Zarządzanie użyciem i kosztami za pomocą dzienników usługi Azure MonitorManage usage and costs with Azure Monitor Logs

Uwaga

W tym artykule opisano sposób zrozumienia i kontrolowania kosztów Azure Monitor dzienników.This article describes how to understand and control your costs for Azure Monitor Logs. W powiązanym artykule, monitorowaniu użycia i szacowanych kosztów opisano sposób wyświetlania użycia i szacowane koszty w wielu funkcjach monitorowania platformy Azure dla różnych modeli cen.A related article, Monitoring usage and estimated costs describes how to view usage and estimated costs across multiple Azure monitoring features for different pricing models. Wszystkie ceny i koszty pokazane w tym artykule są wyłącznie na przykład.All prices and costs shown in this article are for example purposes only.

Dzienniki Azure Monitor są przeznaczone do skalowania i obsługi zbierania, indeksowania i przechowywania dużych ilości danych dziennie z dowolnego źródła w przedsiębiorstwie lub wdrożonego na platformie Azure.Azure Monitor Logs is designed to scale and support collecting, indexing, and storing massive amounts of data per day from any source in your enterprise or deployed in Azure. Chociaż może to być podstawowy sterownik dla Twojej organizacji, kosztem wydajności jest ostatecznie podstawowy sterownik.While this may be a primary driver for your organization, cost-efficiency is ultimately the underlying driver. W tym celu należy zrozumieć, że koszt obszaru roboczego Log Analytics nie jest oparty tylko na ilości zbieranych danych, zależy również od wybranego planu i od czasu wybrania do przechowywania danych generowanych przez połączone źródła.To that end, it's important to understand that the cost of a Log Analytics workspace isn't based only on the volume of data collected, it is also dependent on the plan selected, and how long you chose to store data generated from your connected sources.

W tym artykule opisano, jak można aktywnie monitorować pozyskiwane ilości danych i przyrosty magazynu oraz definiować ograniczenia kontroli nad tymi kosztami.In this article we review how you can proactively monitor ingested data volume and storage growth, and define limits to control those associated costs.

Model cenPricing model

Domyślna cena dla Log Analytics jest modelem płatności zgodnie z rzeczywistym użyciem na podstawie ilości danych pozyskiwanych i opcjonalnie do dłuższego przechowywania danych.The default pricing for Log Analytics is a Pay-As-You-Go model based on data volume ingested and optionally for longer data retention. Ilość danych jest mierzona jako rozmiar danych, które będą przechowywane w GB (10 ^ 9 bajtów).Data volume is measured as the size of the data that will be stored in GB (10^9 bytes). Każdy obszar roboczy Log Analytics jest rozliczany jako osobna usługa i przyczynia się do rozliczenia za subskrypcję platformy Azure.Each Log Analytics workspace is charged as a separate service and contributes to the bill for your Azure subscription. Ilość pozyskiwania danych może być znaczna w zależności od następujących czynników:The amount of data ingestion can be considerable depending on the following factors:

  • Liczba włączonych rozwiązań zarządzania i ich konfiguracjaNumber of management solutions enabled and their configuration
  • Liczba monitorowanych maszyn wirtualnychNumber of VMs monitored
  • Typ danych zbieranych z każdej monitorowanej maszyny wirtualnejType of data collected from each monitored VM

Oprócz modelu "płatność zgodnie z rzeczywistym użyciem" Log Analytics ma warstwy rezerwacji pojemności , które umożliwiają oszczędności o 25% w porównaniu z ceną płatność zgodnie z rzeczywistym użyciem.In addition to the Pay-As-You-Go model, Log Analytics has Capacity Reservation tiers which enable you to save as much as 25% compared to the Pay-As-You-Go price. Cennik rezerwacji zdolności produkcyjnych umożliwia zakupienie rezerwacji rozpoczynającej się o 100 GB/dzień.The capacity reservation pricing enables you to buy a reservation starting at 100 GB/day. Każde użycie powyżej poziomu rezerwacji będzie rozliczane według stawki płatności zgodnie z rzeczywistym użyciem.Any usage above the reservation level will be billed at the Pay-As-You-Go rate. Warstwy rezerwacji pojemności mają 31-dniowy okres zobowiązania.The Capacity Reservation tiers have a 31-day commitment period. W okresie obowiązywania zobowiązania można zmienić warstwę rezerwacji wyższego poziomu (co spowoduje ponowne uruchomienie 31-dniowego okresu zobowiązań), ale nie będzie można wrócić do warstwy rezerwacji zgodnie z rzeczywistym użyciem lub do niższej wersji, dopóki upłynie okres obowiązywania zobowiązania.During the commitment period, you can change to a higher level Capacity Reservation tier (which will restart the 31-day commitment period), but you cannot move back to Pay-As-You-Go or to a lower Capacity Reservation tier until after the commitment period is finished. Opłaty za warstwy rezerwacji pojemności są wykonywane codziennie.Billing for the Capacity Reservation tiers is done on a daily basis. Dowiedz się więcej na temat log Analytics płatność zgodnie z rzeczywistym użyciem i Cennik rezerwacji zdolności produkcyjnych.Learn more about Log Analytics Pay-As-You-Go and Capacity Reservation pricing.

We wszystkich warstwach cenowych rozmiar danych zdarzenia jest obliczany na podstawie ciągu reprezentującego właściwości, które są przechowywane w Log Analytics dla tego zdarzenia, niezależnie od tego, czy dane są wysyłane z agenta, czy dodawane podczas procesu pozyskiwania.In all pricing tiers, an event's data size is calculated from a string representation of the properties which are stored in Log Analytics for this event, whether the data is sent from an agent or added during the ingestion process. Obejmuje to wszystkie pola niestandardowe , które są dodawane jako dane są zbierane, a następnie przechowywane w log Analytics.This includes any custom fields that are added as data is collected and then stored in Log Analytics. Niektóre właściwości wspólne dla wszystkich typów danych, w tym niektóre log Analytics właściwości standardowe, są wykluczone w obliczaniu rozmiaru zdarzenia.Several properties common to all data types, including some Log Analytics Standard Properties, are excluded in the calculation of the event size. Obejmuje to _ResourceId , _ItemId , _IsBillable _BilledSize i Type .This includes _ResourceId, _ItemId, _IsBillable, _BilledSize and Type. Wszystkie inne właściwości przechowywane w Log Analytics są uwzględniane podczas obliczania rozmiaru zdarzenia.All other properties stored in Log Analytics are included in the calculation of the event size. Niektóre typy danych są bezpłatne od opłat za pozyskiwanie danych, na przykład na platformie Azure, pulsu i typach użycia.Some data types are free from data ingestion charges altogether, for example the AzureActivity, Heartbeat and Usage types. Aby określić, czy zdarzenie zostało wykluczone z rozliczeń na potrzeby pozyskiwania danych, można użyć _IsBillable właściwości, jak pokazano poniżej.To determine whether an event was excluded from billing for data ingestion, you can use the _IsBillable property as shown below. Użycie jest raportowane w GB (1,0 E9 bajtów).Usage is reported in GB (1.0E9 bytes).

Należy również pamiętać, że niektóre rozwiązania, takie jak Azure Security Center, wskaźnik platformy Azure i Zarządzanie konfiguracją mają własne modele cen.Also, note that some solutions, such as Azure Security Center, Azure Sentinel and Configuration management have their own pricing models.

Log Analytics dedykowanych klastrówLog Analytics Dedicated Clusters

Log Analytics dedykowane klastry to kolekcje obszarów roboczych w jednym zarządzanym klastrze Eksplorator danych platformy Azure, które obsługują zaawansowane scenariusze, takie jak klucze zarządzane przez klienta.Log Analytics Dedicated Clusters are collections of workspaces into a single managed Azure Data Explorer cluster to support advanced scenarios such as Customer-Managed Keys. Log Analytics dedykowane klastry używają modelu cenowego rezerwacji pojemności, który musi być skonfigurowany na co najmniej 1000 GB/dzień.Log Analytics Dedicated Clusters use a Capacity Reservation pricing model which must be configured to at least 1000 GB/day. Ten poziom wydajności ma rabat w wysokości 25% w porównaniu z cennikiem z opcją płatność zgodnie z rzeczywistym użyciem.This capacity level has a 25% discount compared to Pay-As-You-Go pricing. Każde użycie powyżej poziomu rezerwacji będzie rozliczane według stawki płatności zgodnie z rzeczywistym użyciem.Any usage above the reservation level will be billed at the Pay-As-You-Go rate. Rezerwacja pojemności klastra obejmuje 31-dniowy okres zobowiązania po zwiększeniu poziomu rezerwacji.The cluster Capacity Reservation has a 31-day commitment period after the reservation level is increased. W okresie obowiązywania zobowiązania nie można zmniejszyć poziomu rezerwacji pojemności, ale można go zwiększyć w dowolnym momencie.During the commitment period the capacity reservation level cannot be reduced, but it can be increased at any time. Gdy obszary robocze są skojarzone z klastrem, rozliczanie danych dla tych obszarów roboczych odbywa się na poziomie klastra przy użyciu skonfigurowanego poziomu rezerwacji pojemności.When workspaces are associated to a cluster, the data ingestion billing for those workspaces are done at the cluster level using the configured capacity reservation level. Dowiedz się więcej na temat tworzenia klastrów log Analytics i kojarzenia z nią obszarów roboczych.Learn more about creating a Log Analytics Clusters and associating workspaces to it. Informacje o cenach rezerwacji zdolności produkcyjnych są dostępne na stronie cennika Azure monitor.Capacity Reservation pricing information is available at the Azure Monitor pricing page.

Poziom rezerwacji pojemności klastra jest konfigurowany za pomocą programu programistycznego za pomocą Azure Resource Manager przy użyciu Capacity parametru w obszarze Sku .The cluster capacity reservation level is configured via programmatically with Azure Resource Manager using the Capacity parameter under Sku. Wartość Capacity jest określona w jednostkach GB i może mieć wartości 1000 GB/dzień lub więcej w przyrostach wynoszących 100 GB/dzień.The Capacity is specified in units of GB and can have values of 1000 GB/day or more in increments of 100 GB/day. Jest to szczegółowo opisany w Azure monitor kluczu zarządzanym przez klienta.This is detailed at Azure Monitor customer-managed key. Jeśli klaster wymaga rezerwacji powyżej 2000 GB/dzień, skontaktuj się z nami pod adresem LAIngestionRate@microsoft.com .If your cluster needs a reservation above 2000 GB/day contact us at LAIngestionRate@microsoft.com.

Istnieją dwa tryby rozliczania użycia w klastrze.There are two modes of billing for usage on a cluster. Można je określić przy użyciu billingType parametru podczas konfigurowania klastra.These can be specified by the billingType parameter when configuring your cluster. Dwa tryby są:The two modes are:

  1. Klaster: w tym przypadku (co jest ustawieniem domyślnym) rozliczanie danych pozyskiwanych odbywa się na poziomie klastra.Cluster: in this case (which is the default), billing for ingested data is done at the cluster level. Pobrane ilości danych z każdego obszaru roboczego skojarzonego z klastrem są agregowane w celu obliczenia dziennego rachunku dla klastra.The ingested data quantities from each workspace associated to a cluster is aggregated to calculate the daily bill for the cluster. Należy pamiętać, że alokacje na węzeł Azure Security Center są stosowane na poziomie obszaru roboczego przed agregacją zagregowanych danych we wszystkich obszarach roboczych w klastrze.Note that per-node allocations from Azure Security Center are applied at the workspace level prior to this aggregation of aggregated data across all workspaces in the cluster.

