentTier100DailyCost,CommitmentTier200DailyCost,
    CommitmentTier300DailyCost, CommitmentTier400DailyCost, CommitmentTier500DailyCost, CommitmentTier1000DailyCost, CommitmentTier2000DailyCost, CommitmentTier5000DailyCost)
| extend Recommendation = case(
    MinCost == PerNodeDailyCost, "Per node tier",
    MinCost == PerGBDailyCost, "Pay-as-you-go tier",
    MinCost == CommitmentTier100DailyCost, "Commitment tier (100 GB/day)",
    MinCost == CommitmentTier200DailyCost, "Commitment tier (200 GB/day)",
    MinCost == CommitmentTier300DailyCost, "Commitment tier (300 GB/day)",
    MinCost == CommitmentTier400DailyCost, "Commitment tier (400 GB/day)",
    MinCost == CommitmentTier500DailyCost, "Commitment tier (500 GB/day)",
    MinCost == CommitmentTier1000DailyCost, "Commitment tier (1000 GB/day)",
    MinCost == CommitmentTier2000DailyCost, "Commitment tier (2000 GB/day)",
    MinCost == CommitmentTier5000DailyCost, "Commitment tier (5000 GB/day)",
    "Error"
)
| project day, nodesPerDay, ASCnodesPerDay, NonSecurityDataGB, SecurityDataGB, OverageGB, AvgGbPerNode, PerGBDailyCost, PerNodeDailyCost, 
    CommitmentTier100DailyCost, CommitmentTier200DailyCost, CommitmentTier300DailyCost, CommitmentTier400DailyCost, CommitmentTier500DailyCost, CommitmentTier1000DailyCost, CommitmentTier2000DailyCost, CommitmentTier5000DailyCost, Recommendation 
| sort by day asc
//| project day, Recommendation // Comment this line to see details
| sort by day asc

Cette requête n’est pas une réplication exacte de la façon dont l’utilisation est calculée, mais elle fournit des suggestions de niveau tarifaire dans la plupart des cas.

Notes

Pour utiliser les droits que vous obtenez à l’achat de la suite OMS E1, OMS E2 ou du module complémentaire OMS pour System Center, sélectionnez le niveau tarifaire Par nœud de Log Analytics.

Étapes suivantes