A használat és a költségek felügyelete Azure Monitor-naplókkal

Megjegyzés

Ez a cikk a naplók költségeinek Azure Monitor és szabályozását ismerteti. Egy kapcsolódó cikk, a használat monitorozása és a becsült költségek azt ismertetik, hogyan lehet megtekinteni a használatot és a becsült költségeket több Azure monitorozási funkcióban a Azure Cost Management + Billing. A cikkben említett összes ár és költség csak példaként szolgál.

Azure Monitor Naplók úgy lett kialakítva, hogy skálázják és támogassák a nagy mennyiségű adat napi gyűjtését, indexelését és tárolását a vállalat bármely forrásától, vagy az Azure-ban üzembe helyezett forrásból. Bár ez lehet a szervezet elsődleges hajtója, végső soron a költséghatékonyság a mögöttes illesztő. Ezért fontos tudni, hogy a Log Analytics-munkaterületek költsége nem csupán az összegyűjtött adatok mennyiségén alapul; A kiválasztott csomagtól és a csatlakoztatott forrásokból létrehozott adatok tárolására vonatkozó időtől is függ.

Ez a cikk áttekinti, hogyan figyelheti proaktívan a betöltött adatmennyiséget és a tárterület növekedését. Azt is ismerteti, hogyan határozhat meg korlátokat a kapcsolódó költségek szabályozása érdekében.

Díjszabási modell

A Log Analytics alapértelmezett díjszabása a betöltött adatmennyiségen és opcionálisan a hosszabb adatmegőrzésen alapuló, használataalapú modell. Az adatmennyiséget a GB-ban (10^9 bájt) tárolt adatok méreteként mérjük. Minden Log Analytics-munkaterület külön szolgáltatásként van számlázva, és hozzájárul az Azure-előfizetése számláihoz. Az adatbetörés mennyisége az alábbi tényezőktől függően jelentős lehet:

  • Az engedélyezett felügyeleti megoldások készlete és konfigurációja
  • A figyelt erőforrások száma és típusa
  • Az egyes figyelt erőforrásokból gyűjtött adatok típusa

A log Analytics a pay-as-as-go modell mellett kötelezettségvállalási szintekkel is rendelkezik, amelyek akár 30%-ot is megtakaríthat a fizetéses fizetéshez képest. A kötelezettségvállalási szint díjszabásával 100 GB/naptól kezdve, a pay-as-You-Go díjszabásnál alacsonyabb áron vásárolhat adatbefejezést. A kötelezettségvállalási szint (túlhasználat) feletti használatért az aktuális kötelezettségvállalási szint által biztosított, GB-onkénti díj van kiszámlázva. A kötelezettségvállalási szintek a kötelezettségvállalási szint kiválasztása után 31 napos kötelezettségvállalási időszakra vannak bejelölve.

  • A kötelezettségvállalási időszak alatt magasabb kötelezettségvállalási szintre válthat (amely újraindítja a 31 napos kötelezettségvállalási időszakot), de a kötelezettségvállalási időszak befejezéséig nem tud visszalépni a pay-as-As-You-Go vagy egy alacsonyabb kötelezettségvállalási szintre.
  • A kötelezettségvállalási időszak végén a munkaterület megtartja a kiválasztott kötelezettségvállalási szintet, és bármikor áthelyezheti a munkaterületet a pay-as-You-Go vagy egy másik kötelezettségvállalási szintre.

A kötelezettségvállalási szintek számlázása naponta történik. További információ a Log Analytics "Pay-As-You-Go and Commitment Tier" (A Log Analytics használata és a kötelezettségvállalás tarifacsomagja) díjszabásról.

Megjegyzés

2021. június 2-től a kapacitásfoglalásokat mostantól kötelezettségvállalási szinteknek nevezzük. A kötelezettségvállalási szint (többletköltség) szintje fölött gyűjtött adatok számlázása mostantól az aktuális kötelezettségvállalási szinthez képest azonos, GB-onkénti árakon történik, így alacsonyabbak a költségek a korábbi, a fizetéses fizetési módhoz képest, és csökkentik a nagy adatmennyiséggel rendelkező felhasználók iránti költségeket a kötelezettségvállalási szint finomhangolása érdekében. Három új kötelezettségvállalási szint is hozzá van adva: 1000, 2000 és 5000 GB/nap.

Az események adatmérete minden tarifacsomagban a Log Analyticsben tárolt tulajdonságok sztringes ábrázolása alapján van kiszámítva, függetlenül attól, hogy az adatokat egy ügynök küldte-e, vagy hozzáadta őket a beszúrási folyamat során. Ebbe beletartozik minden olyan egyéni mező, amely az adatok gyűjtése és tárolása után a Log Analyticsben lesz hozzáadva. Az eseményméret kiszámítása során számos, az összes adattípusra vonatkozó tulajdonság ki van zárva, köztük néhány Standard Log Analytics-tulajdonság. Ez magában foglalja _ResourceId a _SubscriptionId következőket: , _ItemId , , _IsBillable és _BilledSizeType . Az eseményméret kiszámításakor a Log Analyticsben tárolt összes többi tulajdonságot is figyelembe kell venni. Egyes adattípusok teljes egészében ingyenesek az adatbevégrehajtásához, például az AzureActivity,a Heartbeat,a Usage és a Operation típusok. Egyes megoldások megoldásspecifikusabb szabályzatokkal is szolgálnak az ingyenes adatbe Azure Migrate például a Server Assessment első 180 napja ingyenessé teszi a függőségek vizualizációs adatait. Annak megállapításához, hogy egy esemény ki lett-e zárva az adatbe _IsBillable számlázásból, az alábbi módon használhatja a _IsBillable tulajdonságot. A használatot GB-ban (10^9 bájt) jelenti a rendszer.

Emellett egyes megoldások, például a Microsoft Defender for Cloud,a Microsoft Sentinelés a Configuration Management saját díjszabási modellel is használhatók.

Dedikált Log Analytics-fürtök

A dedikált Log Analytics-fürtök olyan munkaterületek gyűjteményei egyetlen felügyelt Azure Data Explorer fürtben, amelyek speciális forgatókönyveket támogatnak, például a felhasználó által kezelt kulcsokat. A dedikált Log Analytics-fürtök ugyanazt a kötelezettségvállalási szintű tarifacsomagot használják, mint a munkaterületek, azzal a kivételsel, hogy a fürt kötelezettségvállalási szintjének legalább 500 GB/napnak kell lennie. A fürtökhöz nincs lehetőség a fizetésre. A fürt kötelezettségvállalási szintje 31 napos kötelezettségvállalási időszakot jelent a kötelezettségvállalási szint megnövelt időszaka után. A kötelezettségvállalási időszak alatt a kötelezettségvállalás szintje nem csökkenthető, de bármikor növelhető. Ha a munkaterületek egy fürthöz vannak társítva, a munkaterületek adatbevállalási számlázása a fürt szintjén történik a konfigurált kötelezettségvállalási szint használatával. További információ a Log Analytics-fürtök létrehozásáról és a munkaterületek társításról. A kötelezettségvállalási szint díjszabására vonatkozó információkért lásd a Azure Monitor oldalon.

A fürt kötelezettségvállalási szintjének szintje programozott módon van konfigurálva a Azure Resource Manager az paraméterrel a CapacitySku alatt. A értéke GB mértékegységben van megadva, és a értéke Capacity 500, 1000, 2000 vagy 5000 GB/nap lehet. A kötelezettségvállalási szint (túlhasználat) feletti használatért az aktuális kötelezettségvállalási szint által biztosított, GB-onkénti díj van kiszámlázva. További információ: ügyfél által Azure Monitor kulcs.

A fürtökön kétféle számlázási mód áll rendelkezésre a használathoz. Ezeket a paraméterrel használhatja a fürt létrehozásakor vagy a létrehozás billingType után beállítva. billingType A két mód a következő:

  • Fürt:ebben az esetben (amely az alapértelmezett beállítás), a betöltött adatok számlázása a fürt szintjén történik. A fürthöz társított munkaterületek betöltött adatmennyiségét a rendszer összesíti a fürt napi számlázásának kiszámításához. A Microsoft Defender for Cloud csomópontonkénti lefoglalásai a munkaterület szintjén vannak alkalmazva a fürt összes munkaterületén az összesített adatok összesítése előtt.

  • Munkaterületek:a fürt kötelezettségvállalási rétegű költségeit a rendszer a fürt munkaterületei alapján arányosan rendeli az egyes munkaterületek adatbetöltő mennyiségéhez (miután az egyes munkaterületek esetében a Microsoft Defender for Cloud csomópontonkénti lefoglalását is számolta.) Ha a fürtbe egy nap alatt betöltött teljes adatmennyiség kisebb, mint a kötelezettségvállalási szint, akkor minden munkaterületen a tényleges, GB-onkénti kötelezettségvállalási szinten számlázható a betöltött adatokért a kötelezettségvállalási szint töredékének számlázása, a kötelezettségvállalási szint fel nem használt része pedig a fürterőforrásra lesz kiszámlázva. Ha a fürtbe egy nap alatt betöltött teljes adatmennyiség nagyobb, mint a kötelezettségvállalási szint, akkor az egyes munkaterületek a kötelezettségvállalási szint töredékéért számláznak az adott napon betöltött adatok és az egyes munkaterületek azon része alapján, amely a kötelezettségvállalási szint fölötti betöltött adatok töredékét teszi ki. Ha a munkaterületre egy nap alatt betöltött teljes adatmennyiség meghaladja a kötelezettségvállalási szintet, semmi sem lesz kiszámlázva a fürterőforrásra.