  2. Obszary robocze: koszty rezerwacji pojemności dla klastra są przydzielone proporcjonalnie do obszarów roboczych w klastrze (po rozpoczęciu obsługi alokacji dla każdego węzła z Azure Security Center dla każdego obszaru roboczego). Jeśli całkowita ilość danych pozyskanych w obszarze roboczym dla danego dnia jest mniejsza niż rezerwacja pojemności, w każdym obszarze roboczym zostanie naliczona opłata za pobrane dane z zastosowaniem stawki za ilość zarezerwowaną za GB, rozliczenie ich na część rezerwacji pojemności, a niewykorzystana część rezerwacji pojemności jest rozliczana z zasobem klastra.Workspaces: the Capacity Reservation costs for your Cluster are attributed proportionately to the workspaces in the Cluster (after accounting for per-node allocations from Azure Security Center for each workspace.) If the total data volume ingested into a workspace for a day is less than the Capacity Reservation, then each workspace is billed for its ingested data at the effective per-GB Capacity Reservation rate by billing them a fraction of the Capacity Reservation, and the unused part of the Capacity Reservation is billed to the cluster resource. Jeśli całkowita ilość danych pozyskanych w obszarze roboczym dla danego dnia jest większa niż rezerwacja pojemności, w każdym obszarze roboczym jest naliczana część rezerwacji zdolności produkcyjnych na podstawie jej ułamka za dane pobranego dnia i każdego obszaru roboczego dla części pozyskanych danych powyżej rezerwacji pojemności.If the total data volume ingested into a workspace for a day is more than the Capacity Reservation, then each workspace is billed for a fraction of the Capacity Reservation based on it’s fraction of the ingested data that day, and each workspace for a fraction of the ingested data above the Capacity Reservation. Nie są naliczane opłaty za zasób klastra, jeśli całkowita ilość danych pozyskana do obszaru roboczego na dzień przekracza rezerwację pojemności.There is nothing billed to the cluster resource if the total data volume ingested into a workspace for a day is over the Capacity Reservation.

W opcjach rozliczania klastra przechowywanie danych jest rozliczane w poszczególnych obszarach roboczych.In cluster billing options, data retention is billed at per-workspace. Należy pamiętać, że podczas tworzenia klastra rozliczenia są rozliczane, niezależnie od tego, czy obszary robocze zostały skojarzone z klastrem.Note that cluster billing starts when the cluster is created, regardless of whether workspaces have been associated to the cluster. Należy również pamiętać, że obszary robocze skojarzone z klastrem nie mają już warstwy cenowej.Also, note that workspaces associated to a cluster no longer have a pricing tier.

Szacowanie kosztów związanych z zarządzaniem środowiskiemEstimating the costs to manage your environment

Jeśli jeszcze nie korzystasz z dzienników Azure Monitor, możesz użyć kalkulatora cen Azure monitor , aby oszacować koszt używania log Analytics.If you're not yet using Azure Monitor Logs, you can use the Azure Monitor pricing calculator to estimate the cost of using Log Analytics. Zacznij od wprowadzenia "Azure Monitor" w polu wyszukiwania i kliknięcia kafelka Azure Monitor wyników.Start by entering "Azure Monitor" in the Search box, and clicking on the resulting Azure Monitor tile. Przewiń w dół stronę do Azure Monitor i wybierz pozycję Log Analytics z listy rozwijanej Typ.Scroll down the page to Azure Monitor, and select Log Analytics from the Type dropdown. W tym miejscu możesz wprowadzić liczbę maszyn wirtualnych i GB danych, które mają być zbierane z każdej maszyny wirtualnej.Here you can enter the number of VMs and the GB of data you expect to collect from each VM. Zwykle od 1 do 3 GB danych miesiąca jest pobierana z typowej maszyny wirtualnej platformy Azure.Typically 1 to 3 GB of data month is ingested from a typical Azure VM. Jeśli już już oceniasz dzienniki Azure Monitor, możesz użyć statystyk danych z własnego środowiska.If you're already evaluating Azure Monitor Logs already, you can use your data statistics from your own environment. Poniżej znajdują się informacje na temat określania liczby monitorowanych maszyn wirtualnych i ilości danych pobieranych przez obszar roboczy.See below for how to determine the number of monitored VMs and the volume of data your workspace is ingesting.

Zapoznaj się z użyciem i szacunkowymi kosztamiUnderstand your usage and estimate costs

Jeśli używasz dzienników Azure Monitor teraz, możesz łatwo zrozumieć, jakie koszty są prawdopodobnie oparte na ostatnich wzorcach użycia.If you're using Azure Monitor Logs now, it's easy to understand what the costs are likely be based on recent usage patterns. W tym celu należy użyć log Analytics użycia i szacowanych kosztów , aby przejrzeć i analizować użycie danych.To do this, use Log Analytics Usage and Estimated Costs to review and analyze data usage. Pokazuje to ilość danych zbieranych przez każde rozwiązanie, ilość przechowywanych danych i oszacowanie kosztów na podstawie ilości danych pozyskiwanych i dodatkowego okresu przechowywania poza uwzględnioną ilością.This shows how much data is collected by each solution, how much data is being retained and an estimate of your costs based on the amount of data ingested and any additional retention beyond the included amount.

Użycie i szacunkowe koszty

Aby eksplorować dane w bardziej szczegółowy sposób, kliknij ikonę w prawym górnym rogu jednego z wykresów na stronie użycie i szacowane koszty .To explore your data in more detail, click on the icon at the top right of either of the charts on the Usage and Estimated Costs page. Teraz możesz korzystać z tego zapytania, aby poznać więcej szczegółów dotyczących użycia.Now you can work with this query to explore more details of your usage.

Widok dzienników

Na stronie użycie i szacowane koszty możesz sprawdzić ilość danych w danym miesiącu.From the Usage and Estimated Costs page you can review your data volume for the month. Obejmuje to wszystkie dane do rozliczenia otrzymane i zachowane w obszarze roboczym Log Analytics.This includes all the billable data received and retained in your Log Analytics workspace.

Opłaty za Log Analytics są dodawane do rachunku na korzystanie z platformy Azure.Log Analytics charges are added to your Azure bill. Szczegóły rachunku na korzystanie z platformy Azure można znaleźć w sekcji rozliczenia Azure Portal lub Azure Billing Portal.You can see details of your Azure bill under the Billing section of the Azure portal or in the Azure Billing Portal.

Wyświetlanie Log Analytics użycia na rachunku na platformie AzureViewing Log Analytics usage on your Azure bill

Platforma Azure oferuje bardzo przydatne funkcje w Azure Cost Management i centrum rozliczeń .Azure provides a great deal of useful functionality in the Azure Cost Management + Billing hub. Na przykład funkcja "analiza kosztów" umożliwia wyświetlanie wydatków dotyczących zasobów platformy Azure.For instance, the "Cost analysis" functionality enables you to view your spends for Azure resources. Najpierw Dodaj filtr "typ zasobu" (do Microsoft. operationalinsights/Workspace dla Log Analytics i Microsoft. operationalinsights/obszar roboczy dla klastrów Log Analytics) umożliwi śledzenie wydatków Log Analytics.First, add a filter by "Resource type" (to microsoft.operationalinsights/workspace for Log Analytics and microsoft.operationalinsights/workspace for Log Analytics Clusters) will allow you to track your Log Analytics spend. Następnie dla opcji "Grupuj według" Wybierz "kategoria licznika" lub "licznik".Then for "Group by" select "Meter category" or "Meter". Należy zauważyć, że inne usługi, takie jak Azure Security Center i Azure — wskaźnik użytkowania, również rozliczają swoje użycie względem zasobów Log Analytics obszaru roboczego.Note that other services such as Azure Security Center and Azure Sentinel also bill their usage against Log Analytics workspace resources. Aby wyświetlić mapowanie do nazwy usługi, można wybrać widok tabeli zamiast wykresu.To see the mapping to Service name, you can select the Table view instead of a chart.

Aby lepiej zrozumieć użycie, można pobrać informacje o użyciu z witryny Azure Portal.More understanding of your usage can be gained by downloading your usage from the Azure portal. Pobrany arkusz kalkulacyjny zawiera dane o użyciu poszczególnych zasobów platformy Azure (np. obszaru roboczego usługi Log Analytics) na dzień.In the downloaded spreadsheet you can see usage per Azure resource (e.g. Log Analytics workspace) per day. W tym arkuszu kalkulacyjnym programu Excel można znaleźć użycie z obszarów roboczych Log Analytics, wybierając najpierw filtrowanie w kolumnie "kategoria licznika", aby pokazać "Log Analytics", "szczegółowe informacje i analiza" (używane przez niektóre starsze warstwy cenowe) i "Azure Monitor" (używane przez warstwy cenowe rezerwacji zdolności produkcyjnych), a następnie Dodawanie filtru w kolumnie "identyfikator wystąpienia", która ma wartość "zawiera obszar roboczy" lub "zawiera klaster" (ten ostatni, aby uwzględnić użycie klastra Log Analytics).In this Excel spreadsheet, usage from your Log Analytics workspaces can be found by first filtering on the "Meter Category" column to show "Log Analytics", "Insights and Analytics" (used by some of the legacy pricing tiers) and "Azure Monitor" (used by Capacity Reservation pricing tiers), and then adding a filter on the "Instance ID" column which is "contains workspace" or "contains cluster" (the latter to include Log Analytics Cluster usage). Użycie jest wyświetlane w kolumnie "zużyta ilość", a jednostka dla każdego wpisu jest pokazywana w kolumnie "jednostka miary".The usage is shown in the "Consumed Quantity" column and the unit for each entry is shown in the "Unit of Measure" column. Temat dotyczący interpretacji rachunku za platformę Microsoft Azure zawiera więcej szczegółowych informacji.More details are available to help you understand your Microsoft Azure bill.

Zmienianie warstwy cenowejChanging pricing tier

Aby zmienić warstwę cenową Log Analytics w obszarze roboczym,To change the Log Analytics pricing tier of your workspace,

  1. W Azure Portal Otwórz i szacowane koszty w obszarze roboczym, w którym zostanie wyświetlona lista wszystkich warstw cenowych dostępnych dla tego obszaru roboczego.In the Azure portal, open Usage and estimated costs from your workspace where you'll see a list of each of the pricing tiers available to this workspace.

  2. Przejrzyj szacowane koszty dla każdej warstwy cenowej.Review the estimated costs for each of the pricing tiers. To oszacowanie dotyczy ostatnich 31 dni użytkowania, więc oszacowanie kosztów polega na wykorzystaniu ostatnich 31 dni reprezentatywnych dla typowego użycia.This estimate is based on the last 31 days of usage, so this cost estimate relies on the last 31 days being representative of your typical usage. W poniższym przykładzie można zobaczyć, jak, na podstawie wzorców danych z ostatnich 31 dni, ten obszar roboczy będzie tańszy w warstwie płatność zgodnie z rzeczywistym użyciem (#1) w porównaniu z warstwą rezerwacji (#2) 100 GB/dzień.In the example below you can see how, based on the data patterns from the last 31 days, this workspace would cost less in the Pay-As-You-Go tier (#1) compared to the 100 GB/day Capacity Reservation tier (#2).

