Prijsgegevens voor Azure Monitor-logboeken

  • Artikel
  • 18 minuten om te lezen

De belangrijkste kosten voor de meeste Azure Monitor-implementaties zijn doorgaans het opnemen en bewaren van gegevens in uw Log Analytics-werkruimten. Verschillende functies in Azure Monitor hebben geen directe kosten, maar voegen ze toe aan de verzamelde werkruimtegegevens. In dit artikel wordt beschreven hoe gegevenskosten worden berekend voor uw Log Analytics-werkruimten en Application Insights-resources en de verschillende configuratieopties die van invloed zijn op uw kosten.

Prijsmodel

De standaardprijzen voor Log Analytics zijn een betalen per gebruik-model dat is gebaseerd op opgenomen gegevensvolume en gegevensretentie. Elke Log Analytics-werkruimte wordt in rekening gebracht als een afzonderlijke service en draagt bij aan de factuur voor uw Azure-abonnement. Prijzen voor Log Analytics worden regionaal ingesteld. De hoeveelheid gegevensopname kan aanzienlijk zijn, afhankelijk van de volgende factoren:

  • De set beheeroplossingen ingeschakeld en hun configuratie
  • Het aantal en het type bewaakte resources
  • De typen gegevens die worden verzameld van elke bewaakte resource

Berekening van gegevensgrootte

Het gegevensvolume wordt gemeten als de grootte van de gegevens die worden opgeslagen in GB (10^9 bytes). De gegevensgrootte van één record wordt berekend op basis van een tekenreeksweergave van de kolommen die zijn opgeslagen in de Log Analytics-werkruimte voor die record, ongeacht of de gegevens worden verzonden vanuit een agent of worden toegevoegd tijdens het opnameproces. Dit omvat aangepaste kolommen die worden toegevoegd door de logboekopname-API, transformaties of aangepaste velden die worden toegevoegd wanneer gegevens worden verzameld en vervolgens worden opgeslagen in de werkruimte.

Notitie

De factureerbare gegevensvolumeberekening is aanzienlijk kleiner dan de grootte van de volledige inkomende JSON-pakketgebeurtenis. Gemiddeld is de gefactureerde grootte voor alle gebeurtenistypen ongeveer 25% kleiner dan de binnenkomende gegevensgrootte. Dit kan maximaal 50% zijn voor kleine evenementen. Het is essentieel om inzicht te hebben in deze berekening van de gefactureerde gegevensgrootte bij het schatten van kosten en het vergelijken met andere prijsmodellen.

Uitgesloten kolommen

De volgende standaardkolommen die voor alle tabellen gelden, worden uitgesloten in de berekening van de recordgrootte. Alle andere kolommen die zijn opgeslagen in Log Analytics, worden opgenomen in de berekening van de recordgrootte.

  • _ResourceId
  • _SubscriptionId
  • _ItemId
  • _IsBillable
  • _BilledSize
  • Type

Uitgesloten tabellen

Sommige tabellen zijn gratis van gegevensopnamekosten, waaronder AzureActivity, Heartbeat, Gebruik, Bewerking. Dit wordt altijd aangegeven door de kolom _IsBillable , die aangeeft of een record is uitgesloten van facturering voor gegevensopname.

Kosten voor andere oplossingen en services

Sommige oplossingen hebben specifiekere beleidsregels voor het opnemen van gratis gegevens. Azure Migrate maakt visualisatiegegevens voor afhankelijkheden bijvoorbeeld gedurende de eerste 180 dagen van een serverevaluatie gratis. Services zoals Microsoft Defender for Cloud, Microsoft Sentinel en Configuratiebeheer hebben hun eigen prijsmodellen.

Zie de documentatie voor verschillende services en oplossingen voor eventuele unieke factureringsberekeningen.