A fürt számlázási beállításaiban az adatmegőrzés számlázása minden munkaterülethez meg van számlázva. A fürt számlázása a fürt létrehozásakor kezdődik, függetlenül attól, hogy a munkaterületek a fürthöz vannak-e társítva. A fürthöz társított munkaterületek már nem saját tarifacsomagban vannak.

A környezet kezeléséhez kapcsolódó költségek becslése

Ha még nem használja a Azure Monitor-naplókat, az Azure Monitor díjkalkulátor használatával megbecsülheti a Log Analytics használatának költségeit. A Keresőmezőbe írja be a "Azure Monitor" lehetőséget, majd válassza ki az eredményül Azure Monitor csempét. Görgessen le az oldalon a Azure Monitor,majd bontsa ki a Log Analytics szakaszt. Itt adhatja meg a gyűjteni várt adat GB-ját. Ha már kiértékeli a Azure Monitor naplókat, használhatja a saját környezetének adatstatisztikáit. Az alábbiakban láthatja, hogyan állapíthatja meg a figyelt virtuális gépek számát és a munkaterület által bekért adatok mennyiségét. Ha még nem futtatja a Log Analyticset, itt található néhány útmutató az adatkötetek becsléséhez:

  1. Virtuális gépek monitorozása: ha a tipikus monitorozás engedélyezve van, figyelt virtuális gépenként 1 GB–3 GB adat kerül be a rendszerbe.
  2. Monitorozási Azure Kubernetes Service (AKS-) fürtök: a tipikus AKS-fürtök monitorozására várt adatkötetekkel kapcsolatos részletek itt érhetők el. Kövesse ezeket az ajánlott eljárásokat az AKS-fürt monitorozási költségeinek szabályozására.
  3. Alkalmazásfigyelés: a Azure Monitor díjkalkulátor tartalmaz egy adatmennyiség-becslértőt az alkalmazás használata alapján, valamint az Alkalmazásadatok Elemzések statisztikai elemzése alapján. A díjkalkulátor Alkalmazás Elemzések szakaszában váltsa az "Adatmennyiség becslése alkalmazástevékenység alapján" melletti kapcsolót ennek használatához.

A Log Analytics használatának megtekintése az Azure-számlán

Egy szakaszos Log Analytics-munkaterület számlás használatának megtekintésének legegyszerűbb módja, ha a munkaterület Áttekintés lapjára kattint, és a lap tetején, az Alapvető szolgáltatások szakasz jobb felső sarkában a Költség megtekintése elemre kattint. Ezzel elindítja a Költségelemzést a Azure Cost Management + Billing hatóköre már erre a munkaterületre terjed ki. További hozzáférésre lehet szüksége a Cost Management adatokhoz (további információ)

Másik lehetőségként kezdhet a Azure Cost Management + Billing központban. Itt a "Költségelemzés" funkcióval megtekintheti az Azure-erőforrások költségeit. A Log Analytics-költségek nyomon követéséhez hozzáadhat egy erőforrástípus szerinti szűrőt (a Log Analytics és a microsoft.operationalinsights/cluster log Analytics-fürtökhöz a microsoft.operationalinsights/workspace fájlhoz). A Csoportosítási alapján beállításnálválassza a Fogyasztásmérő kategóriája vagy a Fogyasztásmérő lehetőséget. Más szolgáltatások, például a Microsoft Defender for Cloud és a Microsoft Sentinel szintén a Log Analytics-munkaterület erőforrásai alapján számlázják a használatukat. A szolgáltatásnévre való leképezés megtekintéséhez diagram helyett a Tábla nézetet választhatja ki.

A használattal kapcsolatos további információkért töltse le a használati adatokat a Azure Portal. A letöltött táblázatban az Azure-erőforrások (például a Log Analytics-munkaterületek) napi használata látható. Ebben a Excel-táblázatban a Log Analytics-munkaterületek használata úgy érhető el, hogy először a "Meter Category" oszlopra szűr, hogy a "Log Analytics", a "Insight and Analytics" (egyes örökölt tarifacsomagok által használt) és a "Azure Monitor" (a kötelezettségvállalási szintek tarifacsomagja által használt) "Példányazonosító" oszlopra szűr, amely "munkaterületet tartalmaz" vagy "fürtöt tartalmaz" (az utóbbi tartalmazza a Log Analytics-fürt használatát). A használat a "Consumed Quantity" (Felhasznált mennyiség) oszlopban, az egyes belépési egységek pedig a "Unit of Measure" (Mértékegység) oszlopban jelennek meg. További információ: Az egyes Azure-előfizetések számlái áttekintése.

A használat és a tarifacsomag optimalizálása

Ha meg szeretne ismerkedni a használati trendekkel, és ki szeretne választani a legköltséghetesebb Log Analytics-tarifacsomagot, használja a Log Analytics-használatot és a becsült költségeket. Ez azt mutatja, hogy az egyes megoldások mennyi adatot gyűjtenek be, mennyi adatot őriznek meg, és az egyes tarifacsomagok költségeinek becslése a legutóbbi adatbegyűjtési minták alapján.

Usage and estimated costs

Az adatok részletesebb feltárására válassza a Diagram jobb felső sarkában található ikont a Használat és becsült költségek oldalon. Most már használhatja ezt a lekérdezést a használat további részleteinek feltárására.

Logs view

A Használat és becsült költségek oldalon áttekintheti az adatmennyiséget a hónapra. Ez magában foglalja a Log Analytics-munkaterületen fogadott és megőrzendő összes számlázható adatot.

A Log Analytics díjai felkerülnek az Azure-számlára. Az Azure-számla részleteit a számlázási szakasz Számlázás szakaszában Azure Portal a Azure Elszámolási portál.

Tarifacsomag módosítása

A munkaterület Log Analytics-tarifacsomagjának módosítása:

  1. A Azure Portal nyissa meg a Használat és becsült költségek adatokat a munkaterületről; Megjelenik a munkaterülethez elérhető egyes tarifacsomagok listája.

  2. Tekintse át az egyes tarifacsomagok becsült költségeit. Ez a becslés az elmúlt 31 nap használatán alapul, így ez a költségbecslés az elmúlt 31 nap jellemző használati adatokra támaszkodik. Az alábbi példában láthatja, hogy az elmúlt 31 nap adatminták alapján ez a munkaterület kevesebbe kerülne a fizetésalapú fizetéses szinten (#1), mint a napi 100 GB-os kötelezettségvállalási szint (#2).

Pricing tiers

  1. Miután áttekinti a becsült költségeket az elmúlt 31 nap használati ideje alapján, ha úgy dönt, hogy módosítja a tarifacsomagot, válassza a Kijelölés lehetőséget.

Tarifacsomag módosítása ARM-en keresztül

A tarifacsomagot az Azure Resource Manager a objektummal állíthatja be a tarifacsomagot, és a paramétert, ha a tarifacsomag capacityReservationLevelcapacityresrvation . (További információ a munkaterület tulajdonságainak ARM-en keresztül történő beállításávalkapcsolatban.) Az itt található mintasablon Azure Resource Manager a munkaterület 300 GB/nap kötelezettségvállalási szintre való beállításához (a Resource Manager capacityreservation néven).

{
  "$schema": https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#,
  "contentVersion": "1.0.0.0",
  "resources": [
    {
      "name": "YourWorkspaceName",
      "type": "Microsoft.OperationalInsights/workspaces",
      "apiVersion": "2020-08-01",
      "location": "yourWorkspaceRegion",
      "properties": {
                    "sku": {
                      "name": "capacityreservation",
                      "capacityReservationLevel": 300
                    }
      }
    }
  ]
}

Ha ezt a sablont a PowerShellbenhasználja, az Azure Az PowerShell-modul telepítése után jelentkezzen be az Azure-ba a használatával, válassza ki a munkaterületet tartalmazó előfizetést a használatával, és alkalmazza a Select-AzSubscription -SubscriptionId YourSubscriptionId sablont (egy template.json nevű fájlba mentve):

New-AzResourceGroupDeployment -ResourceGroupName "YourResourceGroupName" -TemplateFile "template.json"

Ha a tarifacsomagot más értékekre, például a "Pay-As-You-Go" (A termékváltozathoz hívjuk) értékre kell állítania, akkor ne pergb2018 adja meg a capacityReservationLevel tulajdonságot. További információ az ARM-sablonok létrehozásáról,az erőforrások sablonhozvaló hozzáadásáról és a sablonok alkalmazásával kapcsolatban.