    Warstwy cenowe

  3. Po przejrzeniu szacowanych kosztów na podstawie ostatnich 31 dni użytkowania, jeśli zdecydujesz się zmienić warstwę cenową, kliknij pozycję Wybierz.After reviewing the estimated costs based on the last 31 days of usage, if you decide to change the pricing tier, click Select.

Możesz również ustawić warstwę cenową za pośrednictwem Azure Resource Manager przy użyciu sku parametru ( pricingTier w szablonie Azure Resource Manager).You can also set the pricing tier via Azure Resource Manager using the sku parameter (pricingTier in the Azure Resource Manager template).

Starsze warstwy cenoweLegacy pricing tiers

Subskrypcje, w których wystąpiły obszary robocze Log Analytics lub Application Insights zasobów, przed 2 kwietnia 2018 lub połączone z Umowa Enterprise, które zostały uruchomione przed 1 lutego 2019, nadal będą miały dostęp do korzystania ze starszych warstw cenowych: bezpłatna, autonomiczna (za GB) i na węzeł (OMS).Subscriptions who had a Log Analytics workspace or Application Insights resource in it before April 2, 2018, or are linked to an Enterprise Agreement that started prior to February 1, 2019, will continue to have access to use the legacy pricing tiers: Free, Standalone (Per GB) and Per Node (OMS). Obszary robocze w warstwie cenowej bezpłatna będą mieć dzienne pozyskiwanie danych ograniczone do 500 MB (z wyjątkiem typów danych zabezpieczeń zbieranych przez Azure Security Center), a przechowywanie danych jest ograniczone do 7 dni.Workspaces in the Free pricing tier will have daily data ingestion limited to 500 MB (except for security data types collected by Azure Security Center) and the data retention is limited to 7 days. Warstwa cenowa bezpłatna jest przeznaczona tylko do celów ewaluacyjnych.The Free pricing tier is intended only for evaluation purposes. Obszary robocze w warstwach autonomicznych lub na węzeł są dostępne przez użytkownika w sposób konfigurowalny od 30 do 730 dni.Workspaces in the Standalone or Per Node pricing tiers have user-configurable retention from 30 to 730 days.

Użycie w ramach autonomicznej warstwy cenowej jest rozliczane przez pozyskiwany wolumin danych.Usage on the Standalone pricing tier is billed by the ingested data volume. Jest on raportowany w usłudze log Analytics i miernik ma nazwę "dane analizowane".It is reported in the Log Analytics service and the meter is named "Data Analyzed".

Opłaty za warstwę cenową na węzeł na monitorowaną maszynę wirtualną (węzeł) mają stopień szczegółowości godzin.The Per Node pricing tier charges per monitored VM (node) on an hour granularity. Dla każdego monitorowanego węzła obszar roboczy ma przydzieloną 500 MB danych dziennie, które nie są rozliczane.For each monitored node, the workspace is allocated 500 MB of data per day that is not billed. Ta alokacja jest obliczana z dokładnością co godzinę i jest agregowana na poziomie obszaru roboczego każdego dnia.This allocation is calculated with hourly granularity and is aggregated at the workspace level each day. Dane pozyskane powyżej zagregowanego dziennego przydziału danych są rozliczane za GB jako nadwyżkowe dane.Data ingested above the aggregate daily data allocation is billed per GB as data overage. Należy pamiętać, że na rachunku usługa zostanie Insight and Analytics do log Analytics użycie, jeśli obszar roboczy znajduje się w warstwie cenowej węzła na węzeł.Note that on your bill, the service will be Insight and Analytics for Log Analytics usage if the workspace is in the Per Node pricing tier. Użycie jest raportowane dla trzech liczników:Usage is reported on three meters:

  1. Węzeł: jest to użycie dla liczby monitorowanych węzłów (maszyn wirtualnych) w jednostkach węzła * miesiące.Node: this is usage for the number of monitored nodes (VMs) in units of node*months.
  2. Nadwyżka danych na węzeł: jest to liczba GB danych pobieranych z przekroczeniem zagregowanej alokacji danych.Data Overage per Node: this is the number of GB of data ingested in excess of the aggregated data allocation.
  3. Dane uwzględnione na węzeł: to ilość danych uzyskanych w ramach zagregowanego przydziału danych.Data Included per Node: this is the amount of ingested data that was covered by the aggregated data allocation. Ten licznik jest również używany, gdy obszar roboczy znajduje się w obszarze wszystkie warstwy cenowe, aby pokazać ilość danych objętych przez Azure Security Center.This meter is also used when the workspace is in all pricing tiers to show the amount of data covered by the Azure Security Center.

Porada

Jeśli Twój obszar roboczy ma dostęp do warstwy cenowej węzła , ale zastanawiasz się, czy w warstwie płatność zgodnie z rzeczywistym użyciem jest to tańsze, możesz użyć poniższego zapytania , aby łatwo uzyskać zalecenie.If your workspace has access to the Per Node pricing tier, but you're wondering whether it would be cost less in a Pay-As-You-Go tier, you can use the query below to easily get a recommendation.

Obszary robocze utworzone przed kwietnia 2016 mogą również uzyskiwać dostęp do oryginalnych warstw cenowych Standard i Premium , które mają odpowiednio stałe okresy 30 i 365.Workspaces created prior to April 2016 can also access the original Standard and Premium pricing tiers which have fixed data retention of 30 and 365 days respectively. Nie można tworzyć nowych obszarów roboczych w warstwach cenowych standardowa lub Premium , a jeśli obszar roboczy jest przenoszony z tych warstw, nie można go przenieść z powrotem.New workspaces cannot be created in the Standard or Premium pricing tiers, and if a workspace is moved out of these tiers, it cannot be moved back. Liczniki pozyskiwania danych dla tych starszych warstw są nazywane "danymi analizowanymi".Data ingestion meters for these legacy tiers are called "Data analyzed".

Istnieją także pewne zachowania między użyciem starszych warstw Log Analytics i sposobu rozliczania użycia dla Azure Security Center.There are also some behaviors between the use of legacy Log Analytics tiers and how usage is billed for Azure Security Center.

  1. Jeśli obszar roboczy znajduje się w starszej wersji warstwy Standardowa lub Premium, Azure Security Center będzie rozliczany tylko w przypadku Log Analytics pozyskiwania danych, a nie na węzeł.If the workspace is in the legacy Standard or Premium tier, Azure Security Center will be billed only for Log Analytics data ingestion, not per node.
  2. Jeśli obszar roboczy znajduje się w starszej warstwie węzła, Azure Security Center będzie rozliczany przy użyciu bieżącego Azure Security Center modelu cenowego opartego na węźle.If the workspace is in the legacy Per Node tier, Azure Security Center will be billed using the current Azure Security Center node-based pricing model.
  3. W przypadku innych warstw cenowych (w tym rezerwacji pojemności), jeśli Azure Security Center została włączona przed 19 czerwca 2017, Azure Security Center zostanie naliczona tylko za pozyskiwanie danych Log Analytics.In other pricing tiers (including Capacity Reservations), if Azure Security Center was enabled before June 19, 2017, Azure Security Center will be billed only for Log Analytics data ingestion. W przeciwnym razie Azure Security Center będzie rozliczany przy użyciu bieżącego Azure Security Center modelu cen opartego na węzłach.Otherwise Azure Security Center will be billed using the current Azure Security Center node-based pricing model.

Dodatkowe szczegóły ograniczeń warstwy cenowej są dostępne w ramach subskrypcji platformy Azure i ograniczeń usługi, przydziałów i ograniczeń.More details of pricing tier limitations are available at Azure subscription and service limits, quotas, and constraints.

Żadna ze starszych warstw cenowych nie ma opartych na regionie cen.None of the legacy pricing tiers has regional-based pricing.

Uwaga

Aby użyć uprawnień pochodzących z zakupu pakietu OMS E1, pakietu OMS E2 lub Add-On OMS dla programu System Center, wybierz warstwę cenową Log Analytics na węzeł .To use the entitlements that come from purchasing OMS E1 Suite, OMS E2 Suite or OMS Add-On for System Center, choose the Log Analytics Per Node pricing tier.

Log Analytics i Security CenterLog Analytics and Security Center

Rozliczanie Azure Security Center jest ściśle powiązane z log Analytics rozliczeniami.Azure Security Center billing is closely tied to Log Analytics billing. Security Center zapewnia alokację 500 MB/węzeł/dzień względem zestawu typów danych zabezpieczeń (WindowsEvent, SecurityAlert, SecurityBaseline, SecurityBaselineSummary, SecurityDetection, SecurityEvent, WindowsFirewall, MaliciousIPCommunication, LinuxAuditLog, SysmonEvent, ProtectionStatus) i typów danych Update i UpdateSummary, gdy rozwiązanie Update Management nie jest uruchomione w obszarze roboczym lub jest włączone Określanie elementu docelowego rozwiązania.Security Center provides 500 MB/node/day allocation against a set of security data types (WindowsEvent, SecurityAlert, SecurityBaseline, SecurityBaselineSummary, SecurityDetection, SecurityEvent, WindowsFirewall, MaliciousIPCommunication, LinuxAuditLog, SysmonEvent, ProtectionStatus) and the Update and UpdateSummary data types when the Update Management solution is not running on the workspace or solution targeting is enabled. Jeśli obszar roboczy znajduje się w starszej warstwie cenowej węzła, alokacje Security Center i Log Analytics są łączone i stosowane wspólnie do wszystkich danych pozyskanych z rozliczeniami.If the workspace is in the legacy Per Node pricing tier, the Security Center and Log Analytics allocations are combined and applied jointly to all billable ingested data.

Change the data retention period (Zmienianie okresu przechowywania danych)Change the data retention period

W poniższych krokach opisano sposób konfigurowania czasu przechowywania danych dziennika w obszarze roboczym.The following steps describe how to configure how long log data is kept by in your workspace. Przechowywanie danych można skonfigurować od 30 do 730 dni (2 lata) dla wszystkich obszarów roboczych, chyba że korzystają z starszej warstwy cenowej bezpłatna. Dowiedz się więcej na temat cen, aby uzyskać dłuższe przechowywanie danych.Data retention can be configured from 30 to 730 days (2 years) for all workspaces unless they are using the legacy Free pricing tier.Learn more about pricing for longer data retention.

Domyślne przechowywanieDefault retention

Aby ustawić domyślne przechowywanie dla obszaru roboczego,To set the default retention for your workspace,

  1. W Azure Portal w obszarze roboczym wybierz pozycję użycie i szacowane koszty w okienku po lewej stronie.In the Azure portal, from your workspace, select Usage and estimated costs from the left pane.

  2. Na stronie Użycie i szacunkowe koszty kliknij pozycję Przechowywanie danych w górnej części strony.On the Usage and estimated costs page, click Data Retention from the top of the page.

