Dagelijkse limiet instellen voor Log Analytics-werkruimte
Met een dagelijkse limiet voor een Log Analytics-werkruimte kunt u onverwachte verhogingen van de kosten voor gegevensopname voorkomen door het verzamelen van factureerbare gegevens voor de rest van de dag te stoppen wanneer een opgegeven drempelwaarde wordt bereikt. In dit artikel wordt beschreven hoe de dagelijkse limiet werkt en hoe u er een configureert in uw werkruimte.
Belangrijk
U moet voorzichtig zijn bij het instellen van een dagelijkse limiet, omdat wanneer het verzamelen van gegevens stopt, uw mogelijkheid om waarschuwingen te observeren en te ontvangen wanneer de statusvoorwaarden van uw resources worden beïnvloed. Het kan ook van invloed zijn op andere Azure-services en -oplossingen waarvan de functionaliteit afhankelijk kan zijn van actuele gegevens die beschikbaar zijn in de werkruimte. Uw doel moet niet zijn om regelmatig de dagelijkse limiet te bereiken, maar gebruik deze liever als een onregelmatige methode om ongeplande kosten te voorkomen als gevolg van een onverwachte toename van het aantal verzamelde gegevens.
Zie Kostenoptimalisatie en Azure Monitor voor strategieën om uw Azure Monitor-kosten te verlagen.
Vereiste machtigingen
| Actie | Benodigde machtigingen of rol |
|---|---|
| De dagelijkse limiet instellen voor een Log Analytics-werkruimte | Microsoft.OperationalInsights/workspaces/write machtigingen voor de Log Analytics-werkruimten waarop u de dagelijkse limiet instelt, zoals opgegeven door de ingebouwde rol Log Analytics-inzender. |
| De dagelijkse limiet instellen voor een klassieke Application Insights-resource | microsoft.insights/components/CurrentBillingFeatures/write machtigingen voor de klassieke Application Insights-resources waarop u de dagelijkse limiet instelt, zoals geleverd door de ingebouwde rol Inzender voor Application Insights-onderdelen. |
| Een waarschuwing maken wanneer de dagelijkse limiet voor een Log Analytics-werkruimte is bereikt | microsoft.insights/scheduledqueryrules/write machtigingen, zoals geleverd door de ingebouwde rol Inzender voor bewaking, bijvoorbeeld |
| Een waarschuwing maken wanneer de dagelijkse limiet voor een klassieke Application Insights-resource is bereikt | microsoft.insights/activitylogalerts/write machtigingen, zoals geleverd door de ingebouwde rol Inzender voor bewaking, bijvoorbeeld |
| Het effect van de daglimiet weergeven | Microsoft.OperationalInsights/workspaces/query/*/read machtigingen voor de Log Analytics-werkruimten die u opvraagt, zoals opgegeven door de ingebouwde rol van Log Analytics Reader. |
Hoe de dagelijkse limiet werkt
Elke werkruimte heeft een dagelijkse limiet die een eigen limiet voor het gegevensvolume definieert. Wanneer de dagelijkse limiet is bereikt, wordt boven aan de pagina een waarschuwingsbanner weergegeven voor de geselecteerde Log Analytics-werkruimte in Azure Portal en wordt er een bewerkingsevenement verzonden naar de bewerkingstabel onder de categorie LogManagement . U kunt eventueel een waarschuwingsregel maken om een waarschuwing te verzenden wanneer deze gebeurtenis wordt gemaakt.
Het verzamelen van gegevens wordt hervat op het tijdstip waarop de gegevens opnieuw worden ingesteld. Dit is een ander uur van de dag voor elke werkruimte. Dit resetuur kan niet worden geconfigureerd. U kunt eventueel een waarschuwingsregel maken om een waarschuwing te verzenden wanneer deze gebeurtenis wordt gemaakt.
Notitie
De dagelijkse limiet kan het verzamelen van gegevens niet precies op het opgegeven cap-niveau stoppen en er worden overtollige gegevens verwacht, met name als de werkruimte grote hoeveelheden gegevens ontvangt. Als er gegevens boven de limiet worden verzameld, worden deze nog steeds gefactureerd. Zie Het effect van de daglimiet weergeven voor een query die nuttig is bij het bestuderen van het gedrag van de dagelijkse limiet.