Tarifacsomagok változásainak nyomon követése

A munkaterület díjszabásának változásai a tevékenységnaplóban a "Munkaterület létrehozása" nevű művelettel egy eseményt rögzítik. Az esemény Módosítási előzmények lapján a sor régi és új tarifacsomagja látható. Kattintson a munkaterület "Tevékenységnapló" lehetőségére az adott munkaterületre vonatkozó eseményeket. A tarifacsomag változásainak monitorozására létrehozhat egy riasztást a "Munkaterület létrehozása" művelethez.

Örökölt tarifacsomagok

Azok az előfizetések, amelyek 2018. április 2-án egy Log Analytics-munkaterületet vagy Application Elemzések-erőforrást tartalmaznak, vagy amelyek egy 2019. február 1. előtt indított Nagyvállalati Szerződés-hez vannak kapcsolva, továbbra is hozzáférhetnek az örökölt tarifacsomagok(ingyenes próbaverzió, önálló (GB-onként)és csomópontonkénti (OMS)tarifacsomagok használatára. Az ingyenes próbaverzió tarifacsomagban a munkaterületek napi adatbegyűjtési korlátja 500 MB (a Microsoft Defender for Cloudáltal gyűjtött biztonsági adattípusok kivételével), az adatmegőrzés pedig hét napra van korlátozva. Az Ingyenes próba tarifacsomag csak kipróbálási célokra szolgál. Az ingyenes szinthez nem biztosítunk SLA-t. Az önálló vagy csomópontonkénti tarifacsomag munkaterületei felhasználó által konfigurálható megőrzési idő 30 és 730 nap között.

Az önálló tarifacsomag használata a betöltött adatmennyiség alapján van kiszámlázva. Ez a Log Analytics szolgáltatásban lesz jelentve, és a mérő neve "Data Analyzed".

A csomópontonkénti tarifacsomag figyelt virtuális gépekre (csomópontra) óránkénti részletességgel vonatkozó díjakat tartalmaz. Minden figyelt csomóponthoz 500 MB naponta 500 MB adat van lefoglalva, amely nem lesz kiszámlázva. Ez a foglalás óránkénti részletességgel van kiszámítva, és a munkaterület szintjén van összesítve minden nap. Az összesített napi adatfoglalás fölött betöltött adatok számlázása GB-banként, adatmennyiség-túlfoglalásként van kiszámlázva. Ha a munkaterület a csomópontonkénti tarifacsomagban van, a szolgáltatás a Log Analytics-Insight and Analytics lesz használva. A használatról három mérőről van jelentés:

  • Csomópont:ez a figyelt csomópontok (virtuális gépek) számát tartalmazza csomópont-hónapok mértékegységében.
  • Adat overage per Node (Adat overage per Node): az összesített adatfoglalást meghaladóan betöltött adatok GB-jának száma.
  • Csomópontonkéntiadatok: az összesített adatfoglalás által lefedett betöltött adatok mennyisége. Ez a mérő akkor is használatos, ha a munkaterület az összes tarifacsomagban van, és a Microsoft Defender for Cloud által lefedett adatok mennyiségét mutatja.

Tipp

Ha a munkaterület hozzáfér a csomópontonkénti tarifacsomaghoz, de szeretné tudni, hogy a használat alapján fizetett tarifacsomag olcsóbb-e, az alábbi lekérdezéssel egyszerűen kaphat javaslatot.

A 2016 áprilisa előtt létrehozott munkaterületek továbbra is a Standard és Prémium tarifacsomagot használják, amelyek rögzített adatmegőrzési időtartama 30 nap, illetve 365 nap. A Standard vagy Prémium tarifacsomagban nem lehet új munkaterületeket létrehozni, és ha egy munkaterületet áthelyeznek ezekről a szintekről, nem lehet visszahozni. Ezeknek az örökölt szinteknek az Azure-számlán az adatbeöltés mérőit "Adatelemzésnek" nevezzük.

Örökölt tarifacsomagok és a Felhőhöz való Microsoft Defender

Az örökölt Log Analytics-szintek használata és a Felhőhöz való Microsoft Defender használatának számlázása között is van néhány működés.

  • Ha a munkaterület az örökölt Standard vagy Prémium szinten van, a Microsoft Defender for Cloud csak a Log Analytics-adatbeöltésért kell fizetni, csomópontonként nem.
  • Ha a munkaterület az örökölt csomópontonkénti szinten van, a Microsoft Defender for Cloud számlázása a jelenlegi, Felhőalapú Microsoft Defender csomópontalapú díjszabási modelljével történik.
  • Más tarifacsomagok (beleértve a kötelezettségvállalási szinteket) esetében, ha a Microsoft Defender for Cloud 2017. június 19. előtt lett engedélyezve, a Microsoft Defender for Cloud csak a Log Analytics adatbetöltő szolgáltatása után lesz kiszámlázva. Ellenkező esetben a Microsoft Defender for Cloud számlázása a jelenlegi Microsoft Defender for Cloud csomópontalapú díjszabási modellel történik.

A tarifacsomagok korlátozására vonatkozó további részleteket az Azure-előfizetések és -szolgáltatások korlátozásai, kvótái és megkötései között talál.

Az örökölt tarifacsomagok egyikének sincs regionális díjszabása.

Megjegyzés

Az OMS E1 Suite, az OMS E2 Suite vagy az OMS Add-On for System Center megvásárlásából származó jogosultságok System Center Log Analytics csomópontonként tarifacsomagot válassza.

Log Analytics és Microsoft Defender felhőhöz

A Kiszolgálókhoz való Microsoft Defender (Defender felhőalapú) számlázása szorosan kötődik a Log Analytics-számlázáshoz. A Microsoft Defender felhőalapú számlái a figyelt szolgáltatások száma alapján számlálnak, és 500 MB/kiszolgáló/nap típusú adatfoglalást biztosít, amelyet a rendszer a biztonsági adattípusok következő alkészletére alkalmaz (WindowsEvent, SecurityAlert, SecurityBaseline, SecurityBaselineSummary, SecurityDetection, SecurityEvent, WindowsFirewall, MaliciousIPCommunication, LinuxAuditLog, SysmonEvent, ProtectionStatus) és az Update és UpdateSummary adattípusok, ha a Update Management-megoldás nem fut a munkaterület- vagy megoldáscélzás engedélyezve van (további információ). A figyelt kiszolgálók száma óránkénti részletességgel van kiszámítva. Az egyes figyelt kiszolgálók napi adatfoglalási hozzájárulását a munkaterület szintjén összesíti a rendszer. Ha a munkaterület az örökölt csomópontonkénti tarifacsomagban van, akkor a Microsoft Defender for Cloud és a Log Analytics foglalásai együttesen vannak kombinálva és alkalmazva az összes számlázható betöltött adatra.

Az adatmegőrzési időtartam módosítása

A következő lépések azt ismertetik, hogyan konfigurálhatja, hogy a mennyi ideig tarthatja a naplóadatokat a munkaterületen. A munkaterület szintjén az adatmegőrzés 30–730 nap (2 év) között konfigurálható az összes munkaterülethez, kivéve, ha az örökölt ingyenes próba tarifacsomagot használják. Az egyes adattípusok megőrzési beállítása akár 4 nap is lehet. További információ a hosszabb adatmegőrzési díjszabásról. Ha 730 napnál hosszabb ideig őrzi meg az adatokat, fontolja meg a Log Analytics-munkaterület adatainak exportálását.

Munkaterület-szintű alapértelmezett megőrzés

A munkaterület alapértelmezett megőrzési megőrzésének beállítása:

  1. A Azure Portal a munkaterület bal oldali panelén válassza a Felhasználás és becsült költségek lehetőséget.
  2. A Felhasználás és becsült költségek lapon válassza az Adatmegőrzés lehetőséget az oldal tetején.
  3. A panelen a csúszka mozgatásával növelje vagy csökkentse a napok számát, majd kattintson az OK gombra. Ha ingyenes szinten van, nem módosíthatja az adatmegőrzési időszakot; A beállítás szabályozása érdekében frissítenie kell a fizetős szintre.

Change workspace data retention setting

Ha csökkenti a megőrzési adatokat, az új adatmegőrzési beállításnál régebbi adatok eltávolítása előtt több napig tart a türelmi időszak.

Az Adatmegőrzés lap 30, 31, 60, 90, 120, 180, 270, 365, 550 és 730 nap megőrzési beállításait teszi lehetővé. Ha egy másik beállításra van szükség, az a paraméterrel Azure Resource Manager konfigurálható. Ha az adatmegőrzést 30 napra adja meg, a paraméterrel azonnal kiürítheti a régebbi adatokat (megszüntetheti a immediatePurgeDataOn30Days türelmi időszakot). Ez olyan megfelelőségi forgatókönyvekben lehet hasznos, ahol az azonnali adateltávolítás imperatív. Ez az azonnali végleges kiürítés funkció csak a Azure Resource Manager.

A 30 napos megőrzési idővel a munkaterületek akár 31 napig is megőrizhet adatokat. Ha az adatok csak 30 napig tarthatóak meg, a Azure Resource Manager állítsa a megőrzést 30 napra és a immediatePurgeDataOn30Days paraméterrel.

Alapértelmezés szerint a rendszer két adattípust ( és ) legalább 90 napig díjmentesen UsageAzureActivity megőriz. Ha a munkaterület megőrzése 90 napnál nagyobbra nő, akkor ezeknek az adattípusnak a megőrzése is növekszik. Ezek az adattípusok szintén ingyenesek az adatbe való be nem tölteti díjak ellenében.