  3. W okienku za pomocą suwaka zwiększ lub zmniejsz liczbę dni, a następnie kliknij przycisk OK.On the pane, move the slider to increase or decrease the number of days and then click OK. W przypadku korzystania z warstwy bezpłatna nie będzie można modyfikować okresu przechowywania danych i należy przeprowadzić uaktualnienie do warstwy płatnej w celu kontrolowania tego ustawienia.If you are on the free tier, you will not be able to modify the data retention period and you need to upgrade to the paid tier in order to control this setting.

    Zmień ustawienie przechowywania danych obszaru roboczego

W przypadku obniżenia poziomu przechowywania istnieje kilka okresów prolongaty przed usunięciem danych starszych niż nowe ustawienie przechowywania.When the retention is lowered, there is a several day grace period before the data older than the new retention setting is removed.

Przechowywanie można również ustawić za pośrednictwem Azure Resource Manager przy użyciu retentionInDays parametru.The retention can also be set via Azure Resource Manager using the retentionInDays parameter. Po ustawieniu przechowywania danych na 30 dni można wyzwolić natychmiastowe przeczyszczanie starszych danych przy użyciu immediatePurgeDataOn30Days parametru (eliminując okres prolongaty kilku dni).When you set the data retention to 30 days, you can trigger an immediate purge of older data using the immediatePurgeDataOn30Days parameter (eliminating the several day grace period). Może to być przydatne w scenariuszach związanych ze zgodnością, w których bezpośrednie usuwanie danych jest konieczne.This may be useful for compliance-related scenarios where immediate data removal is imperative. Ta funkcja natychmiastowego przeczyszczania jest dostępna tylko za pośrednictwem Azure Resource Manager.This immediate purge functionality is only exposed via Azure Resource Manager.

Obszary robocze z 30-dniowym przechowywaniem mogą faktycznie zachować dane przez 31 dni.Workspaces with 30 days retention may actually retain data for 31 days. Jeśli jest to konieczne, aby dane były przechowywane przez 30 dni, użyj Azure Resource Manager, aby ustawić przechowywanie na 30 dni i z immediatePurgeDataOn30Days parametrem.If it is imperative that data be kept for only 30 days, use the Azure Resource Manager to set the retention to 30 days and with the immediatePurgeDataOn30Days parameter.

Dwa typy danych-- Usage i AzureActivity --są domyślnie przechowywane przez co najmniej 90 dni i nie są naliczane opłaty za korzystanie z tego 90go okresu przechowywania.Two data types -- Usage and AzureActivity -- are retained for a minimum of 90 days by default, and there is no charge for for this 90 day retention. Jeśli okres przechowywania obszaru roboczego zostanie zwiększony powyżej 90 dni, zachowywane są również te typy danych.If the workspace retention is increased above 90 days, the retention of these data types will also be increased. Te typy danych są również wolne od opłat za pozyskiwanie danych.These data types are also free from data ingestion charges.

Typy danych z zasobów Application Insights opartych na obszarze roboczym (,,,,,,,, AppAvailabilityResults AppBrowserTimings AppDependencies AppExceptions AppEvents AppMetrics AppPageViews AppPerformanceCounters AppRequests AppSystemEvents i AppTraces ) również są przechowywane domyślnie przez 90 dni i nie są naliczane opłaty za korzystanie z tego 90ego okresu przechowywania.Data types from workspace-based Application Insights resources (AppAvailabilityResults, AppBrowserTimings, AppDependencies, AppExceptions, AppEvents, AppMetrics, AppPageViews, AppPerformanceCounters, AppRequests, AppSystemEvents and AppTraces) are also retained for 90 days by default, and there is no charge for for this 90 day retention. Ich przechowywanie można dostosować przy użyciu funkcji przechowywania danych według typu.Their retention can be adjust using the retention by data type functionality.

Należy zauważyć, że interfejs API przeczyszczania log Analytics nie wpływa na rozliczenie na przechowywanie i jest przeznaczony do użycia w bardzo ograniczonych przypadkach.Note that the Log Analytics purge API does not affect retention billing and is intended to be used for very limited cases. Aby zmniejszyć rachunek przechowywania, należy zmniejszyć okres przechowywania dla obszaru roboczego lub dla konkretnych typów danych.To reduce your retention bill, the retention period must be reduced either for the workspace or for specific data types.

Przechowywanie według typu danychRetention by data type

Można również określić różne ustawienia przechowywania dla poszczególnych typów danych od 30 do 730 dni (z wyjątkiem obszarów roboczych w starszej warstwie cenowej bezpłatna).It is also possible to specify different retention settings for individual data types from 30 to 730 days (except for workspaces in the legacy Free pricing tier). Każdy typ danych jest zasobem podrzędnym obszaru roboczego.Each data type is a sub-resource of the workspace. Na przykład można rozAzure Resource Manager tabeli SecurityEvent jako:For instance the SecurityEvent table can be addressed in Azure Resource Manager as:

/subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/MyResourceGroupName/providers/Microsoft.OperationalInsights/workspaces/MyWorkspaceName/Tables/SecurityEvent

Należy pamiętać, że typ danych (tabela) uwzględnia wielkość liter.Note that the data type (table) is case sensitive. Aby pobrać bieżące ustawienia przechowywania typu danych dla określonego typu danych (w tym przykładzie SecurityEvent), użyj:To get the current per-data-type retention settings of a particular data type (in this example SecurityEvent), use:

    GET /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/MyResourceGroupName/providers/Microsoft.OperationalInsights/workspaces/MyWorkspaceName/Tables/SecurityEvent?api-version=2017-04-26-preview

Uwaga

Przechowywanie jest zwracane tylko dla typu danych, jeśli przechowywanie zostało jawnie ustawione dla.Retention is only returned for a data type if the retention has been explicitly set for it. Typy danych, które nie mają jawnie ustawionego przechowywania (i w ten sposób dziedziczą przechowywanie obszaru roboczego) nie zwracają niczego z tego wywołania.Data types which have not had retention explicitly set (and thus inherit the workspace retention) will not return anything from this call.

Aby pobrać bieżące ustawienia przechowywania typu danych dla wszystkich typów danych w obszarze roboczym, dla których ustawiono przechowywanie ich typów danych, wystarczy pominąć określony typ danych, na przykład:To get the current per-data-type retention settings for all data types in your workspace that have had their per-data-type retention set, just omit the specific data type, for example:

    GET /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/MyResourceGroupName/providers/Microsoft.OperationalInsights/workspaces/MyWorkspaceName/Tables?api-version=2017-04-26-preview

Aby ustawić przechowywanie określonego typu danych (w tym przykładzie SecurityEvent) na 730 dni, wykonajTo set the retention of a particular data type (in this example SecurityEvent) to 730 days, do

    PUT /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/MyResourceGroupName/providers/Microsoft.OperationalInsights/workspaces/MyWorkspaceName/Tables/SecurityEvent?api-version=2017-04-26-preview
    {
        "properties": 
        {
            "retentionInDays": 730
        }
    }

Prawidłowe wartości retentionInDays to od 30 do 730.Valid values for retentionInDays are from 30 through 730.

Usage AzureActivity Nie można ustawić typów danych i przechowywania niestandardowego.The Usage and AzureActivity data types cannot be set with custom retention. Zajmie to maksymalny domyślny okres przechowywania obszaru roboczego lub 90 dni.They will take on the maximum of the default workspace retention or 90 days.

Doskonałym narzędziem do nawiązywania bezpośredniego połączenia z Azure Resource Manager, aby ustawić przechowywanie według typu danych, jest narzędzie OSS ARMclient.A great tool to connect directly to Azure Resource Manager to set retention by data type is the OSS tool ARMclient. Dowiedz się więcej na temat ARMclient z artykułów przez David Ebbo i Daniel Bowbyes.Learn more about ARMclient from articles by David Ebbo and Daniel Bowbyes. Oto przykład użycia ARMClient, ustawiając dane SecurityEvent na 730 dni:Here's an example using ARMClient, setting SecurityEvent data to a 730 day retention:

armclient PUT /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/MyResourceGroupName/providers/Microsoft.OperationalInsights/workspaces/MyWorkspaceName/Tables/SecurityEvent?api-version=2017-04-26-preview "{properties: {retentionInDays: 730}}"

Porada

Ustawienie przechowywania poszczególnych typów danych może służyć do zmniejszania kosztów przechowywania danych.Setting retention on individual data types can be used to reduce your costs for data retention. W przypadku danych zbieranych od października 2019 (gdy ta funkcja została wydana) zmniejszenie ilości danych w czasie przechowywania może zmniejszyć koszt przechowywania w miarę upływu czasu.For data collected starting in October 2019 (when this feature was released), reducing the retention for some data types can reduce your retention cost over time. W przypadku danych zbieranych wcześniej ustawienie mniejszego okresu przechowywania dla danego typu nie wpłynie na koszty przechowywania.For data collected earlier, setting a lower retention for an individual type will not affect your retention costs.

Zarządzanie maksymalnym dziennym woluminem danychManage your maximum daily data volume

Można skonfigurować dzienny limit i ograniczyć dzienne pozyskiwanie obszaru roboczego, ale należy zachować ostrożność, ponieważ cel nie powinien być osiągnięty w dziennym limicie.You can configure a daily cap and limit the daily ingestion for your workspace, but use care as your goal should not be to hit the daily limit. W przeciwnym razie utracisz dane przez pozostałą część dnia, co może mieć wpływ na inne usługi i rozwiązania platformy Azure, których funkcjonalność może zależeć od aktualnych danych dostępnych w obszarze roboczym.Otherwise, you lose data for the remainder of the day, which can impact other Azure services and solutions whose functionality may depend on up-to-date data being available in the workspace. Ma to wpływ na możliwość obserwowania i otrzymywania alertów dotyczących kondycji zasobów obsługujących usługi IT.As a result, your ability to observe and receive alerts when the health conditions of resources supporting IT services are impacted. Dzienny limit jest przeznaczony do użycia jako sposób zarządzania nieoczekiwanym wzrostem ilości danych z zarządzanych zasobów i pozostania w limicie lub w przypadku ograniczenia nieplanowanych opłat dla obszaru roboczego.The daily cap is intended to be used as a way to manage an unexpected increase in data volume from your managed resources and stay within your limit, or when you want to limit unplanned charges for your workspace. Nie powinno się ustawiać takiego dziennego limitu, który będzie osiągany każdego dnia w obszarze roboczym.It is not appropriate to set a daily cap so that it is met each day on a workspace.

W każdym obszarze roboczym dzienny limit został zastosowany w innej godzinie dnia.Each workspace has its daily cap applied on a different hour of the day. Godzina resetowania jest wyświetlana na stronie dzienne zakończenie (patrz poniżej).The reset hour is shown in the Daily Cap page (see below). Nie można skonfigurować tej godziny resetowania.This reset hour cannot be configured.