Toezeggingslagen

Naast het pay-as-you-go-model heeft Log Analytics toezeggingslagen, waarmee u maximaal 30 procent kunt besparen ten opzichte van de prijs voor betalen per gebruik. Met prijscategorieën voor toezeggingen kunt u zich verplichten om gegevensopname te kopen voor een werkruimte, te beginnen bij 100 GB/dag, tegen een lagere prijs dan de prijzen voor betalen per gebruik. Elk gebruik boven het toezeggingsniveau (overschrijding) wordt gefactureerd tegen dezelfde prijs per GB als die van de huidige toezeggingslaag. De toezeggingslagen hebben een toezeggingsperiode van 31 dagen vanaf het moment dat een toezeggingslaag is geselecteerd.

  • Tijdens de toezeggingsperiode kunt u overschakelen naar een hogere toezeggingslaag (waarmee de toezeggingsperiode van 31 dagen opnieuw wordt gestart), maar u kunt niet terugkeren naar betalen per gebruik of naar een lagere toezeggingslaag totdat u de toezeggingsperiode hebt voltooid.
  • Aan het einde van de toezeggingsperiode behoudt de werkruimte de geselecteerde toezeggingslaag en kan de werkruimte op elk gewenst moment worden verplaatst naar Betalen per gebruik of naar een andere toezeggingslaag.

Facturering voor de toezeggingslagen wordt dagelijks per werkruimte uitgevoerd. Als de werkruimte deel uitmaakt van een toegewezen cluster, wordt de facturering voor het cluster uitgevoerd (zie hieronder). Zie Prijzen van Azure Monitor voor een gedetailleerd overzicht van de toezeggingslagen en de bijbehorende prijzen.

Azure-toezeggingskortingen, zoals de kortingen die zijn ontvangen van Microsoft Enterprise Agreements , worden toegepast op de prijscategorie azure Monitor-logboeken, net zoals de prijzen voor betalen per gebruik (of het gebruik per werkruimte of per toegewezen cluster wordt gefactureerd).

Tip

In het menu-item Gebruik en geschatte kosten voor elke Log Analytics-werkruimte wordt een schatting gemaakt van uw maandelijkse kosten op elk toezeggingsniveau. U moet deze informatie regelmatig bekijken om te bepalen of u uw kosten kunt verlagen door naar een andere laag te gaan. Zie Gebruik en geschatte kosten voor informatie over deze weergave.

Toegewezen clusters

Een toegewezen Cluster van Azure Monitor-logboeken is een verzameling werkruimten in één beheerd Azure Data Explorer-cluster. Toegewezen clusters ondersteunen geavanceerde functies zoals door de klant beheerde sleutels en gebruiken hetzelfde prijsmodel voor de toezeggingslaag als werkruimten, hoewel ze een toezeggingsniveau van ten minste 500 GB/dag moeten hebben. Elk gebruik boven het toezeggingsniveau (overschrijding) wordt gefactureerd tegen dezelfde prijs per GB als die van de huidige toezeggingslaag. Er is geen optie betalen per gebruik voor clusters.

De clustertoezeggingslaag heeft een toezeggingsperiode van 31 dagen nadat het toezeggingsniveau is verhoogd. Tijdens de toezeggingsperiode kan het niveau van de toezeggingslaag niet worden verlaagd, maar het kan op elk gewenst moment worden verhoogd. Wanneer werkruimten zijn gekoppeld aan een cluster, worden de facturering voor gegevensopname voor die werkruimten uitgevoerd op clusterniveau met behulp van het geconfigureerde niveau van de toezeggingslaag.

Er zijn twee factureringsmodi voor een cluster dat u opgeeft wanneer u het cluster maakt.

  • Cluster (standaard): facturering voor opgenomen gegevens wordt uitgevoerd op clusterniveau. De opgenomen gegevenshoeveelheden uit elke werkruimte die aan een cluster zijn gekoppeld, worden geaggregeerd om de dagelijkse factuur voor het cluster te berekenen. Toewijzingen per knooppunt van Microsoft Defender voor Cloud worden toegepast op werkruimteniveau vóór deze aggregatie van gegevens in alle werkruimten in het cluster.