A munkaterület-alapú Application Elemzések -erőforrások ( , , , , , és ) adattípusát a rendszer alapértelmezés szerint AppAvailabilityResultsAppBrowserTimingsAppDependenciesAppExceptionsAppEventsAppMetricsAppPageViewsAppPerformanceCountersAppRequestsAppSystemEventsAppTraces 90 napig díjmentesen őrzi meg. A megőrzésük az adattípus-megőrzési funkcióval módosítható.

A Log Analytics véglegesen kiürítő API-ja nincs hatással a megőrzési számlázásra, és nagyon korlátozott esetekben használható. A megőrzési számla csökkentése érdekében a megőrzési megőrzési időszakot le kell csökkenteni a munkaterületen vagy adott adattípusok esetében. További információ a Log Analyticsben és az Application Elemzések.

Megőrzés adattípus szerint

Az egyes adattípusok 4–730 napos megőrzési beállításai is megadhatók (kivéve az örökölt ingyenes próbaverziós tarifacsomagban lévő munkaterületeket), amelyek felülbírálják a munkaterület-szintű alapértelmezett adatmegőrzést. Minden adattípus a munkaterület alerőforrása. A SecurityEvent táblát például a következő Azure Resource Manager meg:

/subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/MyResourceGroupName/providers/Microsoft.OperationalInsights/workspaces/MyWorkspaceName/Tables/SecurityEvent

Vegye figyelembe, hogy az adattípus (tábla) megkülönbözteti a kis- és nagybetűket. Egy adott adattípus aktuális adattípusonkénti adatmegőrzési beállításainak (ebben a példában a SecurityEvent) le kell kapnia a következőt:

    GET /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/MyResourceGroupName/providers/Microsoft.OperationalInsights/workspaces/MyWorkspaceName/Tables/SecurityEvent?api-version=2017-04-26-preview

Megjegyzés

A rendszer csak akkor ad vissza megőrzést egy adattípushoz, ha a megőrzés kifejezetten meg van állítva hozzá. Az olyan adattípusok, amelyekhez nincs explicit megőrzés beállítva (és így öröklik a munkaterületek megőrzését) nem ad vissza semmit ebből a hívásból.

A munkaterület összes olyan adattípusának aktuális adattípusonkénti adatmegőrzési beállításainak lekértért, amelyekhez adattípusonkénti adatmegőrzési készlet tartozik, csak az adott adattípust kell kihagyni, például:

    GET /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/MyResourceGroupName/providers/Microsoft.OperationalInsights/workspaces/MyWorkspaceName/Tables?api-version=2017-04-26-preview

Egy adott adattípus (ebben a példában a SecurityEvent) 730 napos megőrzésének beállítására használja a következőt:

    PUT /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/MyResourceGroupName/providers/Microsoft.OperationalInsights/workspaces/MyWorkspaceName/Tables/SecurityEvent?api-version=2017-04-26-preview
    {
        "properties": 
        {
            "retentionInDays": 730
        }
    }

A érvényes retentionInDays értékei: 4 és 730 között.

A Usage és AzureActivity adattípusok nem beállíthatók egyéni adatmegőrzéssel. Legfeljebb 90 napig tart a munkaterületek alapértelmezett megőrzése.

Az OSS eszköz ARMclientAzure Resource Manager eszköz, amely közvetlenül csatlakozik a Azure Resource Manager a megőrzés adattípus alapján való beállítására. Az ARMclientről David Ebbo és Daniel Bowbyes cikkeiből olvashat bővebben. Az alábbi példában az ARMClient használatával a SecurityEvent adatokat 730 napos megőrzésre adhatja meg:

armclient PUT /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/MyResourceGroupName/providers/Microsoft.OperationalInsights/workspaces/MyWorkspaceName/Tables/SecurityEvent?api-version=2017-04-26-preview "{properties: {retentionInDays: 730}}"

Tipp

Az egyes adattípusok megőrzésének beállításával csökkenthetők az adatmegőrzési költségek. A 2019 októberével (a funkció kibocsátásától) kezdődően gyűjtött adatok esetében egyes adattípusok megőrzési megőrzési időtartamának csökkentése csökkentheti a megőrzési költségeket. A korábban gyűjtött adatok esetén az egyes típus alacsonyabb megőrzési megőrzési beállítása nem befolyásolja a megőrzési költségeket.

A maximális napi adatmennyiség kezelése

Konfigurálhat egy napi korlátot, és korlátozhatja a munkaterület napi be akkorra való behozottságát, de ügyelni kell rá, mert a cél nem a napi korlát elérése. Ellenkező esetben a nap hátralevő részében elveszíti az adatokat, ami hatással lehet más Azure-szolgáltatásokra és -megoldásokra, amelyek működése függhet attól, hogy a munkaterületen naprakész adatok érhetők el. Mindez az informatikai szolgáltatásokat támogató erőforrások állapotára vonatkozó riasztások észlelésére és fogadására vonatkozó képességre is hatással van. A napi korlát arra szolgál, hogy kezelni tudja a felügyelt erőforrások adatmennyiségének váratlan növekedését, és a korláton belül maradjon, vagy ha korlátozni szeretné a munkaterület nem tervezett költségeit. Nem célszerű napi felső halmazt beállítani úgy, hogy az minden nap teljesülni fog a munkaterületen.

Az egyes munkaterületek napi felső beállítása a nap egy másik órájára van alkalmazva. A visszaállítási óra a Napi felső időkorrekta lapon jelenik meg (lásd alább). Ez az alaphelyzetbe állítási óra nem konfigurálható.

A napi korlát elérése után a számlázható adattípusok gyűjteménye a nap hátralevő részében leáll. A napi felső érték alkalmazásával járó késés azt jelenti, hogy a maximális érték nem pontosan a megadott napi felső szinten van alkalmazva. Egy figyelmeztető szalagcím jelenik meg a kiválasztott Log Analytics-munkaterület oldalának tetején, és a rendszer műveleti eseményt küld a LogManagement kategória Műveleti táblájának. Az adatgyűjtés a Napi korlát alatt meghatározott visszaállítási idő után folytatódik, és a következőre lesz beállítva:. Javasoljuk, hogy definiáljon egy riasztási szabályt, amely ezen műveleti eseményen alapul, és úgy van konfigurálva, hogy értesítést küldsen a napi adatkorlát elérésekor. További információkért lásd a Riasztás napi felső küszöbérték elérésekor című szakaszt.

Megjegyzés

A napi felső érték nem tudja pontosan a megadott felső szinten leállítani az adatgyűjtést, és bizonyos többletadatok várhatók, különösen akkor, ha a munkaterület nagy mennyiségű adatot fogad. Ha az adatgyűjtés a felső felső szabály felett történik, akkor is ki lesz számlázva. Ha olyan lekérdezést keres, amely hasznos lehet a napi felső költségkeret viselkedésének tanulmányozása során, tekintse meg a cikk Napi felső költségkeret hatásának megtekintése című szakaszát.

Figyelmeztetés

A napi felső határ nem állítja le a WindowsEvent,SecurityAlert,SecurityBaseline,SecurityBaselineSummary,SecurityDetection,SecurityEvent,WindowsFirewall,MaliciousIPCommunication,LinuxAuditLog,SysmonEvent,ProtectionStatus,Updateés UpdateSummaryadattípusokat, kivéve azokat a munkaterületeket, amelyeken a Microsoft Defender for Cloud június előtt telepítve lett 19, 2017.

Határozza meg a napi adatkorlátot

Az adatbecslési trendek és a meghatározható napi mennyiségi felső érték meghatározásához tekintse át a Log Analytics használatát és a becsült költségeket ismertető ismertetőt. Fontolja meg ezt figyelmesen, mert a korlát elérése után nem tudja figyelni az erőforrásokat.

A napi felső beállítás beállítása

A következő lépések azt ismertetik, hogyan konfigurálható egy korlát a Log Analytics-munkaterület által naponta bekért adatmennyiség kezelésére.

  1. A munkaterület bal oldali panelén válassza a Használat és becsült költségek lehetőséget.
  2. A kiválasztott munkaterület Használat és becsült költségek oldalán válassza az Adatkorrekulátor lehetőséget az oldal tetején.
  3. Alapértelmezés szerint a napi felső érték KI van kapcsolva. Az engedélyezéséhez válassza a BElehetőséget, majd állítsa be az adatmennyiség korlátját GB/nap értékben.

Log Analytics configure data limit

A napi Azure Resource Manager használhatja. A konfiguráláshoz állítsa be a paramétert a következő helyen: dailyQuotaGbWorkspaceCappingdailyQuotaGb

A napi felső szinten végrehajtott módosításokat a következő lekérdezéssel követheti nyomon:

_LogOperation | where Operation == "Workspace Configuration" | where Detail contains "Daily quota"

További információ a _LogOperation függvényről.