Wkrótce po osiągnięciu dziennego limitu w pozostałej części dnia zostanie zatrzymana Kolekcja typów danych do rozliczenia.Soon after the daily limit is reached, the collection of billable data types stops for the rest of the day. Opóźnienie związane z zastosowaniem dziennego limitu oznacza, że zakończenie nie jest stosowane w dokładnie określonym poziomie dziennego limitu.Latency inherent in applying the daily cap means that the cap is not applied at precisely the specified daily cap level. Transparent ostrzegawczy pojawia się w górnej części strony dla wybranego obszaru roboczego Log Analytics, a zdarzenie operacji jest wysyłane do tabeli operacji w kategorii LogManagement .A warning banner appears across the top of the page for the selected Log Analytics workspace and an operation event is sent to the Operation table under LogManagement category. Zbieranie danych zostanie wznowione po upływie czasu resetowania określonego w obszarze dzienny limit.Data collection resumes after the reset time defined under Daily limit will be set at. Zalecamy zdefiniowanie reguły alertu na podstawie tego zdarzenia operacji skonfigurowanego do powiadamiania o osiągnięciu dziennego limitu ilości danych (patrz poniżej).We recommend defining an alert rule based on this operation event, configured to notify when the daily data limit has been reached (see below).

Uwaga

Dzienny limit nie może zatrzymać zbierania danych zgodnie z dokładnością określonego poziomu, a niektóre nadmierne dane są oczekiwane, zwłaszcza jeśli obszar roboczy otrzymuje duże ilości danych.The daily cap cannot stop data collection as precisely the specified cap level and some excess data is expected, particularly if the workspace is receiving high volumes of data. Zapoznaj się z poniższymi tematami zapytania, które ułatwia badanie dziennego zachowania Cap.See below for a query that is helpful in studying the daily cap behavior.

Ostrzeżenie

Dzienny limit nie zatrzymuje zbierania danych z usługi Azure Sentinal lub Azure Security Center, z wyjątkiem obszarów roboczych, w których Azure Security Center został zainstalowany przed 19 czerwca 2017.The daily cap does not stop the collection of data from Azure Sentinal or Azure Security Center, except for workspaces in which Azure Security Center was installed before June 19, 2017.

Określ dzienny limit danych do zdefiniowaniaIdentify what daily data limit to define

Przejrzyj log Analytics użycie i szacowane koszty , aby zrozumieć trend pozyskiwania danych i co to jest dzienny limit ilości do zdefiniowania.Review Log Analytics Usage and estimated costs to understand the data ingestion trend and what is the daily volume cap to define. Należy wziąć pod uwagę, że od czasu wygrania Twoje zasoby będą mogły być monitorowane po osiągnięciu limitu.It should be considered with care, since you won?t be able to monitor your resources after the limit is reached.

Ustaw limit dziennySet the Daily Cap

W poniższych krokach opisano sposób konfigurowania limitu zarządzania ilością danych w obszarze roboczym Log Analytics na dzień.The following steps describe how to configure a limit to manage the volume of data that Log Analytics workspace will ingest per day.

  1. W obszarze roboczym wybierz pozycję Użycie i szacunkowe koszty w lewym okienku.From your workspace, select Usage and estimated costs from the left pane.

  2. Na stronie użycie i szacowane koszty dla wybranego obszaru roboczego kliknij pozycję koniec danych w górnej części strony.On the Usage and estimated costs page for the selected workspace, click Data Cap from the top of the page.

  3. Dzienny limit jest domyślnie wyłączony ?Daily cap is OFF by default ? Kliknij przycisk Włącz, aby go włączyć, a następnie ustaw limit ilości danych na GB/dzień.click ON to enable it, and then set the data volume limit in GB/day.

    Log Analytics skonfigurować limit danych

Dzienny limit można skonfigurować za pośrednictwem ARM, ustawiając dailyQuotaGb parametr w obszarze w obszarze WorkspaceCapping roboczym — Tworzenie lub aktualizowanie.The daily cap can be configured via ARM by setting the dailyQuotaGb parameter under WorkspaceCapping as described at Workspaces - Create Or Update.

Wyświetlanie efektu dziennego limituView the effect of the Daily Cap

Aby wyświetlić efekt dziennego limitu, ważne jest, aby uwzględnić typy danych zabezpieczeń, które nie są uwzględnione w codziennym Cap, oraz godzinę resetowania dla obszaru roboczego.To view the effect of the daily cap, it's important to account for the security data types not included in the daily cap, and the reset hour for your workspace. Godzina resetowania dziennego limitu jest widoczna na stronie dziennego limitu .The daily cap reset hour is visible in the Daily Cap page. Poniższe zapytanie może służyć do śledzenia woluminów danych, które są zależne od dziennego limitu resetowania Cap.The following query can be used to track the data volumes subject to the Daily Cap between daily cap resets. W tym przykładzie godzina resetowania obszaru roboczego to 14:00.In this example, the workspace's reset hour is 14:00. Musisz zaktualizować ten obszar roboczy.You'll need to update this for your workspace.

let DailyCapResetHour=14;
Usage
| where Type !in ("SecurityAlert", "SecurityBaseline", "SecurityBaselineSummary", "SecurityDetection", "SecurityEvent", "WindowsFirewall", "MaliciousIPCommunication", "LinuxAuditLog", "SysmonEvent", "ProtectionStatus", "WindowsEvent")
| extend TimeGenerated=datetime_add("hour",-1*DailyCapResetHour,TimeGenerated)
| where TimeGenerated > startofday(ago(31d))
| where IsBillable
| summarize IngestedGbBetweenDailyCapResets=sum(_BilledSize)/1000. by day=bin(TimeGenerated, 1d) | render areachart  

Zgłoś alert po osiągnięciu dziennego limituAlert when Daily Cap reached

Podczas prezentowania wizualnej wskazówki w Azure Portal po spełnieniu progu limitu danych takie zachowanie nie musi być dostosowane do sposobu zarządzania problemami operacyjnymi wymagającymi natychmiastowej uwagi.While we present a visual cue in the Azure portal when your data limit threshold is met, this behavior doesn't necessarily align to how you manage operational issues requiring immediate attention. Aby otrzymać powiadomienie o alercie, można utworzyć nową regułę alertu w Azure Monitor.To receive an alert notification, you can create a new alert rule in Azure Monitor. Aby dowiedzieć się więcej, zobacz jak tworzyć, wyświetlać i zarządzać alertami.To learn more, see how to create, view, and manage alerts.

Aby rozpocząć, poniżej przedstawiono zalecane ustawienia alertu dotyczącego Operation tabeli przy użyciu _LogOperation funkcji.To get you started, here are the recommended settings for the alert querying the Operation table using the _LogOperation function.

  • Cel: wybierz zasób Log AnalyticsTarget: Select your Log Analytics resource
  • OkreślonychCriteria:
    • Nazwa sygnału: niestandardowe wyszukiwanie w dziennikuSignal name: Custom log search
    • Zapytanie wyszukiwania: _LogOperation | where Category == "Ingestion" | where Operation == "Ingestion rate" | where Level == "Warning"Search query: _LogOperation | where Category == "Ingestion" | where Operation == "Ingestion rate" | where Level == "Warning"
    • Na podstawie: liczba wynikówBased on: Number of results
    • Warunek: większe niżCondition: Greater than
    • Próg: 0Threshold: 0
    • Okres: 5 (minuty)Period: 5 (minutes)
    • Częstotliwość: 5 (minuty)Frequency: 5 (minutes)
  • Nazwa reguły alertu: osiągnięto dzienny limit danychAlert rule name: Daily data limit reached
  • Ważność: ostrzeżenie (ważność 1)Severity: Warning (Sev 1)

Po zdefiniowaniu alertu i osiągnięciu limitu zostanie wyzwolony alert i zostanie określona odpowiedź zdefiniowana w grupie akcji.Once alert is defined and the limit is reached, an alert is triggered and performs the response defined in the Action Group. Może ona wysyłać powiadomienia do zespołu za pośrednictwem wiadomości e-mail i SMS albo automatyzować akcje przy użyciu elementów webhook, Runbook Automation lub integracji z zewnętrznym rozwiązaniem narzędzia ITSM.It can notify your team via email and text messages, or automate actions using webhooks, Automation runbooks or integrating with an external ITSM solution.

Rozwiązywanie problemów związanych z użyciem przekraczającym oczekiwaniaTroubleshooting why usage is higher than expected

Większe użycie jest spowodowane przez jedną lub obie z następujących przyczyn:Higher usage is caused by one, or both of:

  • Więcej węzłów niż oczekiwano wysłania danych do obszaru roboczego Log AnalyticsMore nodes than expected sending data to Log Analytics workspace
  • Więcej danych niż oczekiwano podczas wysyłania do obszaru roboczego Log Analytics (prawdopodobnie z powodu rozpoczęcia korzystania z nowego rozwiązania lub zmiany konfiguracji w istniejącym rozwiązaniu)More data than expected being sent to Log Analytics workspace (perhaps due to starting to use a new solution or a configuration change to an existing solution)

Informacje o węzłach wysyłających daneUnderstanding nodes sending data

Aby zrozumieć liczbę węzłów zgłaszających pulsy przez agenta każdego dnia w ostatnim miesiącu, użyjTo understand the number of nodes reporting heartbeats from the agent each day in the last month, use

Heartbeat 
| where TimeGenerated > startofday(ago(31d))
| summarize nodes = dcount(Computer) by bin(TimeGenerated, 1d)    
| render timechart

Pobierz liczbę węzłów, które wysyłają dane w ciągu ostatnich 24 godzin, użyj zapytania:The get a count of nodes sending data in the last 24 hours use the query:

find where TimeGenerated > ago(24h) project Computer
| extend computerName = tolower(tostring(split(Computer, '.')[0]))
| where computerName != ""
| summarize nodes = dcount(computerName)

Aby uzyskać listę węzłów wysyłających dowolne dane (i ilość danych wysyłanych przez poszczególne), można użyć poniższego zapytania:To get a list of nodes sending any data (and the amount of data sent by each) the follow query can be used:

find where TimeGenerated > ago(24h) project _BilledSize, Computer
| extend computerName = tolower(tostring(split(Computer, '.')[0]))
| where computerName != ""
| summarize TotalVolumeBytes=sum(_BilledSize) by computerName

Węzły rozliczane według warstwy cenowej starszej dla węzłaNodes billed by the legacy Per Node pricing tier

Warstwa cenowa starszej wersji na węzeł jest rozliczana dla węzłów z dokładnością co godzinę, a także nie zlicza węzłów wysyłających zestaw danych zabezpieczeń.The legacy Per Node pricing tier bills for nodes with hourly granularity and also doesn't count nodes only sending a set of security data types. Dzienna liczba węzłów będzie bliska następującej kwerendzie:Its daily count of nodes would be close to the following query:

find where TimeGenerated >= startofday(ago(7d)) and TimeGenerated < startofday(now()) project Computer, _IsBillable, Type, TimeGenerated
| where Type !in ("SecurityAlert", "SecurityBaseline", "SecurityBaselineSummary", "SecurityDetection", "SecurityEvent", "WindowsFirewall", "MaliciousIPCommunication", "LinuxAuditLog", "SysmonEvent", "ProtectionStatus", "WindowsEvent")
| extend computerName = tolower(tostring(split(Computer, '.')[0]))
| where computerName != ""
| where _IsBillable == true
| summarize billableNodesPerHour=dcount(computerName) by bin(TimeGenerated, 1h)
| summarize billableNodesPerDay = sum(billableNodesPerHour)/24., billableNodeMonthsPerDay = sum(billableNodesPerHour)/24./31.  by day=bin(TimeGenerated, 1d)
| sort by day asc

Liczba jednostek na rachunku znajduje się w jednostkach węzła * miesiące, które są reprezentowane przez billableNodeMonthsPerDay zapytanie.The number of units on your bill is in units of node*months which is represented by billableNodeMonthsPerDay in the query. Jeśli w obszarze roboczym jest zainstalowane rozwiązanie Update Management, Dodaj typy danych Update i UpdateSummary do listy w klauzuli WHERE w powyższej kwerendzie.If the workspace has the Update Management solution installed, add the Update and UpdateSummary data types to the list in the where clause in the above query. Na koniec istnieje pewna dodatkowa złożoność w rzeczywistym algorytmie rozliczania, gdy jest używane rozwiązanie określania wartości docelowej, które nie jest reprezentowane w powyższym zapytaniu.Finally, there is some additional complexity in the actual billing algorithm when solution targeting is used that is not represented in the above query.