  • Werkruimten: de kosten voor de toezeggingslaag voor uw cluster worden evenredig toegewezen aan de werkruimten in het cluster, door het gegevensopnamevolume van elke werkruimte (na boekhouding voor toewijzingen per knooppunt van Microsoft Defender voor Cloud voor elke werkruimte.)

    Als het totale gegevensvolume dat voor een dag in een cluster wordt opgenomen, kleiner is dan de toezeggingslaag, wordt elke werkruimte gefactureerd voor de opgenomen gegevens tegen het effectieve toezeggingslaagtarief per GB door ze een fractie van de toezeggingslaag te factureren. Het ongebruikte deel van de toezeggingslaag wordt vervolgens gefactureerd aan de clusterresource.

    Als het totale gegevensvolume dat voor een dag wordt opgenomen in een cluster meer is dan de toezeggingslaag, wordt elke werkruimte gefactureerd voor een fractie van de toezeggingslaag, op basis van het deel van de opgenomen gegevens die dag en elke werkruimte voor een fractie van de opgenomen gegevens boven de toezeggingslaag. Als het totale gegevensvolume dat voor een dag in een werkruimte is opgenomen, hoger is dan de toezeggingslaag, wordt er niets gefactureerd voor de clusterresource.

In de opties voor clusterfacturering worden gegevensretentie gefactureerd voor elke werkruimte. Clusterfacturering begint wanneer het cluster wordt gemaakt, ongeacht of werkruimten aan het cluster zijn gekoppeld.

Wanneer u werkruimten koppelt aan een cluster, wordt de prijscategorie gewijzigd in het cluster en wordt de opname gefactureerd op basis van de toezeggingslaag van het cluster. Werkruimten die aan een cluster zijn gekoppeld, hebben niet langer hun eigen prijscategorie. Werkruimten kunnen op elk gewenst moment worden ontkoppeld van een cluster en de prijscategorie wordt gewijzigd in per GB.

Als uw gekoppelde werkruimte gebruikmaakt van een verouderde prijscategorie per knooppunt, wordt deze gefactureerd op basis van gegevens die zijn opgenomen in de toezeggingslaag van het cluster en niet meer per knooppunt. Gegevenstoewijzingen per knooppunt van Microsoft Defender voor Cloud worden nog steeds toegepast.

Zie Een toegewezen cluster maken voor meer informatie over het maken van een toegewezen cluster en het opgeven van het factureringstype.

Basislogboeken

U kunt bepaalde tabellen in een Log Analytics-werkruimte configureren om basislogboeken te gebruiken. Gegevens in deze tabellen hebben een aanzienlijk lagere opnamekosten en een beperkte bewaarperiode. Er worden echter kosten in rekening gebracht om te zoeken op basis van deze tabellen. Basislogboeken zijn bedoeld voor uitgebreide logboeken met grote volumes die u gebruikt voor foutopsporing, probleemoplossing en controle, maar niet voor analyses en waarschuwingen.

De kosten voor het zoeken op basislogboeken zijn gebaseerd op de GB aan gegevens die zijn gescand bij het uitvoeren van de zoekopdracht.

Zie Basislogboeken configureren in Azure Monitor voor meer informatie over basislogboeken, inclusief het configureren en opvragen van hun gegevens.

Logboekgegevensretentie en -archief

Naast gegevensopname worden er kosten in rekening gebracht voor het bewaren van gegevens in elke Log Analytics-werkruimte. U kunt de bewaarperiode voor de hele werkruimte of voor elke tabel instellen. Na deze periode worden de gegevens verwijderd of gearchiveerd. Gearchiveerde logboeken hebben een gereduceerde retentiekosten en er worden kosten in rekening gebracht om te zoeken op basis van deze logboeken. Gebruik Archieflogboeken om uw kosten te verlagen voor gegevens die u moet opslaan voor naleving of incidenteel onderzoek.

Zie Beleid voor gegevensretentie en archief configureren in Azure Monitor-logboeken voor meer informatie over gegevensretentie en archivering, inclusief het configureren van deze instellingen en het openen van gearchiveerde gegevens.