A napi felső költségkeret hatásának megtekintése

A napi felső költségkeret hatásának megtekintéséhez fontos figyelembe venni a napi felső szinten nem szereplő biztonsági adattípusokat és a munkaterület visszaállítási óráját. A napi felső költségkeret alaphelyzetbe állításának órája a Napi felső idő lapon látható. A következő lekérdezéssel nyomon követhetők a napi felső költségkeret-visszaállítások közötti napi felső szintenként megszabaduló adatkötetek. Ebben a példában a munkaterület visszaállítási órája 14:00. Ezt frissítenie kell a munkaterülethez.

let DailyCapResetHour=14;
Usage
| where DataType !in ("SecurityAlert", "SecurityBaseline", "SecurityBaselineSummary", "SecurityDetection", "SecurityEvent", "WindowsFirewall", "MaliciousIPCommunication", "LinuxAuditLog", "SysmonEvent", "ProtectionStatus", "WindowsEvent")
| extend TimeGenerated=datetime_add("hour",-1*DailyCapResetHour,TimeGenerated)
| where TimeGenerated > startofday(ago(31d))
| where IsBillable
| summarize IngestedGbBetweenDailyCapResets=sum(Quantity)/1000. by day=bin(TimeGenerated, 1d) // Quantity in units of MB
| render areachart  

És adattípusok hozzáadása a sorhoz, ha Update Management megoldás nem fut a munkaterületen vagy a megoldáscélzás engedélyezve UpdateUpdateSummary van ( további where DatatypeUpdate

Riasztás a napi felső küszöbérték elérésekor

Azure Portal látható, hogy az adatkorlát küszöbértéke mikor teljesül, de ez a viselkedés nem feltétlenül igazodik az azonnali beavatkozást igénylő működési problémák kezeléséhez. A riasztási értesítések fogadására létrehozhat egy új riasztási szabályt a Azure Monitor. További információ: Riasztások létrehozása,megtekintése és kezelése.

Első lépésekként az alábbi ajánlott beállításokat javasoljuk a táblát a függvény használatával lekérdező Operation_LogOperation riasztáshoz (Operation

  • Cél: Válassza ki a Log Analytics-erőforrást
  • Kritériumok:
    • Jel neve: Egyéni naplókeresés
    • Keresési lekérdezés: _LogOperation | where Operation =~ "Data collection stopped" | where Detail contains "OverQuota"
    • Alapul: Eredmények száma
    • Feltétel: Nagyobb, mint
    • Küszöbérték: 0
    • Időtartam: 5 (perc)
    • Gyakoriság: 5 (perc)
  • Riasztási szabály neve: Elérte a napi adatkorlátot
  • Súlyosság: Figyelmeztetés (1. súlyosság)

A riasztás meghatározása és a korlát elérése után egy riasztás aktiválódik, és végrehajtja a műveletcsoportban meghatározott választ. A következő módokon értesítheti a csapatát:

A vártnál magasabb szintű használatot okozó hibák elhárítása

A magasabb szintű használatot az alábbiak egyike vagy mindkettő okozza:

  • A vártnál több csomópont küld adatokat a Log Analytics-munkaterületre. További információért tekintse meg a jelen cikk Understanding nodes sending data című szakaszát.
  • A vártnál több adat lesz elküldve a Log Analytics-munkaterületre (például egy új megoldás használatának vagy egy meglévő megoldás konfigurációjának módosítása miatt). További információt a jelen cikk A betöltött adatok mennyiségének ismertetése című szakaszában talál.

Ha a rekordok használatával jelentett nagy mennyiségű adatmennyiséget figyeli meg (lásd az Adatmennyiség megoldás szerint szakaszt), de nem ugyanazt az eredményt fogja közvetlenül az adattípusra összegezve, akkor jelentős kései adatok UsageUsage_BilledSize érkeznek. _BilledSize Ennek diagnosztizálására vonatkozó információkért tekintse meg a cikk Kései adatok érkeznek című szakaszát.

Log Analytics-munkaterület elemzései

Kezdje meg az adatkötetek megértését a Log Analytics-munkaterület használat lapján, Elemzések munkafüzetben. A használati irányítópultona következőt láthatja:

  • Mely adattáblák ékelik be a legtöbb adatmennyiséget a fő táblában?
  • Melyek az adatokat hozzájáruló legfontosabb erőforrások, és
  • Mi az adatbetörés trendje?

Az Additional Queries (További lekérdezések) nézetre fordítva egyszerűen, több lekérdezést is egyszerűen, az adatminták megértéséhez hasznosak lehetnek.

További információ a Használat lap képességeiről.

Bár ez a munkafüzet számos kérdésre választ tud adni anélkül, hogy lekérdezést kellene futtatnia, konkrétabb kérdések megválaszolása vagy mélyebb elemzések elvégzése érdekében a következő két szakaszban található lekérdezések segítenek az első lépésekben.

Az adatokat küldő csomópontok ismertetése

Az ügynöktől szívverést jelentéseket készítő csomópontok számának az elmúlt hónap minden napján való számba való áttekintéséhez használja ezt a lekérdezést:

Heartbeat 
| where TimeGenerated > startofday(ago(31d))
| summarize nodes = dcount(Computer) by bin(TimeGenerated, 1d)    
| render timechart

Az elmúlt 24 órában adatokat küldő csomópontok számát a következő lekérdezéssel lehet lekérdezni:

find where TimeGenerated > ago(24h) project Computer
| extend computerName = tolower(tostring(split(Computer, '.')[0]))
| where computerName != ""
| summarize nodes = dcount(computerName)

Az adatokat küldő csomópontok listájának (és az egyes csomópontok által küldött adatok mennyiségének) lekérdezhető, használja a következő lekérdezést:

find where TimeGenerated > ago(24h) project _BilledSize, Computer
| extend computerName = tolower(tostring(split(Computer, '.')[0]))
| where computerName != ""
| summarize TotalVolumeBytes=sum(_BilledSize) by computerName

Az örökölt csomópontonkénti tarifacsomag által számlázett csomópontok

Az örökölt csomópontonkénti tarifacsomag óránkénti részletességgel számláz a csomópontokért, és nem számolja meg a csak biztonsági adattípusok egy halmazát küldő csomópontokat. A csomópontok napi száma a következő lekérdezéshez közel lenne:

find where TimeGenerated >= startofday(ago(7d)) and TimeGenerated < startofday(now()) project Computer, _IsBillable, Type, TimeGenerated
| where Type !in ("SecurityAlert", "SecurityBaseline", "SecurityBaselineSummary", "SecurityDetection", "SecurityEvent", "WindowsFirewall", "MaliciousIPCommunication", "LinuxAuditLog", "SysmonEvent", "ProtectionStatus", "WindowsEvent")
| extend computerName = tolower(tostring(split(Computer, '.')[0]))
| where computerName != ""
| where _IsBillable == true
| summarize billableNodesPerHour=dcount(computerName) by bin(TimeGenerated, 1h)
| summarize billableNodesPerDay = sum(billableNodesPerHour)/24., billableNodeMonthsPerDay = sum(billableNodesPerHour)/24./31.  by day=bin(TimeGenerated, 1d)
| sort by day asc

A számlán található egységek száma csomópont-hónapok mértékegysége, amelyet a lekérdezés billableNodeMonthsPerDay képvisel. Ha a munkaterületen telepítve van Update Management megoldás, adja hozzá a Frissítés és az UpdateSummary adattípusokat a fenti lekérdezés where záradékában található listához. Végül a tényleges számlázási algoritmus összetettebbé teszi a fenti lekérdezésben nem látható megoldáscélzás használata esetén.

Tipp

Ezeket a lekérdezéseket csak ritkán használja, mert az adattípusok vizsgálatának végrehajtása find erőforrás-igényes. find Ha nincs szüksége számítógépenkénti eredményekre,akkor a Usage (Használat) adattípust kell lekérdezni (lásd alább).

A betöltött adatok mennyiségének ismertetése

A Usage and Estimated Costs (Használat és becsült költségek) oldalon az Adatbeszúrás megoldásonként diagram az elküldött adatok teljes mennyiségét és az egyes megoldások által küldött mennyiségeket jeleníti meg. Meghatározhat trendeket, például azt, hogy a teljes adathasználat (vagy egy adott megoldás használata) növekszik, stabil marad vagy csökken.

Adott események adatmennyisége

Egy adott eseménykészlet betöltött adatainak méretének vizsgálatához lekérdezheti az adott táblát (ebben a példában), majd a lekérdezést a kívánt eseményekre korlátozhatja (ebben a példában Event az 5145-ös vagy 5156-os eseményazonosítót):

Event
| where TimeGenerated > startofday(ago(31d)) and TimeGenerated < startofday(now()) 
| where EventID == 5145 or EventID == 5156
| where _IsBillable == true
| summarize count(), Bytes=sum(_BilledSize) by EventID, bin(TimeGenerated, 1d)

Vegye figyelembe, hogy a záradék kiszűri az adattípusokat bizonyos megoldásokból, amelyek esetében nem számítunk fel where _IsBillable = true díjat. További információ a ről.