Wanneer moet u een dagelijkse limiet gebruiken
Dagelijkse caps worden doorgaans gebruikt door organisaties die bijzonder kostenbewust zijn. Ze mogen niet worden gebruikt als methode om de kosten te verlagen, maar als een preventieve maatregel om ervoor te zorgen dat u een bepaald budget niet overschrijdt.
Wanneer het verzamelen van gegevens stopt, hebt u effectief geen bewaking van functies en resources die afhankelijk zijn van die werkruimte. In plaats van alleen de dagelijkse limiet te gebruiken, kunt u een waarschuwingsregel maken om u te waarschuwen wanneer gegevensverzameling een bepaald niveau bereikt vóór de daglimiet. Met een melding kunt u eventuele toenames aanpakken voordat gegevensverzameling wordt afgesloten of zelfs om het verzamelen tijdelijk uit te schakelen voor minder kritieke resources.
Analyses van toepassingen
U moet de dagelijkse limietinstelling configureren voor zowel Application Insights als Log Analytics om de hoeveelheid telemetriegegevens te beperken die door uw service worden opgenomen. Voor Application Insights-resources op basis van werkruimten is de effectieve dagelijkse limiet het minimum van de twee instellingen. Voor klassieke Application Insights-resources is alleen de dagelijkse limiet van Application Insights van toepassing omdat hun gegevens zich niet in een Log Analytics-werkruimte bevinden.
Tip
Als u zich zorgen maakt over de hoeveelheid factureerbare gegevens die door Application Insights worden verzameld, moet u steekproeven configureren om het gegevensvolume af te stemmen op het gewenste niveau. Gebruik de daglimiet als veiligheidsmethode voor het geval uw toepassing onverwacht veel hogere volumes telemetrie verzendt.
De maximale limiet voor een klassieke Application Insights-resource is 1000 GB/dag, tenzij u een hoger maximum aanvraagt voor een toepassing met veel verkeer. Wanneer u een resource maakt in Azure Portal, wordt de dagelijkse limiet ingesteld op 100 GB/dag. Wanneer u een resource maakt in Visual Studio, is de standaardwaarde klein (slechts 32 MB/dag). De standaardlimiet voor dagelijkse limieten is ingesteld om het testen te vergemakkelijken. Het is de bedoeling dat de gebruiker de dagelijkse limiet verhoogt voordat de app in productie wordt geïmplementeerd.
Notitie
Als u verbindingsreeks gebruikt om gegevens naar Application Insights te verzenden met behulp van regionale opname-eindpunten, zijn de dagelijkse limietinstellingen van Application Insights en Log Analytics effectief per regio. Als u alleen instrumentatiesleutel (ikey) gebruikt om gegevens naar Application Insights te verzenden met behulp van het globale opname-eindpunt, is de instelling voor dagelijkse limieten van Application Insights mogelijk niet effectief in verschillende regio's, maar is de instelling voor de dagelijkse limiet van Log Analytics nog steeds van toepassing.
We hebben de beperking voor sommige abonnementstypen verwijderd met tegoed dat niet kan worden gebruikt voor Application Insights. Als het abonnement eerder een bestedingslimiet heeft, bevat het dialoogvenster daglimiet instructies voor het verwijderen van de bestedingslimiet en het inschakelen van de dagelijkse limiet boven 32,3 MB/dag.
Uw dagelijkse limiet bepalen
Zie Azure Monitor-kosten en -gebruik om inzicht te krijgen in uw gegevensopnametrends om u te helpen bij het bepalen van een geschikte dagelijkse limiet voor uw werkruimte. U kunt het gebruik analyseren ook bekijken in de Log Analytics-werkruimte , die methoden biedt voor het analyseren van uw werkruimtegebruik in meer detail.