Zoekopdrachten

Zoeken in gearchiveerde logboeken maakt gebruik van zoektaken. Zoektaken zijn asynchrone query's waarmee records worden opgehaald in een nieuwe zoektabel in uw werkruimte voor verdere analyse. Zoektaken worden gefactureerd door het aantal GB aan gegevens dat op elke dag wordt gescand om de zoekopdracht uit te voeren.

Logboekgegevens herstellen

In situaties waarin oudere of gearchiveerde logboeken intensief moeten worden opgevraagd met de volledige analysequerymogelijkheden, is de functie voor gegevensherstel een krachtig hulpmiddel. Met de herstelbewerking wordt een specifiek tijdsbereik aan gegevens in een tabel beschikbaar gesteld in de hot-cache voor query's met hoge prestaties. U kunt de gegevens later verwijderen wanneer u klaar bent. Het herstellen van logboekgegevens wordt gefactureerd op basis van de hoeveelheid herstelde gegevens en op het moment dat de herstelbewerking actief wordt gehouden. De minimale waarden die worden gefactureerd voor gegevensherstel zijn 2 TB en 12 uur. Gegevens die meer dan 2 TB en/of meer dan 12 uur in duur zijn hersteld, worden naar rato gefactureerd.

Logboekgegevens exporteren

Met gegevensexport in Log Analytics-werkruimte kunt u continu gegevens per geselecteerde tabel in uw werkruimte exporteren naar een Azure Storage-account of Azure Event Hubs wanneer deze binnenkomt in de Azure Monitor-pijplijn. Kosten voor het gebruik van gegevensexport zijn gebaseerd op de hoeveelheid geëxporteerde gegevens. De grootte van de geëxporteerde gegevens is het aantal bytes in de geëxporteerde JSON-indeling.

Facturering van Application Insights

Omdat Application Insights-resources op basis van werkruimten hun gegevens opslaan in een Log Analytics-werkruimte, wordt de facturering voor gegevensopname en -retentie uitgevoerd door de werkruimte waar de Application Insights-gegevens zich bevinden. Hierdoor kunt u gebruikmaken van alle opties van het Log Analytics-prijsmodel, inclusief toezeggingslagen naast Betalen per gebruik.

Gegevensopname en gegevensretentie voor een klassieke Application Insights-resource volgen dezelfde prijzen voor betalen per gebruik als op werkruimte gebaseerde resources, maar ze kunnen geen gebruik maken van toezeggingslagen.

Telemetrie van pingtests en tests met meerdere stappen wordt in rekening gebracht op hetzelfde als het gegevensgebruik voor andere telemetrie van uw app. Het gebruik van webtests en het inschakelen van waarschuwingen voor aangepaste metrische dimensies wordt nog steeds gerapporteerd via Application Insights. Er worden geen gegevensvolumekosten in rekening gebracht voor het gebruik van de Live Metrics Stream.

Zie de prijscategorie Voor oudere ondernemingen (per knooppunt) van Application Insights voor meer informatie over verouderde lagen die beschikbaar zijn voor early adopters van Application Insights.

Werkruimten met Microsoft Sentinel

Wanneer Microsoft Sentinel is ingeschakeld in een Log Analytics-werkruimte, zijn alle gegevens die in die werkruimte worden verzameld, onderhevig aan Sentinel-kosten naast Log Analytics-kosten. Daarom scheidt u uw beveiligings- en operationele gegevens vaak in verschillende werkruimten, zodat er geen Sentinel-kosten in rekening worden gebracht voor operationele gegevens. Voor bepaalde situaties kan het combineren van deze gegevens echter leiden tot kostenbesparingen. Dit is meestal wanneer u niet voldoende beveiligings- en operationele gegevens verzamelt om elk afzonderlijk een toezeggingslaag te bereiken, maar de gecombineerde gegevens zijn voldoende om een toezeggingslaag te bereiken. Zie Uw SOC- en niet-SOC-gegevens combineren in Uw Microsoft Sentinel-werkruimtearchitectuur ontwerpen voor meer informatie en een voorbeeldkostenberekening.