Adatmennyiség megoldásonként

A számlázható adatmennyiség megoldás szerint az elmúlt hónapban (az utolsó részleges nap kivételével) való megtekintéséhez használt lekérdezés a Következő használati adattípussal állítható ki:

Usage 
| where TimeGenerated > ago(32d)
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by bin(StartTime, 1d), Solution 
| render columnchart

A záradéka csak azt biztosítja, hogy a lekérdezési Azure Portal az alapértelmezett 24 órán túlra is TimeGenerated visszanéz. A Használat adattípus használata esetén a és az azokat az idő gyűjtőket adja meg, EndTime amelyekre az eredmények jelennek meg.

Adatmennyiség típus szerint

Az adattrendeket az adattípusok szerint részletezheti:

Usage 
| where TimeGenerated > ago(32d)
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by bin(StartTime, 1d), DataType 
| render columnchart

Vagy ha megoldás szerint meg kell látnia egy táblát, és be kell gépelni az elmúlt hónapra vonatkozót,

Usage 
| where TimeGenerated > ago(32d)
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000 by Solution, DataType
| sort by Solution asc, DataType asc

Adatmennyiség számítógépenként

A Használat adattípus nem tartalmaz számítógépszintű információkat. A számítógépenként betöltött számlázható adatok méretének áttekintéséhez használja a _BilledSizetulajdonságot, amely bájtban biztosítja a méretet:

find where TimeGenerated > ago(24h) project _BilledSize, _IsBillable, Computer, Type
| where _IsBillable == true and Type != "Usage"
| extend computerName = tolower(tostring(split(Computer, '.')[0]))
| summarize BillableDataBytes = sum(_BilledSize) by  computerName 
| sort by BillableDataBytes desc nulls last

A _IsBillabletulajdonság határozza meg, hogy a betöltött adatok költségeket fognak-e fizetni. A Használat típusa nincs megadva, mert ez csak az adattrendek elemzéséhez szükséges.

A számítógépenként betöltött számlázható események számát a következővel lehet megnézni:

find where TimeGenerated > ago(24h) project _IsBillable, Computer
| where _IsBillable == true and Type != "Usage"
| extend computerName = tolower(tostring(split(Computer, '.')[0]))
| summarize eventCount = count() by computerName  
| sort by eventCount desc nulls last

Tipp

Ezeket a lekérdezéseket csak ritkán használja, mert az adattípusok vizsgálatának végrehajtása find erőforrás-igényes. find Ha nincs szüksége számítógépenkénti eredményekre,a Usage (Használat) adattípust kell lekérdezni.

Adatmennyiség Azure-erőforrás, erőforráscsoport vagy előfizetés szerint

Az Azure-ban üzemeltetett csomópontok adatai esetén a számítógépenkénti betöltött adatok méretét a _ResourceIdtulajdonság használatával kaphatja meg, amely az erőforrás teljes elérési útját biztosítja:

find where TimeGenerated > ago(24h) project _ResourceId, _BilledSize, _IsBillable
| where _IsBillable == true 
| summarize BillableDataBytes = sum(_BilledSize) by _ResourceId | sort by BillableDataBytes nulls last

Az Azure-ban üzemeltetett csomópontok adatai esetén az Azure-előfizetésenként betöltött adatok méretét a következő _SubscriptionId kaphatja meg:

find where TimeGenerated > ago(24h) project _BilledSize, _IsBillable, _SubscriptionId
| where _IsBillable == true 
| summarize BillableDataBytes = sum(_BilledSize) by _SubscriptionId | sort by BillableDataBytes nulls last

Az adatmennyiség erőforráscsoport szerint való lekért adatokat elemezheti a _ResourceId:

find where TimeGenerated > ago(24h) project _ResourceId, _BilledSize, _IsBillable
| where _IsBillable == true 
| summarize BillableDataBytes = sum(_BilledSize) by _ResourceId
| extend resourceGroup = tostring(split(_ResourceId, "/")[4] )
| summarize BillableDataBytes = sum(BillableDataBytes) by resourceGroup | sort by BillableDataBytes nulls last

Szükség esetén a teljesebb körűen elemezheti _ResourceId is:

| parse tolower(_ResourceId) with "/subscriptions/" subscriptionId "/resourcegroups/" 
    resourceGroup "/providers/" provider "/" resourceType "/" resourceName   

Tipp

Ezeket a lekérdezéseket csak ritkán használja, mert az adattípusok vizsgálatának végrehajtása find erőforrás-igényes. find Ha nincs szüksége előfizetésenkénti, erőforráscsoportonkénti vagy erőforrásnévenkénti eredményekre, a Usage (Használat) adattípusra vonatkozó lekérdezést kell lekérdezni.

Figyelmeztetés

A Használati adattípus egyes mezői, miközben még a sémában vannak, elavultak, és az értékük már nem lesz kitöltve. Ezek a számítógép, valamint a betöltéshez kapcsolódó mezők (TotalBatches,BatchesWithinSla,BatchesOutsideSla,BatchesCapped és AverageProcessingTimeMs).

Kései adatok érkeznek

Olyan helyzetek adódhatnak, amikor az adatok régi időbélyegekkel vannak behozva. Például ha egy ügynök kapcsolati probléma miatt nem tud kommunikálni a Log Analytics szolgáltatással, vagy ha egy gazdagépen helytelen az idődátum/idő. Ez a Usage adattípus által jelentett betöltött adatok és a TimeGeneratedáltal meghatározott adott napra vonatkozó nyers adatokat összegző lekérdezés nyilvánvaló eltérésével jelentkezik, amely az esemény keletkezésének időbélyegzője alapján _BilledSize.

A kései adatokkal kapcsolatos problémák diagnosztizálásához használja a _TimeReceivedoszlopot(további információ) a TimeGenerated oszlop mellett. _TimeReceived az az időpont, amikor a rekordot a Azure Monitor az Azure-felhőben. A Használati rekordok használata esetén például nagy mennyiségű W3CIISLog-adatmennyiséget figyelt meg 2021. május 2-án, az alábbi lekérdezés azonosítja a betöltött adatok időbélyegeit:

W3CIISLog
| where TimeGenerated > datetime(1970-01-01)
| where _TimeReceived >= datetime(2021-05-02) and _TimeReceived < datetime(2021-05-03) 
| where _IsBillable == true
| summarize BillableDataMB = sum(_BilledSize)/1.E6 by bin(TimeGenerated, 1d)
| sort by TimeGenerated asc 

A utasítás csak azért van jelen, hogy a Log Analytics felhasználói felületén az összes adatot where TimeGenerated > datetime(1970-01-01) át tudja nézni.

Gyakori adattípusok lekérdezése

Egy adott adattípus adatforrásának mélyebb mélyebbre ásáshoz íme néhány hasznos példa a lekérdezésekre:

  • Munkaterület-alapú alkalmazás-Elemzések erőforrások
  • Biztonsági megoldás
    • SecurityEvent | summarize AggregatedValue = count() by EventID
  • Naplókezelési megoldás
    • Usage | where Solution == "LogManagement" and iff(isnotnull(toint(IsBillable)), IsBillable == true, IsBillable == "true") == true | summarize AggregatedValue = count() by DataType
  • Perf adattípus
    • Perf | summarize AggregatedValue = count() by CounterPath
    • Perf | summarize AggregatedValue = count() by CounterName
  • Esemény adattípus
    • Event | summarize AggregatedValue = count() by EventID
    • Event | summarize AggregatedValue = count() by EventLog, EventLevelName
  • Rendszernapló adattípus
    • Syslog | summarize AggregatedValue = count() by Facility, SeverityLevel
    • Syslog | summarize AggregatedValue = count() by ProcessName
  • AzureDiagnostics adattípus
    • AzureDiagnostics | summarize AggregatedValue = count() by ResourceProvider, ResourceId

Tippek az adatmennyiség csökkentéséhez

Ez a táblázat néhány javaslatot sorol fel a gyűjtött naplók mennyiségének csökkentésére.

A nagy adatmennyiség forrása Az adatmennyiség csökkentésének módja
Adatgyűjtési szabályok A Azure Monitor Agent adatgyűjtési szabályokat használ az adatgyűjtés kezeléséhez. Az adatok gyűjtését egyéni XPath-lekérdezésekkel korlátozhatja.
Tárolóval kapcsolatos megállapítások A Container Elemzések konfigurálható úgy, hogy csak a szükséges adatokat gyűjtse.
Microsoft Sentinel Tekintse át az összes olyan Sentinel-adatforrást, amely a közelmúltban további adatmennyiségek forrásaként lett engedélyezve. További információ a Sentinel költségeiről és számlázásról.
Biztonsági események Válassza a gyakori vagy minimális biztonsági eseményeket.
Módosítsa a biztonsági naplózási szabályzatot, hogy csak a szükséges eseményeket gyűjtse be. Különösen az alábbiakhoz szükséges események gyűjtésének felülvizsgálatát kell áttekintenie:
- -
- -
- -
- -
- -
– cserélhető tároló naplózása.
Teljesítményszámlálók Módosítsa a teljesítményszámláló konfigurációját a következőre:
– Csökkentse a gyűjtés gyakoriságát.
– Csökkentse a teljesítményszámlálók számát.
Eseménynaplók Módosítsa az eseménynapló konfigurációját a következőre:
– Csökkentse a gyűjtött eseménynaplók számát.
– Csak a szükséges eseményszinteket gyűjtse. Ne gyűjtsön például információszintű eseményeket.
Rendszernapló Módosítsa a rendszernapló konfigurációját a következőre:
– Csökkentse a begyűjtött létesítmények számát.
– Csak a szükséges eseményszinteket gyűjtse. Ne gyűjtsön például információ- és hibakeresési szintű eseményeket.
AzureDiagnostics Módosítsa az erőforrásnapló-gyűjteményt a következőre:
– Csökkentse azon erőforrások számát, amelyek naplókat küldenek a Log Analyticsnek.
– Csak a szükséges naplókat gyűjtse össze.
Megoldásadatok olyan számítógépekről, amelyeknek nincs szükségük a megoldásra A megoldáscélzás használatával csak a szükséges számítógépcsoportokból gyűjt adatokat.
Application Insights Tekintse át az alkalmazás- és Elemzések beállításait.
SQL Analytics A naplózási beállítások hangolása a Set-AzSqlServerAudit használatával.

