Azure Monitor-Protokolle: Preisdetails

Bei den wichtigsten Gebühren für die meisten Azure Monitor-Implementierungen handelt es sich in der Regel um die Erfassung und Aufbewahrung von Daten in Ihren Log Analytics-Arbeitsbereichen. Mehrere Features in Azure Monitor sind nicht mit direkten Kosten verbunden, tragen aber zu den gesammelten Arbeitsbereichsdaten bei. In diesem Artikel wird beschrieben, wie Datengebühren für Ihre Log Analytics-Arbeitsbereiche und Application Insights-Ressourcen berechnet werden und welche verschiedenen Konfigurationsoptionen sich auf Ihre Kosten auswirken.

Preismodell

Log Analytics nutzt standardmäßig ein nutzungsbasiertes Zahlungsmodell auf Grundlage des erfassten Datenvolumens und der Datenaufbewahrung. Jeder Log Analytics-Arbeitsbereich wird als separater Dienst abgerechnet und auf der Rechnung für Ihr Azure-Abonnement aufgeführt. Die Preise für Log Analytics werden regional festgelegt. Die bei der Erfassung anfallende Datenmenge kann erheblich sein und hängt von folgenden Faktoren ab:

  • Den aktivierten Verwaltungslösungen und deren Konfiguration
  • Anzahl und Typ der überwachten Ressourcen
  • Die Typen von Daten, die von jeder überwachten Ressource gesammelt wurden

Berechnung der Datengröße

Das Datenvolumen wird als Größe der gespeicherten Daten in GB (10^9 Bytes) gemessen. Die Datengröße eines einzelnen Datensatzes wird anhand einer Zeichenfolgendarstellung der Spalten berechnet, die im Log Analytics-Arbeitsbereich für diesen Datensatz gespeichert werden, unabhängig davon, ob die Daten von einem Agent gesendet oder während des Erfassungsvorgangs hinzugefügt werden. Dazu gehören alle benutzerdefinierten Spalten, die von der Protokollerfassungs-API hinzugefügt werden, Transformationen oder benutzerdefinierte Felder, die bei der Erfassung von Daten hinzugefügt und dann im Arbeitsbereich gespeichert werden.

Hinweis

Die Berechnung des abrechenbaren Datenvolumens ist allgemein wesentlich kleiner als die Größe des gesamten eingehenden in JSON enthaltenen Ereignisses. Wenn der Effekt der von der Abrechnung ausgeschlossenen Standardspalten mit einbezogen wird, liegt die abgerechnete Größe im Durchschnitt aller Ereignistypen etwa 25 % unter der Größe der eingehenden Daten. Bei kleinen Ereignissen kann dies bis zu 50 % betragen. Es ist wichtig, diese Berechnung der abgerechneten Datenmenge zu verstehen, um Kosten zu schätzen und mit anderen Preismodellen vergleichen zu können.

Ausgeschlossene Spalten

Die folgenden Standardspalten, die in allen Tabellen enthalten sind, werden bei der Berechnung der Datensatzgröße nicht berücksichtigt. Alle anderen Spalten, die in Log Analytics gespeichert werden, sind in der Berechnung der Datensatzgröße enthalten.

  • _ResourceId
  • _SubscriptionId
  • _ItemId
  • _IsBillable
  • _BilledSize
  • Type

Ausgeschlossene Tabellen

Bei einigen Tabellen fallen keinerlei Gebühren für die Datenerfassung an. Dazu gehören AzureActivity, Heartbeat, Nutzung und Vorgang. Dies wird immer durch die Spalte _IsBillable angezeigt, die angibt, ob ein Datensatz von der Abrechnung für die Datenerfassung ausgeschlossen wurde.

Gebühren für andere Lösungen und Dienste

Einige Lösungen verfügen über spezifischere Richtlinien für die kostenlose Datenerfassung. So sind beispielsweise bei Azure Migrate Daten zur Visualisierung von Abhängigkeiten für die ersten 180 Tage einer Serverbewertung kostenlos. Dienste wie Microsoft Defender für Cloud, Microsoft Sentinel und Konfigurationsverwaltung weisen eigene Preismodelle auf.