Werkruimten met Microsoft Defender voor Cloud

Microsoft Defender voor Servers (onderdeel van Defender voor Cloud)factureert het aantal bewaakte services en biedt 500 MB/server/dag gegevenstoewijzing die wordt toegepast op de volgende subset van beveiligingsgegevenstypen:

Het aantal bewaakte servers wordt berekend op een granulariteit per uur. De dagelijkse bijdragen aan gegevenstoewijzing van elke bewaakte server worden geaggregeerd op het niveau van de werkruimte. Als de werkruimte zich in de verouderde prijscategorie Per Node bevindt, worden de toewijzingen van Microsoft Defender for Cloud en Log Analytics gecombineerd en gezamenlijk toegepast op alle factureerbare opgenomen gegevens.

Verouderde prijscategorieën

Abonnementen met een Log Analytics-werkruimte of Application Insights-resource op 2 april 2018, of die zijn gekoppeld aan een Enterprise Agreement die vóór 1 februari 2019 zijn gestart en nog steeds actief is, blijven toegang hebben tot het gebruik van de volgende verouderde prijscategorieën:

  • Zelfstandig (per GB)
  • Per knooppunt (OMS)

Vanaf 1 juli 2022 wordt de toegang tot de verouderde prijscategorie gratis proefversie verder beperkt (zie hieronder).)

Prijscategorie gratis proefversie

Werkruimten in de prijscategorie Gratis proefversie hebben dagelijkse gegevensopname beperkt tot 500 MB (met uitzondering van beveiligingsgegevenstypen die worden verzameld door Microsoft Defender for Cloud) en de gegevensretentie is beperkt tot zeven dagen. De prijscategorie Gratis proefversie is alleen bedoeld voor evaluatiedoeleinden. Er is geen SLA beschikbaar voor de gratis laag.

Notitie

Het maken van nieuwe werkruimten in of het verplaatsen van bestaande werkruimten naar de verouderde prijscategorie gratis proefversie is alleen mogelijk tot 1 juli 2022.

Zelfstandige prijscategorie

Het gebruik van de zelfstandige prijscategorie wordt gefactureerd door het opgenomen gegevensvolume. Deze wordt gerapporteerd in de Log Analytics-service en de meter heet 'Gegevens geanalyseerd'. Werkruimten in de zelfstandige prijscategorie hebben een door de gebruiker configureerbare retentie van 30 tot 730 dagen. Werkruimten in de zelfstandige prijscategorie bieden geen ondersteuning voor het gebruik van Basic Logs.

Prijscategorie per knooppunt

De prijscategorie Per knooppunt brengt kosten per bewaakte VM (knooppunt) in rekening op een granulariteit per uur. Voor elk bewaakt knooppunt krijgt de werkruimte 500 MB aan gegevens per dag toegewezen die niet worden gefactureerd. Deze toewijzing wordt berekend met granulariteit per uur en wordt elke dag geaggregeerd op het niveau van de werkruimte. Gegevens die boven de geaggregeerde dagelijkse gegevenstoewijzing zijn opgenomen, worden per GB gefactureerd als gegevensoverschrijding. Op uw factuur is de service Insight en Analytics voor Log Analytics-gebruik als de werkruimte zich in de prijscategorie Per Node bevindt. Werkruimten in de prijscategorie Per Node hebben een door de gebruiker configureerbare retentie van 30 tot 730 dagen. Werkruimten in de prijscategorie Per Node bieden geen ondersteuning voor het gebruik van Basislogboeken. Het gebruik wordt gerapporteerd op drie meter:

  • Knooppunt: dit is gebruik voor het aantal bewaakte knooppunten (VM's) in eenheden van knooppuntmaanden.
  • Gegevensoverschrijding per knooppunt: dit is het aantal GB aan gegevens dat is opgenomen boven de geaggregeerde gegevenstoewijzing.
  • Opgenomen gegevens per knooppunt: dit is de hoeveelheid opgenomen gegevens die worden gedekt door de geaggregeerde gegevenstoewijzing. Deze meter wordt ook gebruikt wanneer de werkruimte zich in alle prijscategorieën bevindt om de hoeveelheid gegevens weer te geven die worden gedekt door Microsoft Defender voor Cloud.