Csomópontok csomópontonkénti tarifacsomagban való számlázása

Azon számítógépek listáját, amelyek csomópontként lesznek számlázva, ha a munkaterület az örökölt csomópontonkénti tarifacsomagban van, keresse meg a számlázett adattípusokat küldő csomópontokat (egyes adattípusok ingyenesek). Ehhez használja a _IsBillable tulajdonságot, és használja a teljes tartománynév bal szélső mezőjét. Ez az óránként számlázt adatokat (vagyis a csomópontok számlálásának és számlázásának részletességét) számláló számítógépek számát adja vissza:

find where TimeGenerated > ago(24h) project Computer, TimeGenerated
| extend computerName = tolower(tostring(split(Computer, '.')[0]))
| where computerName != ""
| summarize billableNodes=dcount(computerName) by bin(TimeGenerated, 1h) | sort by TimeGenerated asc

A Biztonság és az Automation csomópontszámának lekért száma

A különálló biztonsági csomópontok számának a lekérdezés használatával használhatja:

union
(
    Heartbeat
    | where (Solutions has 'security' or Solutions has 'antimalware' or Solutions has 'securitycenter')
    | project Computer
),
(
    ProtectionStatus
    | where Computer !in~
    (
        (
            Heartbeat
            | project Computer
        )
    )
    | project Computer
)
| distinct Computer
| project lowComputer = tolower(Computer)
| distinct lowComputer
| count

Az eltérő Automation-csomópontok számának a lekérdezés használatával használhatja:

 ConfigurationData 
 | where (ConfigDataType == "WindowsServices" or ConfigDataType == "Software" or ConfigDataType =="Daemons") 
 | extend lowComputer = tolower(Computer) | summarize by lowComputer 
 | join (
     Heartbeat 
       | where SCAgentChannel == "Direct"
       | extend lowComputer = tolower(Computer) | summarize by lowComputer, ComputerEnvironment
 ) on lowComputer
 | summarize count() by ComputerEnvironment | sort by ComputerEnvironment asc

Az örökölt csomópontonkénti tarifacsomag értékelése

Az ügyfelek gyakran nehezen mérik fel, hogy az örökölt csomópontonkénti tarifacsomaghoz hozzáférő munkaterületek jobban ki vannak-e kapcsolva az adott szinten vagy a jelenlegi, fizetéses vagy kötelezettségvállalási szinten. Ehhez meg kell értenie a csomópontonkénti tarifacsomagban található figyelt csomópontonkénti rögzített költségek és a napi 500 MB/csomópontos adatfoglalást, valamint a betöltött adatok díjának a gb-ban történő fizetését.

Az értékelés megkönnyítése érdekében a következő lekérdezéssel javaslatot lehet tenni a munkaterület használati mintái alapján az optimális tarifacsomagra. Ez a lekérdezés a munkaterületre az elmúlt hét napban betöltött figyelt csomópontokat és adatokat vizsgálja, és minden nap kiértékeli, hogy melyik tarifacsomag lett volna optimális. A lekérdezéshez a következőket kell megadnia:

  • Azt, hogy a munkaterület a Microsoft Defender for Cloudot használja-e a workspaceHasSecurityCenter true (igaz) vagy false (hamis) értékére való állításával.
  • Frissítse az árakat, ha adott kedvezményeket kap.
  • Adja meg a napok számát, amelyet vissza kell nézni és elemezni kell a daysToEvaluate beállítással. Ez akkor hasznos, ha a lekérdezés túl sokáig tart, és hét nap adatot próbál meg keresni.

Itt van a tarifacsomag javaslati lekérdezése:

// Set these parameters before running query
// Pricing details available at https://azure.microsoft.com/pricing/details/monitor/
let daysToEvaluate = 7; // Enter number of previous days to analyze (reduce if the query is taking too long)
let workspaceHasSecurityCenter = false;  // Specify if the workspace has Defender for Cloud (formerly known as Azure Security Center)
let PerNodePrice = 15.; // Enter your monthly price per monitored nodes
let PerNodeOveragePrice = 2.30; // Enter your price per GB for data overage in the Per Node pricing tier
let PerGBPrice = 2.30; // Enter your price per GB in the Pay-as-you-go pricing tier
let CommitmentTier100Price = 196.; // Enter your price for the 100 GB/day commitment tier
let CommitmentTier200Price = 368.; // Enter your price for the 200 GB/day commitment tier
let CommitmentTier300Price = 540.; // Enter your price for the 300 GB/day commitment tier
let CommitmentTier400Price = 704.; // Enter your price for the 400 GB/day commitment tier
let CommitmentTier500Price = 865.; // Enter your price for the 500 GB/day commitment tier
let CommitmentTier1000Price = 1700.; // Enter your price for the 1000 GB/day commitment tier
let CommitmentTier2000Price = 3320.; // Enter your price for the 2000 GB/day commitment tier
let CommitmentTier5000Price = 8050.; // Enter your price for the 5000 GB/day commitment tier
// ---------------------------------------
let SecurityDataTypes=dynamic(["SecurityAlert", "SecurityBaseline", "SecurityBaselineSummary", "SecurityDetection", "SecurityEvent", "WindowsFirewall", "MaliciousIPCommunication", "LinuxAuditLog", "SysmonEvent", "ProtectionStatus", "WindowsEvent", "Update", "UpdateSummary"]);
let StartDate = startofday(datetime_add("Day",-1*daysToEvaluate,now()));
let EndDate = startofday(now());
union * 
| where TimeGenerated >= StartDate and TimeGenerated < EndDate
| extend computerName = tolower(tostring(split(Computer, '.')[0]))
| where computerName != ""
| summarize nodesPerHour = dcount(computerName) by bin(TimeGenerated, 1h)  
| summarize nodesPerDay = sum(nodesPerHour)/24.  by day=bin(TimeGenerated, 1d)  
| join kind=leftouter (
    Heartbeat 
    | where TimeGenerated >= StartDate and TimeGenerated < EndDate
    | where Computer != ""
    | summarize ASCnodesPerHour = dcount(Computer) by bin(TimeGenerated, 1h) 
    | extend ASCnodesPerHour = iff(workspaceHasSecurityCenter, ASCnodesPerHour, 0)
    | summarize ASCnodesPerDay = sum(ASCnodesPerHour)/24.  by day=bin(TimeGenerated, 1d)   
) on day
| join (
    Usage 
    | where TimeGenerated >= StartDate and TimeGenerated < EndDate
    | where IsBillable == true
    | extend NonSecurityData = iff(DataType !in (SecurityDataTypes), Quantity, 0.)
    | extend SecurityData = iff(DataType in (SecurityDataTypes), Quantity, 0.)
    | summarize DataGB=sum(Quantity)/1000., NonSecurityDataGB=sum(NonSecurityData)/1000., SecurityDataGB=sum(SecurityData)/1000. by day=bin(StartTime, 1d)  
) on day
| extend AvgGbPerNode =  NonSecurityDataGB / nodesPerDay
| extend OverageGB = iff(workspaceHasSecurityCenter, 
             max_of(DataGB - 0.5*nodesPerDay - 0.5*ASCnodesPerDay, 0.), 
             max_of(DataGB - 0.5*nodesPerDay, 0.))
| extend PerNodeDailyCost = nodesPerDay * PerNodePrice / 31. + OverageGB * PerNodeOveragePrice
| extend billableGB = iff(workspaceHasSecurityCenter,
             (NonSecurityDataGB + max_of(SecurityDataGB - 0.5*ASCnodesPerDay, 0.)), DataGB )
| extend PerGBDailyCost = billableGB * PerGBPrice
| extend CommitmentTier100DailyCost = CommitmentTier100Price + max_of(billableGB - 100, 0.)* CommitmentTier100Price/100.
| extend CommitmentTier200DailyCost = CommitmentTier200Price + max_of(billableGB - 200, 0.)* CommitmentTier200Price/200.
| extend CommitmentTier300DailyCost = CommitmentTier300Price + max_of(billableGB - 300, 0.)* CommitmentTier300Price/300.
| extend CommitmentTier400DailyCost = CommitmentTier400Price + max_of(billableGB - 400, 0.)* CommitmentTier400Price/400.
| extend CommitmentTier500DailyCost = CommitmentTier500Price + max_of(billableGB - 500, 0.)* CommitmentTier500Price/500.
| extend CommitmentTier1000DailyCost = CommitmentTier1000Price + max_of(billableGB - 1000, 0.)* CommitmentTier1000Price/1000.
| extend CommitmentTier2000DailyCost = CommitmentTier2000Price + max_of(billableGB - 2000, 0.)* CommitmentTier2000Price/2000.
| extend CommitmentTier5000DailyCost = CommitmentTier5000Price + max_of(billableGB - 5000, 0.)* CommitmentTier5000Price/5000.
| extend MinCost = min_of(
    PerNodeDailyCost,PerGBDailyCost,CommitmentTier100DailyCost,CommitmentTier200DailyCost,
    CommitmentTier300DailyCost, CommitmentTier400DailyCost, CommitmentTier500DailyCost, CommitmentTier1000DailyCost, CommitmentTier2000DailyCost, CommitmentTier5000DailyCost)
| extend Recommendation = case(
    MinCost == PerNodeDailyCost, "Per node tier",
    MinCost == PerGBDailyCost, "Pay-as-you-go tier",
    MinCost == CommitmentTier100DailyCost, "Commitment tier (100 GB/day)",
    MinCost == CommitmentTier200DailyCost, "Commitment tier (200 GB/day)",
    MinCost == CommitmentTier300DailyCost, "Commitment tier (300 GB/day)",
    MinCost == CommitmentTier400DailyCost, "Commitment tier (400 GB/day)",
    MinCost == CommitmentTier500DailyCost, "Commitment tier (500 GB/day)",
    MinCost == CommitmentTier1000DailyCost, "Commitment tier (1000 GB/day)",
    MinCost == CommitmentTier2000DailyCost, "Commitment tier (2000 GB/day)",
    MinCost == CommitmentTier5000DailyCost, "Commitment tier (5000 GB/day)",
    "Error"
)
| project day, nodesPerDay, ASCnodesPerDay, NonSecurityDataGB, SecurityDataGB, OverageGB, AvgGbPerNode, PerGBDailyCost, PerNodeDailyCost, 
    CommitmentTier100DailyCost, CommitmentTier200DailyCost, CommitmentTier300DailyCost, CommitmentTier400DailyCost, CommitmentTier500DailyCost, CommitmentTier1000DailyCost, CommitmentTier2000DailyCost, CommitmentTier5000DailyCost, Recommendation 
| sort by day asc
//| project day, Recommendation // Comment this line to see details
| sort by day asc