In der Dokumentation zu den verschiedenen Diensten und Lösungen finden Sie Informationen zu den jeweiligen Abrechnungsberechnungen.

Mindestabnahmen

Zusätzlich zum Modell der nutzungsbasierten Bezahlung bietet Log Analytics Mindestabnahme-Tarife. Mit diesen Tarifen können Sie Einsparungen von bis zu 30 Prozent gegenüber der nutzungsbasierten Zahlung erzielen. Bei der Mindestabnahme verpflichten Sie sich dazu, eine Datenerfassung für einen Arbeitsbereich ab 100 GB/Tag zu einem niedrigeren Preis als bei der nutzungsbasierten Zahlung zu erwerben. Jegliche Nutzung über die Mindestabnahme hinaus (Überschreitung) wird zu demselben Preis pro GB wie bei der aktuellen Mindestabnahme abgerechnet. Die Mindestabnahme-Tarife haben einen Verpflichtungszeitraum von 31 Tagen ab dem Zeitpunkt, zu dem ein Mindestabnahme-Tarif ausgewählt wird.

  • Während dieses Verpflichtungszeitraums können Sie zu einer höheren Mindestabnahme wechseln (hierbei beginnt der 31-tägige Verpflichtungszeitraum erneut), aber es ist erst nach Ablauf des Verpflichtungszeitraums möglich, zur nutzungsbasierten Zahlung oder zu einer niedrigeren Mindestabnahme zurückzukehren.
  • Am Ende des Verpflichtungszeitraums behält der Arbeitsbereich den ausgewählten Mindestabnahme-Tarif bei, und der Arbeitsbereich kann jederzeit in die nutzungsbasierte Bezahlung oder in einen anderen Mindestabnahme-Tarif verschoben werden.

Die Abrechnung für Mindestabnahmen erfolgt pro Arbeitsbereich und täglich. Wenn der Arbeitsbereich Teil eines dedizierten Clusters ist, erfolgt die Abrechnung für den Cluster (siehe unten). Eine detaillierte Auflistung von Mindestabnahmen und deren Preisen finden Sie unter Azure Monitor – Preise.

Azure-Rabatte bei Mindestabnahme wie diejenigen im Rahmen von Microsoft Enterprise Agreements gelten für die Mindestabnahmepreise für Azure Monitor-Protokolle ebenso für die Preise bei nutzungsbasierter Zahlung (ob die Nutzung pro Arbeitsbereich oder dediziertem Cluster in Rechnung gestellt wird).

Tipp

Das Menüelement Nutzung und geschätzte Kosten für jeden Log Analytics-Arbeitsbereich zeigt eine Schätzung Ihrer monatlichen Gebühren für die jeweilige Mindestabnahmestufe. Sie sollten diese Informationen regelmäßig überprüfen, um festzustellen, ob Sie Ihre Gebühren durch den Wechsel zu einer anderen Stufe reduzieren können. Informationen zu dieser Ansicht finden Sie unter Nutzung und geschätzte Kosten.

Dedicated-Cluster

Ein dedizierter Cluster für Azure Monitor-Protokolle ist eine Sammlung von Arbeitsbereichen in einem einzigen verwalteten Azure Data Explorer-Cluster. Dedizierte Cluster unterstützen erweiterte Features wie kundenseitig verwaltete Schlüssel und verwenden dasselbe Preismodell mit Mindestabnahme wie Arbeitsbereiche, obwohl sie eine Mindestabnahme von mindestens 500 GB/Tag aufweisen müssen. Jegliche Nutzung über die Mindestabnahme hinaus (Überschreitung) wird zu demselben Preis pro GB wie bei der aktuellen Mindestabnahme abgerechnet. Für Cluster gibt es keine nutzungsbasierte Bezahlung.