Porada

Te find zapytania są oszczędnie zależą od tego, jak skanowanie między typami danych jest czasochłonne .Use these find queries sparingly as scans across data types are resource intensive to execute. Jeśli wyniki dla komputera nie są potrzebne, należy wykonać zapytanie dotyczące typu danych użycia (patrz poniżej).If you do not need results per computer then query on the Usage data type (see below).

Zrozumienie ilości pozyskiwanych danychUnderstanding ingested data volume

Na stronie użycie i szacowane koszty pozyskiwanie danych na wykres rozwiązań pokazuje łączną ilość wysłanych danych i ilość wysyłanych przez każde rozwiązanie.On the Usage and Estimated Costs page, the Data ingestion per solution chart shows the total volume of data sent and how much is being sent by each solution. Dzięki temu można określić trendy, takie jak to, czy ogólne użycie danych (lub użycie określonego rozwiązania) rośnie, pozostało stałe lub zmniejszane.This allows you to determine trends such as whether the overall data usage (or usage by a particular solution) is growing, remaining steady or decreasing.

Wolumin danych dla określonych zdarzeńData volume for specific events

Aby przyjrzeć się ilości pobieranych danych dla określonego zestawu zdarzeń, można wykonać zapytanie dotyczące konkretnej tabeli (w tym przykładzie), Event a następnie ograniczyć zapytanie do interesujących Cię zdarzeń (w tym przykładzie zdarzenia o identyfikatorze 5145 lub 5156):To look at the size of ingested data for a particular set of events, you can query the specific table (in this example Event) and then restrict the query to the events of interest (in this example event ID 5145 or 5156):

Event
| where TimeGenerated > startofday(ago(31d)) and TimeGenerated < startofday(now()) 
| where EventID == 5145 or EventID == 5156
| where _IsBillable == true
| summarize count(), Bytes=sum(_BilledSize) by EventID, bin(TimeGenerated, 1d)

Należy zauważyć, że klauzula where _IsBillable = true filtruje typy danych z niektórych rozwiązań, dla których nie jest naliczana opłata za pozyskiwanie.Note that the clause where _IsBillable = true filters out data types from certain solutions for which there is no ingestion charge. Dowiedz się więcej o programie _IsBillable .Learn more about _IsBillable.

Ilość danych wg rozwiązaniaData volume by solution

Zapytanie używane do wyświetlania ilości danych do rozliczenia według rozwiązania w ciągu ostatniego miesiąca (z wyjątkiem ostatniego częściowego dnia) to:The query used to view the billable data volume by solution over the last month (excluding the last partial day) is:

Usage 
| where TimeGenerated > ago(32d)
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by bin(StartTime, 1d), Solution | render barchart

Klauzula WITH TimeGenerated służy tylko do upewnienia się, że obsługa zapytań w Azure Portal będzie wyglądać poza domyślnymi 24 godzinami.The clause with TimeGenerated is only to ensure that the query experience in the Azure portal will look back beyond the default 24 hours. W przypadku użycia typu danych użycia i reprezentowania przedziałów StartTime EndTime czasu, dla których są wyświetlane wyniki.When using the Usage data type, StartTime and EndTime represent the time buckets for which results are presented.

Ilość danych według typuData volume by type

Możesz przejść do szczegółów, aby zobaczyć trendy dotyczące danych według typu danych:You can drill in further to see data trends for by data type:

Usage 
| where TimeGenerated > ago(32d)
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by bin(StartTime, 1d), DataType | render barchart

Lub, aby wyświetlić tabelę według rozwiązania i typu w ciągu ostatniego miesiąca,Or to see a table by solution and type for the last month,

Usage 
| where TimeGenerated > ago(32d)
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) by Solution, DataType
| sort by Solution asc, DataType asc

Ilość danych według komputeraData volume by computer

UsageTyp danych nie zawiera informacji na poziomie komputera.The Usage data type does not include information at the computer level. Aby wyświetlić rozmiar pobieranych danych na komputer, użyj _BilledSize Właściwości, która zapewnia rozmiar w bajtach:To see the size of ingested data per computer, use the _BilledSize property, which provides the size in bytes:

find where TimeGenerated > ago(24h) project _BilledSize, _IsBillable, Computer
| where _IsBillable == true 
| extend computerName = tolower(tostring(split(Computer, '.')[0]))
| summarize BillableDataBytes = sum(_BilledSize) by  computerName 
| sort by BillableDataBytes nulls last

_IsBillable Właściwość określa, czy pozyskane dane będą naliczane opłaty.The _IsBillable property specifies whether the ingested data will incur charges.

Aby zobaczyć liczbę zdarzeń rozliczanych pobieranych na komputer, użyjTo see the count of billable events ingested per computer, use

find where TimeGenerated > ago(24h) project _IsBillable, Computer
| where _IsBillable == true 
| extend computerName = tolower(tostring(split(Computer, '.')[0]))
| summarize eventCount = count() by computerName  
| sort by eventCount nulls last

Porada

Te find zapytania są oszczędnie zależą od tego, jak skanowanie między typami danych jest czasochłonne .Use these find queries sparingly as scans across data types are resource intensive to execute. Jeśli wyniki dla komputera nie są potrzebne, należy wykonać zapytanie dotyczące typu danych użycia.If you do not need results per computer then query on the Usage data type.

Ilość danych według zasobu platformy Azure, grupy zasobów lub subskrypcjiData volume by Azure resource, resource group, or subscription

W przypadku danych z węzłów hostowanych na platformie Azure można uzyskać rozmiar pobieranych danych na komputer, używając Właściwości_ResourceId, która zapewnia pełną ścieżkę do zasobu:For data from nodes hosted in Azure you can get the size of ingested data per computer, use the _ResourceId property, which provides the full path to the resource:

find where TimeGenerated > ago(24h) project _ResourceId, _BilledSize, _IsBillable
| where _IsBillable == true 
| summarize BillableDataBytes = sum(_BilledSize) by _ResourceId | sort by BillableDataBytes nulls last

W przypadku danych z węzłów hostowanych na platformie Azure możesz uzyskać rozmiar pozyskanych danych na subskrypcję platformy Azure, korzystając z _SubscriptionId właściwości jako:For data from nodes hosted in Azure you can get the size of ingested data per Azure subscription, get use the _SubscriptionId property as:

find where TimeGenerated > ago(24h) project _ResourceId, _BilledSize, _IsBillable
| where _IsBillable == true 
| summarize BillableDataBytes = sum(_BilledSize) by _ResourceId
| summarize BillableDataBytes = sum(BillableDataBytes) by _SubscriptionId | sort by BillableDataBytes nulls last

Aby uzyskać ilość danych według grupy zasobów, można przeanalizować _ResourceId :To get data volume by resource group, you can parse _ResourceId:

find where TimeGenerated > ago(24h) project _ResourceId, _BilledSize, _IsBillable
| where _IsBillable == true 
| summarize BillableDataBytes = sum(_BilledSize) by _ResourceId
| extend resourceGroup = tostring(split(_ResourceId, "/")[4] )
| summarize BillableDataBytes = sum(BillableDataBytes) by resourceGroup | sort by BillableDataBytes nulls last

Możesz również przeanalizować _ResourceId bardziej szczegółowo, jeśli jest to konieczne.You can also parse the _ResourceId more fully if needed as well using

| parse tolower(_ResourceId) with "/subscriptions/" subscriptionId "/resourcegroups/" 
    resourceGroup "/providers/" provider "/" resourceType "/" resourceName   

Porada

Te find zapytania są oszczędnie zależą od tego, jak skanowanie między typami danych jest czasochłonne .Use these find queries sparingly as scans across data types are resource intensive to execute. Jeśli nie potrzebujesz wyników na subskrypcję, grupę zasobów lub nazwę zasobu, a następnie wykonaj zapytanie dotyczące typu danych użycia.If you do not need results per subscription, resouce group or resource name, then query on the Usage data type.

Ostrzeżenie

Niektóre pola typu danych użycia, ale nadal w schemacie, są przestarzałe i ich wartości nie będą już wypełnione.Some of the fields of the Usage data type, while still in the schema, have been deprecated and will their values are no longer populated. Są to komputery , a także pola związane z pozyskiwaniem (TotalBatches, BatchesWithinSla, BatchesOutsideSla, BatchesCapped i AverageProcessingTimeMs.These are Computer as well as fields related to ingestion (TotalBatches, BatchesWithinSla, BatchesOutsideSla, BatchesCapped and AverageProcessingTimeMs.

Wykonywanie zapytań dotyczących typowych typów danychQuerying for common data types

Aby Dig bardziej szczegółowo źródło danych dla określonego typu danych, Oto kilka przydatnych zapytań przykładowych:To dig deeper into the source of data for a particular data type, here are some useful example queries:

  • Zasoby Application Insights oparte na obszarze roboczymWorkspace-based Application Insights resources
  • Rozwiązanie zabezpieczająceSecurity solution
    • SecurityEvent | summarize AggregatedValue = count() by EventID
  • Rozwiązanie do zarządzania dziennikamiLog Management solution
    • Usage | where Solution == "LogManagement" and iff(isnotnull(toint(IsBillable)), IsBillable == true, IsBillable == "true") == true | summarize AggregatedValue = count() by DataType
  • Typ danych PerfPerf data type
    • Perf | summarize AggregatedValue = count() by CounterPath
    • Perf | summarize AggregatedValue = count() by CounterName
  • Typ danych EventEvent data type
    • Event | summarize AggregatedValue = count() by EventID
    • Event | summarize AggregatedValue = count() by EventLog, EventLevelName
  • Typ danych SyslogSyslog data type
    • Syslog | summarize AggregatedValue = count() by Facility, SeverityLevel
    • Syslog | summarize AggregatedValue = count() by ProcessName
  • Typ danych AzureDiagnosticsAzureDiagnostics data type
    • AzureDiagnostics | summarize AggregatedValue = count() by ResourceProvider, ResourceId

Wskazówki dotyczące zmniejszania ilości danychTips for reducing data volume

Niektóre sugestie dotyczące zmniejszenia ilości zbieranych dzienników obejmują:Some suggestions for reducing the volume of logs collected include:

Źródło dużego woluminu danychSource of high data volume Jak zmniejszyć wolumin danychHow to reduce data volume
Analizy kontenerówContainer Insights Skonfiguruj usługi Container Insights , aby zbierać tylko wymagane dane.Configure Container Insights to collect only the data you required.
Zdarzenia zabezpieczeńSecurity events Wybierz pospolite lub minimalne zdarzenia zabezpieczeń.Select common or minimal security events
Zmień zasady inspekcji zabezpieczeń w celu zbierania tylko potrzebnych zdarzeń.Change the security audit policy to collect only needed events. W szczególności zastanów się nad koniecznością zbierania następujących zdarzeń:In particular, review the need to collect events for
- inspekcja platformy filtrowania- audit filtering platform
- inspekcja rejestru- audit registry
- inspekcja systemu plików- audit file system
- inspekcja obiektu jądra- audit kernel object
- inspekcja manipulowania dojściem- audit handle manipulation
Inspekcja magazynu wymiennego- audit removable storage
Liczniki wydajnościPerformance counters Zmień konfigurację licznika wydajności w następujący sposób:Change performance counter configuration to:
— Zmniejsz częstotliwość gromadzenia- Reduce the frequency of collection
— Zmniejsz liczbę liczników wydajności- Reduce number of performance counters
Dzienniki zdarzeńEvent logs Zmień konfigurację dziennika zdarzeń w następujący sposób:Change event log configuration to:
— Zmniejsz liczbę gromadzonych danych dzienników zdarzeń- Reduce the number of event logs collected
— Zbieraj wyłącznie zdarzenia o wymaganym poziomie.- Collect only required event levels. Na przykład nie zbieraj zdarzeń na poziomie Informacje.For example, do not collect Information level events
Dziennik systemuSyslog Zmień konfigurację dziennika systemu w następujący sposób:Change syslog configuration to:
— Zmniejsz liczbę urządzeń, z których zbierane są dane- Reduce the number of facilities collected
— Zbieraj wyłącznie zdarzenia o wymaganym poziomie.- Collect only required event levels. Na przykład nie zbieraj zdarzeń na poziomie Informacje i Debugowanie.For example, do not collect Info and Debug level events
AzureDiagnosticsAzureDiagnostics Zmień kolekcję dzienników zasobów na:Change resource log collection to:
— zmniejszyć liczbę dzienników zasobów wysyłanych do usługi Log Analytics,- Reduce the number of resources send logs to Log Analytics
— zbierać tylko wymagane dzienniki.- Collect only required logs
Dane rozwiązań z komputerów, które nie wymagają rozwiązaniaSolution data from computers that don't need the solution Użyj funkcji określania celu rozwiązania , aby zbierać dane tylko z wymaganych grup komputerów.Use solution targeting to collect data from only required groups of computers.

Pobieranie węzłów jako rozliczane w warstwie cenowej na węzełGetting nodes as billed in the Per Node pricing tier

Aby uzyskać listę komputerów, które będą rozliczane jako węzły w przypadku, gdy obszar roboczy znajduje się w starszej warstwie cenowej węzła, poszukaj węzłów, które wysyłają opłaty za typy danych (niektóre typy danych są bezpłatne).To get a list of computers which will be billed as nodes if the workspace is in the legacy Per Node pricing tier, look for nodes which are sending billed data types (some data types are free). W tym celu należy użyć _IsBillable Właściwości i użyć pola z lewej strony w w pełni kwalifikowanej nazwy domeny.To do this, use the _IsBillable property and use the leftmost field of the fully qualified domain name. To zwraca liczbę komputerów z danymi rozliczanymi za godzinę (czyli stopnia szczegółowości, w których węzły są zliczane i są rozliczane):This returns the count of computers with billed data per hour (which is the granularity at which nodes are counted and billed):

find where TimeGenerated > ago(24h) project Computer, TimeGenerated
| extend computerName = tolower(tostring(split(Computer, '.')[0]))
| where computerName != ""
| summarize billableNodes=dcount(computerName) by bin(TimeGenerated, 1h) | sort by TimeGenerated asc

Pobieranie zabezpieczeń i liczby węzłów automatyzacjiGetting Security and Automation node counts

Jeśli korzystasz z warstwy cenowej "na węzeł (OMS)", opłaty są naliczane na podstawie liczby używanych węzłów i rozwiązań, liczby analiz i węzłów analizy, dla których są naliczane opłaty, zostaną wyświetlone w tabeli na stronie użycie i szacowany koszt .If you are on "Per node (OMS)" pricing tier, then you are charged based on the number of nodes and solutions you use, the number of Insights and Analytics nodes for which you are being billed will be shown in table on the Usage and Estimated Cost page.

Aby wyświetlić liczbę różnych węzłów zabezpieczeń, można użyć zapytania:To see the number of distinct Security nodes, you can use the query:

union
(
    Heartbeat
    | where (Solutions has 'security' or Solutions has 'antimalware' or Solutions has 'securitycenter')
    | project Computer
),
(
    ProtectionStatus
    | where Computer !in~
    (
        (
            Heartbeat
            | project Computer
        )
    )
    | project Computer
)
| distinct Computer
| project lowComputer = tolower(Computer)
| distinct lowComputer
| count

Aby wyświetlić liczbę różnych węzłów automatyzacji, użyj zapytania:To see the number of distinct Automation nodes, use the query:

 ConfigurationData 
 | where (ConfigDataType == "WindowsServices" or ConfigDataType == "Software" or ConfigDataType =="Daemons") 
 | extend lowComputer = tolower(Computer) | summarize by lowComputer 
 | join (
     Heartbeat 
       | where SCAgentChannel == "Direct"
       | extend lowComputer = tolower(Computer) | summarize by lowComputer, ComputerEnvironment
 ) on lowComputer
 | summarize count() by ComputerEnvironment | sort by ComputerEnvironment asc

Ocenianie starszej warstwy cenowej na węzełEvaluating the legacy Per Node pricing tier

Decyzja o tym, czy obszary robocze z dostępem do starszej warstwy cenowej na węzeł są lepiej wyłączone w tej warstwie lub w bieżącej warstwie płatność zgodnie z rzeczywistym użyciem, czy jest często trudne do oceny dla klientów.The decision of whether workspaces with access to the legacy Per Node pricing tier are better off in that tier or in a current Pay-As-You-Go or Capacity Reservation tier is often difficult for customers to assess. Obejmuje to informacje o handlu między stałymi kosztami dla monitorowanego węzła w warstwie cenowej węzła i dołączonym przydziale danych wynoszącym 500 MB/węzeł/dzień, a także kosztem płatności za pozyskiwane dane w warstwie płatności zgodnie z rzeczywistym użyciem (za GB).This involves understanding the trade-off between the fixed cost per monitored node in the Per Node pricing tier and its included data allocation of 500 MB/node/day and the cost of just paying for ingested data in the Pay-As-You-Go (Per GB) tier.

Aby ułatwić tę ocenę, można użyć następującego zapytania, aby zastosować zalecenie dotyczące optymalnej warstwy cenowej na podstawie wzorców użytkowania obszaru roboczego.To facilitate this assessment, the following query can be used to make a recommendation for the optimal pricing tier based on a workspace's usage patterns. To zapytanie przegląda monitorowane węzły i dane pozyskane w obszarze roboczym w ciągu ostatnich 7 dni, a dla każdego dnia szacuje się, która warstwa cenowa byłaby optymalna.This query looks at the monitored nodes and data ingested into a workspace in the last 7 days, and for each day evaluates which pricing tier would have been optimal. Aby użyć zapytania, należy określićTo use the query, you need to specify

  1. czy obszar roboczy używa Azure Security Center przez ustawienie workspaceHasSecurityCenter na true lub false ,whether the workspace is using Azure Security Center by setting workspaceHasSecurityCenter to true or false,
  2. Zaktualizuj ceny, jeśli masz określone zniżki iupdate the prices if you have specific discounts, and
  3. Określ liczbę dni, przez którą ma zostać wyszukane i przeanalizowanie według ustawienia daysToEvaluate .specify the number of days to look back and analyze by setting daysToEvaluate. Jest to przydatne, jeśli zapytanie trwa zbyt długo, próbując przeglądać dane przez 7 dni.This is useful if the query is taking too long trying to look at 7 days of data.

Oto zapytanie o rekomendacje warstwy cenowej:Here is the pricing tier recommendation query:

// Set these parameters before running query
let workspaceHasSecurityCenter = true;  // Specify if the workspace has Azure Security Center
let PerNodePrice = 15.; // Enter your montly price per monitored nodes
let PerNodeOveragePrice = 2.30; // Enter your price per GB for data overage in the Per Node pricing tier
let PerGBPrice = 2.30; // Enter your price per GB in the Pay-as-you-go pricing tier
let daysToEvaluate = 7; // Enter number of previous days look at (reduce if the query is taking too long)
// ---------------------------------------
let SecurityDataTypes=dynamic(["SecurityAlert", "SecurityBaseline", "SecurityBaselineSummary", "SecurityDetection", "SecurityEvent", "WindowsFirewall", "MaliciousIPCommunication", "LinuxAuditLog", "SysmonEvent", "ProtectionStatus", "WindowsEvent", "Update", "UpdateSummary"]);
let StartDate = startofday(datetime_add("Day",-1*daysToEvaluate,now()));
let EndDate = startofday(now());
union * 
| where TimeGenerated >= StartDate and TimeGenerated < EndDate
| extend computerName = tolower(tostring(split(Computer, '.')[0]))
| where computerName != ""
| summarize nodesPerHour = dcount(computerName) by bin(TimeGenerated, 1h)  
| summarize nodesPerDay = sum(nodesPerHour)/24.  by day=bin(TimeGenerated, 1d)  
| join kind=leftouter (
    Heartbeat 
    | where TimeGenerated >= StartDate and TimeGenerated < EndDate
    | where Computer != ""
    | summarize ASCnodesPerHour = dcount(Computer) by bin(TimeGenerated, 1h) 
    | extend ASCnodesPerHour = iff(workspaceHasSecurityCenter, ASCnodesPerHour, 0)
    | summarize ASCnodesPerDay = sum(ASCnodesPerHour)/24.  by day=bin(TimeGenerated, 1d)   
) on day
| join (
    Usage 
    | where TimeGenerated >= StartDate and TimeGenerated < EndDate
    | where IsBillable == true
    | extend NonSecurityData = iff(DataType !in (SecurityDataTypes), Quantity, 0.)
    | extend SecurityData = iff(DataType in (SecurityDataTypes), Quantity, 0.)
    | summarize DataGB=sum(Quantity)/1000., NonSecurityDataGB=sum(NonSecurityData)/1000., SecurityDataGB=sum(SecurityData)/1000. by day=bin(StartTime, 1d)  
) on day
| extend AvgGbPerNode =  NonSecurityDataGB / nodesPerDay
| extend PerGBDailyCost = iff(workspaceHasSecurityCenter,
             (NonSecurityDataGB + max_of(SecurityDataGB - 0.5*ASCnodesPerDay, 0.)) * PerGBPrice,
             DataGB * PerGBPrice)
| extend OverageGB = iff(workspaceHasSecurityCenter, 
             max_of(DataGB - 0.5*nodesPerDay - 0.5*ASCnodesPerDay, 0.), 
             max_of(DataGB - 0.5*nodesPerDay, 0.))
| extend PerNodeDailyCost = nodesPerDay * PerNodePrice / 31. + OverageGB * PerNodeOveragePrice
| extend Recommendation = iff(PerNodeDailyCost < PerGBDailyCost, "Per Node tier", 
             iff(NonSecurityDataGB > 85., "Capacity Reservation tier", "Pay-as-you-go (Per GB) tier"))
| project day, nodesPerDay, ASCnodesPerDay, NonSecurityDataGB, SecurityDataGB, OverageGB, AvgGbPerNode, PerGBDailyCost, PerNodeDailyCost, Recommendation | sort by day asc
//| project day, Recommendation // Comment this line to see details
| sort by day asc

To zapytanie nie jest dokładną replikacją sposobu obliczania użycia, ale będzie działała w większości przypadków w celu zapewnienia zaleceń dotyczących warstwy cenowej.This query is not an exact replication of how usage is calculated, but will work for providing pricing tier recommendations in most cases.