Tip

Als uw werkruimte toegang heeft tot de prijscategorie Per knooppunt , maar u zich afvraagt of deze minder zou kosten in een prijscategorie betalen per gebruik, kunt u de onderstaande query gebruiken voor een aanbeveling.

Prijscategorieën Standard en Premium

Werkruimten die vóór april 2016 zijn gemaakt, kunnen de prijscategorieën Standard en Premium blijven gebruiken met een vaste gegevensretentie van respectievelijk 30 dagen en 365 dagen. Nieuwe werkruimten kunnen niet worden gemaakt in de prijscategorieën Standard of Premium en als een werkruimte uit deze lagen wordt verplaatst, kan deze niet worden teruggezet. Werkruimten in deze prijscategorieën bieden geen ondersteuning voor het gebruik van Basislogboeken. Gegevensopnamemeters op uw Azure-factuur voor deze verouderde lagen worden 'Gegevens geanalyseerd' genoemd.

Microsoft Defender voor Cloud met verouderde prijscategorieën

Hieronder vindt u overwegingen tussen verouderde Log Analytics-lagen en hoe het gebruik wordt gefactureerd voor Microsoft Defender for Cloud.

  • Als de werkruimte zich in de verouderde Standard- of Premium-laag bevindt, wordt Microsoft Defender for Cloud alleen gefactureerd voor Log Analytics-gegevensopname, niet per knooppunt.
  • Als de werkruimte zich in de verouderde per node-laag bevindt, wordt Microsoft Defender for Cloud gefactureerd met behulp van het huidige prijsmodel op basis van knooppunten van Microsoft Defender for Cloud.
  • Als Microsoft Defender for Cloud vóór 19 juni 2017 was ingeschakeld in andere prijscategorieën (inclusief toezeggingslagen), wordt Microsoft Defender for Cloud alleen gefactureerd voor opname van Log Analytics-gegevens. Anders wordt Microsoft Defender voor Cloud gefactureerd met behulp van het huidige prijsmodel op basis van knooppunten van Microsoft Defender voor Cloud.

Meer informatie over de prijscategoriebeperkingen zijn beschikbaar bij Azure-abonnements- en servicelimieten, quota en beperkingen.

Geen van de verouderde prijscategorieën heeft regionale prijzen.

Notitie

Als u de rechten wilt gebruiken die afkomstig zijn van het kopen van OMS E1 Suite, OMS E2 Suite of OMS Add-On voor System Center, kiest u de prijscategorie Log Analytics per knooppunt .

De verouderde prijscategorie per knooppunt evalueren

Het is vaak moeilijk om te bepalen of werkruimten met toegang tot de verouderde prijscategorie per knooppunt beter zijn in die laag of in een huidige prijscategorie betalen per gebruik of toezeggingslaag. Dit omvat inzicht in de afweging tussen de vaste kosten per bewaakt knooppunt in de prijscategorie Per knooppunt en de bijbehorende gegevenstoewijzing van 500 MB/knooppunt/dag en de kosten van alleen betalen voor opgenomen gegevens in de prijscategorie Betalen per gebruik (per GB).