Ez a lekérdezés nem a használat kiszámításának pontos replikációja, de a legtöbb esetben tarifacsomag-javaslatokat nyújt.

Megjegyzés

Az OMS E1 Suite, az OMS E2 Suite vagy az OMS Add-On for System Center megvásárlásából származó jogosultságok System Center Log Analytics csomópontonként tarifacsomagot válassza.

Riasztás létrehozása magas adatgyűjtéskor

Ez a szakasz azt ismerteti, hogyan hozhat létre riasztást, ha az elmúlt 24 óra adatmennyisége túllépte a megadott mennyiséget az Azure Monitor naplóriasztásokkal.

Riasztás, ha az elmúlt 24 órában betöltött számlázható adatmennyiség nagyobb, mint 50 GB:

  • A riasztási feltétel megadásával határozza meg a célerőforrásként használt Log Analytics-munkaterületet.
  • A Riasztási feltételek résznél az alábbiakat adja meg:
    • A Jel neve legyen Egyéni naplókeresés
    • Keressen rá a lekérdezésre.
    • A Riasztási logikaalapja legyen az eredmények száma, a Feltétel pedig legyen nagyobb mint a következő küszöbérték : 0
    • Az 1440 perces időszak és a Riasztási gyakoriság 1440 percenként, napi egyszer futtatva.
  • Határozza meg a riasztás részleteit az alábbiak megadásával:
    • 50 GB-nál nagyobb név a számlázható adatkötetnek 24 órán belül
    • A Súlyosság legyen Figyelmeztetés

Ha értesítést kap arról, ha a naplóriasztás megfelel a feltételeknek, adjon meg egy meglévőt, vagy hozzon létre egy új műveletcsoportot.

Amikor riasztást kap, kövesse a fenti szakaszokban található lépéseket a vártnál magasabb használati arány okának hibaelhárítására.

Adatátviteli díjak a Log Analytics használatával

Ha adatokat küld a Log Analyticsnek, az adat-sávszélességgel kapcsolatos díjakat kell fizetni. Ez azonban csak azokra a Virtual Machines amelyekre a Log Analytics-ügynök telepítve van, és nem alkalmazható a Diagnosztikai beállítások vagy a Microsoft Sentinelbe beépített más összekötők használata esetén. Az Azure-sávszélességdíjszabása lapon leírtak szerint a két régióban található Azure-szolgáltatások közötti adatátvitelért kimenő adatátvitelként, normál díjszabás szerint kell fizetni. A bejövő adatátvitel ingyenes. Ez a díj azonban nagyon kicsi a Log Analytics-adatbe töltött adatok költségeihez képest. Így a Log Analytics költségeinek szabályozásának a betöltött adatmennyiségre kell összpontosítania.

Hibaelhárítás, amely miatt a Log Analytics már nem gyűjt adatokat

Ha az örökölt ingyenes tarifacsomagban van, és naponta több mint 500 MB adatot küldött, az adatgyűjtés a nap hátralevő részében leáll. A napi korlát elérése gyakori ok arra, hogy a Log Analytics nem gyűjt adatokat, vagy úgy tűnik, hogy az adatok hiányoznak. A Log Analytics művelettípus-eseményt hoz létre, amikor az adatgyűjtés elindul és leáll. Futtassa a következő lekérdezést a keresésben annak ellenőrzéséhez, hogy eléri-e a napi korlátot és a hiányzó adatokat:

Operation | where OperationCategory == 'Data Collection Status'

Ha az adatgyűjtés leáll, az OperationStatus figyelmeztetés. Az adatgyűjtés indításakor az OperationStatussikeres lesz. Az alábbi táblázat felsorolja az adatgyűjtés leállásának okait, valamint egy javasolt műveletet az adatgyűjtés folytatásához.

Az okgyűjtemény leáll Megoldás
Elérte a munkaterület napi felső számát Várjon, amíg a gyűjtemény automatikusan újraindul, vagy növelje a napi adatmennyiségre vonatkozó, a maximális napi adatmennyiség kezeléséhez vonatkozó leírásban leírt korlátot. A napi felső költségkeret alaphelyzetbe állításának ideje a Napi felső idő lapon jelenik meg.
A munkaterületen meg lett telve az adatbevallási mennyiség Az Azure-erőforrásokról diagnosztikai beállítások használatával küldött adatok alapértelmezett maximális adatfeldolgozási sebessége munkaterületenként körülbelül 6 GB/perc. Ez egy hozzávetőleges érték, mivel a tényleges méret adattípusonként változhat a napló hosszától és tömörítési arányától függően. Ez a korlát nem vonatkozik az ügynököktől vagy a Data Collector API-tól küldött adatokra. Ha egy adott munkaterületre nagyobb sebességgel küld adatokat, egyes adatok elvesznek, és a rendszer 6 óránként eseményt küld a munkaterület műveleti táblájára, amíg meg nem szűnik a küszöb túllépése. Ha a betöltési mennyiség továbbra is meghaladja a sebességkorlátot, vagy ha úgy gondolja, hogy nemsokára el fogja érni, akkor az LAIngestionRate@microsoft.com címre küldött e-mailben vagy egy támogatási kérés megnyitásával kérheti a sebesség növelését a munkaterületen. Az adatfeldolgozási sebességkorlátot jelző esemény az Operation | where OperationCategory == "Ingestion" | where Detail startswith "The rate of data crossed the threshold" lekérdezéssel kereshető meg.
Az örökölt ingyenes tarifacsomag napi korlátja elérve Várja meg a következő napot, amíg a gyűjtemény automatikusan újraindul, vagy vált egy fizetős tarifacsomagra.
Az Azure-előfizetés a következő miatt felfüggesztett állapotban van:
Az ingyenes próbaverzió véget ért
Az Azure Pass lejárt
Elérte a havi költségkeretet (például MSDN-hez vagy Visual Studio előfizetéshez)
Átállás a fizetős verzióra
Távolítsa el a korlátot, vagy várjon, amíg a korlát alaphelyzetbe áll

Ha értesítést akar kapni az adatgyűjtés leállása után, kövesse a Riasztás a napi felső küszöbérték elérésekor című szakaszban leírt lépéseket. Ha e-mailt, webhookot vagy runbook-műveletet konfigurál a riasztási szabályhoz, kövesse a műveletcsoport létrehozásacímű lépésben leírt lépéseket.

Korlátozások összegzése

További Log Analytics-korlátok is vannak, amelyek némelyike a Log Analytics tarifacsomagtól függ. Ezeket az Azure-előfizetések és -szolgáltatások korlátaival, kvótáival és megkötéseivel kapcsolatos dokumentum tartalmazza.

Következő lépések