Uwaga

Aby użyć uprawnień pochodzących z zakupu pakietu OMS E1, pakietu OMS E2 lub Add-On OMS dla programu System Center, wybierz warstwę cenową Log Analytics na węzeł .To use the entitlements that come from purchasing OMS E1 Suite, OMS E2 Suite or OMS Add-On for System Center, choose the Log Analytics Per Node pricing tier.

Utwórz alert, gdy zbieranie danych jest wysokieCreate an alert when data collection is high

W tej sekcji opisano sposób tworzenia alertu, który ilość danych w ostatnich 24 godzinach przekroczyła określoną ilość przy użyciu alertów dziennikaAzure monitor.This section describes how to create an alert the data volume in the last 24 hours exceeded a specified amount, using Azure Monitor Log Alerts.

Aby alertować, jeśli ilość danych do rozliczenia w ostatnich 24 godzinach była większa niż 50 GB, wykonaj następujące kroki:To alert if the billable data volume ingested in the last 24 hours was greater than 50 GB, follow these steps:

  • Zdefiniuj warunek alertu — określ obszar roboczy usługi Log Analytics jako element docelowy zasobu.Define alert condition specify your Log Analytics workspace as the resource target.
  • Kryteria alertu — określ następujące informacje:Alert criteria specify the following:
    • Nazwa sygnału — wybierz pozycję Przeszukiwanie dzienników niestandardowychSignal Name select Custom log search
    • Wyszukaj zapytanie do Usage | where IsBillable | summarize DataGB = sum(Quantity / 1000.) | where DataGB > 50 .Search query to Usage | where IsBillable | summarize DataGB = sum(Quantity / 1000.) | where DataGB > 50. Jeśli chcesz użyć innegoIf you want a different
    • Alert logiki****opiera się na liczbie wyników, a warunek jest większy niż***próg* wynoszący 0Alert logic is Based on number of results and Condition is Greater than a Threshold of 0
    • Okres wynoszący 1440 minut i częstotliwość alertów do co 1440 minut, które mają być uruchamiane raz dziennie.Time period of 1440 minutes and Alert frequency to every 1440 minutes to run once a day.
  • Zdefiniuj szczegóły alertu — określ następujące informacje:Define alert details specify the following:
    • Nazwa z ilością danych do rozliczenia większa niż 50 GB w ciągu 24 godzinName to Billable data volume greater than 50 GB in 24 hours
    • Ważność na OstrzeżenieSeverity to Warning

Określ istniejącą grupę akcji lub utwórz nową, tak aby otrzymywać powiadomienie, gdy alert dziennika spełni kryteria.Specify an existing or create a new Action Group so that when the log alert matches criteria, you are notified.

Po otrzymaniu alertu wykonaj kroki opisane w powyższych sekcjach, aby rozwiązać problem, dlaczego użycie jest wyższe niż oczekiwano.When you receive an alert, use the steps in the above sections about how to troubleshoot why usage is higher than expected.

Opłaty za transfer danych przy użyciu Log AnalyticsData transfer charges using Log Analytics

Wysyłanie danych do Log Analytics może spowodować naliczenie opłat za przepustowość danych, jednak ograniczenie do Virtual Machines, w którym zainstalowano agenta Log Analytics i nie ma zastosowania w przypadku używania ustawień diagnostycznych lub innych łączników wbudowanych w platformę Azure.Sending data to Log Analytics might incur data bandwidth charges, however that its limited to Virtual Machines where an Log Analytics agent is installed and doesn't apply when using Diagnostics settings or with other connectors that are built into Azure Sentinel. Zgodnie z opisem na stronie cennika przepustowości platformy Azuretransfer danych między usługami platformy Azure znajdującymi się w dwóch regionach jest naliczany jako wychodzący transfer danych.As described in the Azure Bandwidth pricing page, data transfer between Azure services located in two regions charged as outbound data transfer at the normal rate. Transfer danych przychodzących jest bezpłatny.Inbound data transfer is free. Ta opłata jest jednak bardzo mała (kilka%) w porównaniu z kosztami pozyskiwania danych Log Analytics.However, this charge is very small (few %) compared to the costs for Log Analytics data ingestion. W związku z tym, kontrolując koszty Log Analytics muszą skupić się na pozyskiwanym woluminie danych.Consequently controlling costs for Log Analytics needs to focus on your ingested data volume.

Rozwiązywanie problemów dlaczego Log Analytics nie zbiera już danychTroubleshooting why Log Analytics is no longer collecting data

Jeśli korzystasz z starszej warstwy cenowej bezpłatnej i w ciągu dnia wyślesz więcej niż 500 MB danych, zbieranie danych zostanie zatrzymane w pozostałej części dnia.If you are on the legacy Free pricing tier and have sent more than 500 MB of data in a day, data collection stops for the rest of the day. Osiągnięcie dziennego limitu jest typowym powodem, Log Analytics przestaje zbierać dane lub wydaje się, że brakuje danych.Reaching the daily limit is a common reason that Log Analytics stops collecting data, or data appears to be missing. Log Analytics tworzy zdarzenie typu operacja podczas uruchamiania i zatrzymywania zbierania danych.Log Analytics creates an event of type Operation when data collection starts and stops. Uruchom następujące zapytanie w obszarze wyszukiwania, aby sprawdzić, czy osiągnięto limit dzienny i brakujące dane:Run the following query in search to check if you are reaching the daily limit and missing data:

Operation | where OperationCategory == 'Data Collection Status'

Jeśli zbieranie danych jest zatrzymane, stan OperationStatus ma wartość Ostrzeżenie.When data collection stops, the OperationStatus is Warning. Jeśli zbieranie danych zostało rozpoczęte, stan OperationStatus ma wartość Powodzenie.When data collection starts, the OperationStatus is Succeeded. W poniższej tabeli opisano przyczyny zatrzymania zbierania danych oraz sugerowaną akcję wznowienia zbierania danych:The following table describes reasons that data collection stops and a suggested action to resume data collection:

Zakończenie zbierania danych o przyczynieReason collection stops RozwiązanieSolution
Osiągnięto dzienny limit Twojego obszaru roboczegoDaily cap of your workspace was reached Poczekaj na automatyczne ponowne uruchomienie kolekcji lub Zwiększ dzienny limit ilości danych opisany w temacie Zarządzanie maksymalnym dziennym woluminem danych.Wait for collection to automatically restart, or increase the daily data volume limit described in manage the maximum daily data volume. Dzienny czas resetowania zostanie wyświetlony na stronie dzienne zakończenie .The daily cap reset time is shows on the Daily Cap page.
W Twoim obszarze roboczym osiągnięto współczynnik głośności pozyskiwania danychYour workspace has hit the Data Ingestion Volume Rate Domyślny limit szybkości pozyskiwania danych wysyłanych z zasobów platformy Azure przy użyciu ustawień diagnostycznych wynosi około 6 GB/min na obszar roboczy.The default ingestion volume rate limit for data sent from Azure resources using diagnostic settings is approximately 6 GB/min per workspace. Jest to przybliżona wartość, ponieważ dokładny rozmiar może się różnić w zależności od typu danych, długości dziennika i jego poziomu kompresji.This is an approximate value since the actual size can vary between data types depending on the log length and its compression ratio. Ten limit nie dotyczy danych wysyłanych z agentów ani interfejsu API modułu zbierającego dane.This limit does not apply to data that is sent from agents or Data Collector API. Jeśli dane wysyłane są szybciej do jednego obszaru roboczego, niektóre z nich mogą zostać utracone, a w czasie, w którym limit jest przekroczony, co sześć godzin jest wysyłane zdarzenie do tabeli Operacja w obszarze roboczym.If you send data at a higher rate to a single workspace, some data is dropped, and an event is sent to the Operation table in your workspace every 6 hours while the threshold continues to be exceeded. Jeśli ilość pozyskiwanych danych stale przekracza limit szybkości lub spodziewasz się osiągnąć ten limit wkrótce, możesz zażądać zwiększenia limitu dla obszaru roboczego, wysyłając wiadomość e-mail na adres LAIngestionRate@microsoft.com lub wniosek o pomoc techniczną.If your ingestion volume continues to exceed the rate limit or you are expecting to reach it sometime soon, you can request an increase to your workspace by sending an email to LAIngestionRate@microsoft.com or opening a support request. Zdarzenie, które wskazuje na limit szybkości pozyskiwania danych, można znaleźć przy użyciu zapytania Operation | where OperationCategory == "Ingestion" | where Detail startswith "The rate of data crossed the threshold".The event to look for that indicates a data ingestion rate limit can be found by the query Operation | where OperationCategory == "Ingestion" | where Detail startswith "The rate of data crossed the threshold".
Osiągnięto dzienny limit starszych bezpłatnych warstw cenowychDaily limit of legacy Free pricing tier reached Poczekaj na automatyczne ponowne uruchomienie kolekcji lub Zmień ją na płatną warstwę cenową.Wait until the following day for collection to automatically restart, or change to a paid pricing tier.
Subskrypcja platformy Azure jest w stanie wstrzymania z powodu:Azure subscription is in a suspended state due to:
Bezpłatna wersja próbna została zakończonaFree trial ended
Upłynął okres ważności platformy AzureAzure pass expired
Osiągnięto miesięczny limit wydatków (na przykład w subskrypcji MSDN lub Visual Studio)Monthly spending limit reached (for example on an MSDN or Visual Studio subscription)
Konwersja na płatną subskrypcjęConvert to a paid subscription
Usuń limit lub zaczekaj na zresetowanie limituRemove limit, or wait until limit resets

Aby otrzymywać powiadomienia, gdy zbieranie danych zostanie zatrzymane, wykonaj kroki opisane w temacie Tworzenie alertu dziennego zakończenia danych , aby otrzymywać powiadomienia o zatrzymaniu zbierania danych.To be notified when data collection stops, use the steps described in Create daily data cap alert to be notified when data collection stops. Wykonaj kroki opisane w sekcji Tworzenie grupy akcji , aby skonfigurować akcję poczty e-mail, elementu webhook lub elementu Runbook dla reguły alertu.Use the steps described in create an action group to configure an e-mail, webhook, or runbook action for the alert rule.

Podsumowanie limitówLimits summary

Istnieją pewne dodatkowe limity Log Analytics, które są zależne od warstwy cenowej Log Analytics.There are some additional Log Analytics limits, some of which depend on the Log Analytics pricing tier. Są one udokumentowane w ramach subskrypcji platformy Azure i ograniczeń usługi, przydziałów i ograniczeń.These are documented at Azure subscription and service limits, quotas, and constraints.

Następne krokiNext steps