Werkruimten met Microsoft Defender voor Cloud
Belangrijk
Vanaf 18 september 2023 heeft Azure Monitor alle factureerbare gegevenstypen in pett
wanneer aan de daglimiet wordt voldaan. Er is geen speciaal gedrag voor gegevenstypen wanneer Microsoft Defender voor Servers is ingeschakeld in uw werkruimte.
Deze wijziging verbetert het vermogen om volledig kosten te bevatten van gegevensopname die hoger is dan verwacht.
Als u een dagelijkse limiet hebt ingesteld voor een werkruimte waarvoor Microsoft Defender voor Servers is ingeschakeld, moet u ervoor zorgen dat de limiet hoog genoeg is om aan deze wijziging tegemoet te komen.
Zorg er ook voor dat u een waarschuwing instelt (zie hieronder), zodat u een melding ontvangt zodra aan uw dagelijkse limiet is voldaan.
Tot 18 september 2023, als een werkruimte de Microsoft Defenders for Servers-oplossing na 19 juni 2017 heeft ingeschakeld, worden sommige beveiligingsgegevenstypen verzameld voor Microsoft Defender voor Cloud of Microsoft Sentinel, ondanks de dagelijkse limiet die is geconfigureerd. De volgende gegevenstypen zijn onderhevig aan deze speciale uitzondering van de dagelijkse cap WindowsEvent, SecurityAlert, SecurityBaseline, SecurityBaselineSummary, SecurityDetection, SecurityEvent, WindowsFirewall, MaliciousIPCommunication, LinuxAuditLog, SysmonEvent, ProtectionStatus, UpdateSummary, CommonSecurityLog en Syslog
De daglimiet instellen
Log Analytics-werkruimte
De dagelijkse limiet voor een Log Analytics-werkruimte instellen of wijzigen in de Azure-portal:
- Selecteer uw werkruimte in het menu Log Analytics-werkruimten en vervolgens Gebruik en geschatte kosten.
- Selecteer Daglimiet boven aan de pagina.
- Selecteer AAN en stel vervolgens de limiet voor het gegevensvolume in GB/dag in.
Notitie
Het beginuur voor de werkruimte wordt weergegeven, maar kan niet worden geconfigureerd.
Als u de dagelijkse limiet wilt configureren met Azure Resource Manager, stelt u de dailyQuotaGb parameter in WorkspaceCapping zoals beschreven in Werkruimten - Maken of bijwerken.
Klassieke Application Insights-resource
De dagelijkse limiet voor een klassieke Application Insights-resource instellen of wijzigen in Azure Portal:
- Selecteer in het menu Bewaken toepassingen, uw toepassing en vervolgens Gebruik en geschatte kosten.
- Selecteer Gegevenslimiet boven aan de pagina.
- Stel de limiet voor het gegevensvolume in GB/dag in.
- Als u een e-mailbericht wilt verzenden naar de abonnementsbeheerder wanneer de dagelijkse limiet is bereikt, selecteert u die optie.
- Stel het waarschuwingsniveau voor de dagelijkse limiet in in percentage van de limiet voor het gegevensvolume.
- Als u een e-mailbericht wilt verzenden naar de abonnementsbeheerder wanneer het waarschuwingsniveau voor dagelijkse limieten is bereikt, selecteert u die optie.
Als u de dagelijkse limiet wilt configureren met Azure Resource Manager, stelt u de dailyQuotaen warningThresholddailyQuotaResetTime parameters in zoals beschreven in Werkruimten - Maken of bijwerken.
Waarschuwing wanneer de dagelijkse limiet is bereikt
Wanneer de dagelijkse limiet voor een Log Analytics-werkruimte is bereikt, wordt er een banner weergegeven in Azure Portal en wordt er een gebeurtenis naar de operations-tabel in de werkruimte geschreven. U moet een waarschuwingsregel maken om u proactief op de hoogte te stellen wanneer dit gebeurt.