De volgende query kan worden gebruikt om een aanbeveling te doen voor de optimale prijscategorie op basis van de gebruikspatronen van een werkruimte. Met deze query wordt gekeken naar de bewaakte knooppunten en gegevens die in de afgelopen zeven dagen zijn opgenomen in een werkruimte. Voor elke dag wordt geëvalueerd welke prijscategorie optimaal zou zijn geweest. Als u de query wilt gebruiken, moet u het volgende opgeven:

  • Of de werkruimte Gebruikmaakt van Microsoft Defender voor Cloud door workspaceHasSecurityCenter in te stellen op waar of onwaar.
  • Werk de prijzen bij als u specifieke kortingen hebt.
  • Geef het aantal dagen op dat u wilt terugkijken en analyseren door daysToEvaluate in te stellen. Dit is handig als de query te lang duurt om zeven dagen aan gegevens te bekijken.
// Set these parameters before running query
// For Pay-As-You-Go (per-GB) and commitment tier pricing details, see https://azure.microsoft.com/pricing/details/monitor/.
// You can see your per-node costs in your Azure usage and charge data. For more information, see https://docs.microsoft.com/en-us/azure/cost-management-billing/understand/download-azure-daily-usage.  
let PerNodePrice = 15.; // Monthly price per monitored node
let PerNodeOveragePrice = 2.30; // Price per GB for data overage in the Per Node pricing tier
let PerGBPrice = 2.30; // Enter the Pay-as-you-go price for your workspace's region (from https://azure.microsoft.com/pricing/details/monitor/)
let CommitmentTier100Price = 196.; // Enter your price for the 100 GB/day commitment tier
let CommitmentTier200Price = 368.; // Enter your price for the 200 GB/day commitment tier
let CommitmentTier300Price = 540.; // Enter your price for the 300 GB/day commitment tier
let CommitmentTier400Price = 704.; // Enter your price for the 400 GB/day commitment tier
let CommitmentTier500Price = 865.; // Enter your price for the 500 GB/day commitment tier
let CommitmentTier1000Price = 1700.; // Enter your price for the 1000 GB/day commitment tier
let CommitmentTier2000Price = 3320.; // Enter your price for the 2000 GB/day commitment tier
let CommitmentTier5000Price = 8050.; // Enter your price for the 5000 GB/day commitment tier
// ---------------------------------------
let SecurityDataTypes=dynamic(["SecurityAlert", "SecurityBaseline", "SecurityBaselineSummary", "SecurityDetection", "SecurityEvent", "WindowsFirewall", "MaliciousIPCommunication", "LinuxAuditLog", "SysmonEvent", "ProtectionStatus", "WindowsEvent", "Update", "UpdateSummary"]);
let StartDate = startofday(datetime_add("Day",-1*daysToEvaluate,now()));
let EndDate = startofday(now());
union * 
| where TimeGenerated >= StartDate and TimeGenerated < EndDate
| extend computerName = tolower(tostring(split(Computer, '.')[0]))
| where computerName != ""
| summarize nodesPerHour = dcount(computerName) by bin(TimeGenerated, 1h)  
| summarize nodesPerDay = sum(nodesPerHour)/24.  by day=bin(TimeGenerated, 1d)  
| join kind=leftouter (
    Heartbeat 
    | where TimeGenerated >= StartDate and TimeGenerated < EndDate
    | where Computer != ""
    | summarize ASCnodesPerHour = dcount(Computer) by bin(TimeGenerated, 1h) 
    | extend ASCnodesPerHour = iff(workspaceHasSecurityCenter, ASCnodesPerHour, 0)
    | summarize ASCnodesPerDay = sum(ASCnodesPerHour)/24.  by day=bin(TimeGenerated, 1d)   
) on day
| join (
    Usage 
    | where TimeGenerated >= StartDate and TimeGenerated < EndDate
    | where IsBillable == true
    | extend NonSecurityData = iff(DataType !in (SecurityDataTypes), Quantity, 0.)
    | extend SecurityData = iff(DataType in (SecurityDataTypes), Quantity, 0.)