Als u een waarschuwing wilt ontvangen wanneer de dagelijkse limiet is bereikt, maakt u een waarschuwingsregel voor zoeken in logboeken met de volgende details.
| Instelling | Weergegeven als |
|---|---|
| Scope | |
| Doelbereik | Selecteer uw Log Analytics-werkruimte. |
| Condition | |
| Signaaltype | Logboek |
| Signaalnaam | Zoeken in aangepaste logboeken |
| Query | _LogOperation | where Category =~ "Ingestion" | where Detail contains "OverQuota" |
| Meting | Meting: Tabelrijen Aggregatietype: Aantal Aggregatiegranulariteit: 5 minuten |
| Waarschuwingslogica | Operator: groter dan Drempelwaarde: 0 Frequentie van evaluatie: 5 minuten |
| Acties | Selecteer of voeg een actiegroep toe om u op de hoogte te stellen wanneer de drempelwaarde wordt overschreden. |
| DETAILS | |
| Ernst | Waarschuwing |
| Naam van waarschuwingsregel | Dagelijkse gegevenslimiet bereikt |
Klassieke Application Insights-resource
Wanneer de dagelijkse limiet voor een klassieke Application Insights-resource wordt bereikt, wordt er een gebeurtenis gemaakt in het Azure-activiteitenlogboek met de volgende signaalnamen. U kunt desgewenst ook een e-mailbericht naar de abonnementsbeheerder sturen wanneer de limiet is bereikt en wanneer een opgegeven percentage van de dagelijkse limiet is bereikt.
- Waarschuwingsdrempel voor dagelijkse limiet voor Application Insights-onderdelen bereikt
- Dagelijkse limiet voor Application Insights-onderdelen bereikt
Als u een waarschuwing wilt maken wanneer de daglimiet is bereikt, maakt u een waarschuwingsregel voor activiteitenlogboeken met de volgende details.
| Instelling | Weergegeven als |
|---|---|
| Scope | |
| Doelbereik | Selecteer uw toepassing. |
| Condition | |
| Signaaltype | Activiteitenlogboek |
| Signaalnaam | Dagelijkse limiet voor Application Insights-onderdelen bereikt Or Waarschuwingsdrempel voor dagelijkse limiet voor Application Insights-onderdelen bereikt |
| Ernst | Waarschuwing |
| Naam van waarschuwingsregel | Dagelijkse gegevenslimiet bereikt |
Het effect van de daglimiet weergeven
De volgende query kan worden gebruikt om de gegevensvolumes bij te houden die onderhevig zijn aan de dagelijkse limiet voor een Log Analytics-werkruimte tussen het opnieuw instellen van dagelijkse limieten. In dit voorbeeld is het reset-uur van de werkruimte 14:00 uur. Wijzig DailyCapResetHour dit zodat deze overeenkomt met het uur voor opnieuw instellen van uw werkruimte die u kunt zien op de pagina Dagelijkse limietconfiguratie.
let DailyCapResetHour=14;
Usage
| where TimeGenerated > ago(32d)
| extend StartTime=datetime_add("hour",-1*DailyCapResetHour,StartTime)
| where StartTime > startofday(ago(31d))
| where IsBillable
| summarize IngestedGbBetweenDailyCapResets=sum(Quantity)/1000. by day=bin(StartTime , 1d) // Quantity in units of MB
| render areachart
Voeg Update gegevenstypen toe aan UpdateSummary de where Datatype regel wanneer de oplossing Updatebeheer niet wordt uitgevoerd in de werkruimte of het doel van de oplossing is ingeschakeld (meer informatie.)
Volgende stappen
- Zie prijzen voor Azure Monitor-logboeken voor meer informatie over hoe kosten worden berekend voor gegevens in een Log Analytics-werkruimte en verschillende configuratieopties om uw kosten te verlagen.
- Zie prijzen voor Azure Monitor-logboeken voor meer informatie over hoe kosten worden berekend voor gegevens in een Log Analytics-werkruimte en verschillende configuratieopties om uw kosten te verlagen.
- Zie Gebruik analyseren in Log Analytics-werkruimte voor meer informatie over het analyseren van de gegevens in uw werkruimte om te bepalen of de bron is van een hoger dan verwacht gebruik en mogelijkheden om de hoeveelheid verzamelde gegevens te verminderen.