    | summarize DataGB=sum(Quantity)/1000., NonSecurityDataGB=sum(NonSecurityData)/1000., SecurityDataGB=sum(SecurityData)/1000. by day=bin(StartTime, 1d)  
) on day
| extend AvgGbPerNode =  NonSecurityDataGB / nodesPerDay
| extend OverageGB = iff(workspaceHasSecurityCenter, 
             max_of(DataGB - 0.5*nodesPerDay - 0.5*ASCnodesPerDay, 0.), 
             max_of(DataGB - 0.5*nodesPerDay, 0.))
| extend PerNodeDailyCost = nodesPerDay * PerNodePrice / 31. + OverageGB * PerNodeOveragePrice
| extend billableGB = iff(workspaceHasSecurityCenter,
             (NonSecurityDataGB + max_of(SecurityDataGB - 0.5*ASCnodesPerDay, 0.)), DataGB )
| extend PerGBDailyCost = billableGB * PerGBPrice
| extend CommitmentTier100DailyCost = CommitmentTier100Price + max_of(billableGB - 100, 0.)* CommitmentTier100Price/100.
| extend CommitmentTier200DailyCost = CommitmentTier200Price + max_of(billableGB - 200, 0.)* CommitmentTier200Price/200.
| extend CommitmentTier300DailyCost = CommitmentTier300Price + max_of(billableGB - 300, 0.)* CommitmentTier300Price/300.
| extend CommitmentTier400DailyCost = CommitmentTier400Price + max_of(billableGB - 400, 0.)* CommitmentTier400Price/400.
| extend CommitmentTier500DailyCost = CommitmentTier500Price + max_of(billableGB - 500, 0.)* CommitmentTier500Price/500.
| extend CommitmentTier1000DailyCost = CommitmentTier1000Price + max_of(billableGB - 1000, 0.)* CommitmentTier1000Price/1000.
| extend CommitmentTier2000DailyCost = CommitmentTier2000Price + max_of(billableGB - 2000, 0.)* CommitmentTier2000Price/2000.
| extend CommitmentTier5000DailyCost = CommitmentTier5000Price + max_of(billableGB - 5000, 0.)* CommitmentTier5000Price/5000.
| extend MinCost = min_of(
    PerNodeDailyCost,PerGBDailyCost,CommitmentTier100DailyCost,CommitmentTier200DailyCost,
    CommitmentTier300DailyCost, CommitmentTier400DailyCost, CommitmentTier500DailyCost, CommitmentTier1000DailyCost, CommitmentTier2000DailyCost, CommitmentTier5000DailyCost)
| extend Recommendation = case(
    MinCost == PerNodeDailyCost, "Per node tier",
    MinCost == PerGBDailyCost, "Pay-as-you-go tier",
    MinCost == CommitmentTier100DailyCost, "Commitment tier (100 GB/day)",
    MinCost == CommitmentTier200DailyCost, "Commitment tier (200 GB/day)",
    MinCost == CommitmentTier300DailyCost, "Commitment tier (300 GB/day)",
    MinCost == CommitmentTier400DailyCost, "Commitment tier (400 GB/day)",
    MinCost == CommitmentTier500DailyCost, "Commitment tier (500 GB/day)",
    MinCost == CommitmentTier1000DailyCost, "Commitment tier (1000 GB/day)",
    MinCost == CommitmentTier2000DailyCost, "Commitment tier (2000 GB/day)",
    MinCost == CommitmentTier5000DailyCost, "Commitment tier (5000 GB/day)",
    "Error"
)
| project day, nodesPerDay, ASCnodesPerDay, NonSecurityDataGB, SecurityDataGB, OverageGB, AvgGbPerNode, PerGBDailyCost, PerNodeDailyCost, 
    CommitmentTier100DailyCost, CommitmentTier200DailyCost, CommitmentTier300DailyCost, CommitmentTier400DailyCost, CommitmentTier500DailyCost, CommitmentTier1000DailyCost, CommitmentTier2000DailyCost, CommitmentTier5000DailyCost, Recommendation 
| sort by day asc
//| project day, Recommendation // Comment this line to see details
| sort by day asc

Deze query is geen exacte replicatie van hoe het gebruik wordt berekend, maar biedt in de meeste gevallen aanbevelingen voor prijscategorieën.

Notitie

Als u de rechten wilt gebruiken die afkomstig zijn van het kopen van OMS E1 Suite, OMS E2 Suite of OMS Add-On voor System Center, kiest u de prijscategorie Log Analytics per knooppunt .

Volgende stappen