Die Mindestabnahme für Cluster weist einen Verpflichtungszeitraum von 31 Tagen nach Erhöhung der Mindestabnahme auf. Während des Verpflichtungszeitraums kann die Mindestabnahme nicht herabgesetzt, aber jederzeit erhöht werden. Wenn Arbeitsbereiche einem Cluster zugeordnet sind, erfolgt die Abrechnung der Datenerfassung für diese Arbeitsbereiche auf Clusterebene anhand der konfigurierten Mindestabnahme.

Es gibt zwei Abrechnungsmodi für einen Cluster, die Sie beim Erstellen des Clusters angeben.

  • Cluster (Standardeinstellung) : Erfasste Daten werden auf Clusterebene abgerechnet. Die erfassten Datenmengen aus den einzelnen Arbeitsbereichen, die einem Cluster zugeordnet sind, werden aggregiert, um die tägliche Abrechnung für den Cluster zu berechnen. Zuordnungen pro Knoten von Microsoft Defender für Cloud gelten auf Arbeitsbereichsebene vor dieser Aggregation von Daten für alle Arbeitsbereiche im Cluster.

  • Arbeitsbereiche: Die Mindestabnahmekosten für Ihren Cluster werden anteilig auf die Arbeitsbereiche im Cluster umgelegt, und zwar nach dem Datenerfassungsvolumen jedes Arbeitsbereichs (nach Berücksichtigung der Zuweisungen pro Knoten von Microsoft Defender für Cloud für jeden Arbeitsbereich).

    Wenn das gesamte Datenvolumen, das an einem Tag in einem Cluster erfasst wird, kleiner als die Mindestabnahme ist, wird für jeden Arbeitsbereich das jeweilige Datenerfassungsvolumen zum effektiven Mindestabnahmetarif pro GB abgerechnet. Hierzu wird jeweils ein Teil der Mindestabnahmemenge in Rechnung gestellt. Der nicht genutzte Teil der Mindestabnahmemenge wird dann für die Clusterressource in Rechnung gestellt.

    Wenn das gesamte Datenvolumen, das an einem Tag in einem Cluster erfasst wird, über der Mindestabnahme liegt, wird für die einzelnen Arbeitsbereiche jeweils ein Teil der Mindestabnahme (basierend auf dem Anteil der an diesem Tag erfassten Daten) abgerechnet, und für jeden Arbeitsbereich wird jeweils ein Teil der erfassten Daten in Rechnung gestellt, die über die Mindestabnahme hinausgehen. Wenn das gesamte Datenvolumen, das an einem Tag in einem Arbeitsbereich erfasst wird, oberhalb der Mindestabnahme liegt, wird nichts für die Clusterressource abgerechnet.

In Clusterabrechnungsoptionen wird die Datenaufbewahrung für die einzelnen Arbeitsbereiche abgerechnet. Die Clusterabrechnung beginnt mit der Clustererstellung, unabhängig davon, ob dem Cluster Arbeitsbereiche zugeordnet sind.

Wenn Sie Arbeitsbereiche mit einem Cluster verknüpfen, wird der Tarif in Cluster geändert, und die Datenerfassung wird basierend auf der Mindestabnahme des Clusters abgerechnet. Arbeitsbereiche, die einem Cluster zugeordnet sind, weisen keinen eigenen Tarif mehr auf. Die Verknüpfung von Arbeitsbereichen mit einem Cluster kann jederzeit aufgehoben werden, und der Tarif ändert sich in pro GB.

Wenn Ihr verknüpfter Arbeitsbereich den alten Tarif auf Knotenbasis verwendet, wird er nicht mehr pro Knoten, sondern basierend auf den erfassten Daten gemäß der Mindestabnahme des Clusters abgerechnet. Datenzuordnungen pro Knoten von Microsoft Defender für Cloud werden weiterhin angewendet.

Ausführliche Informationen zum Erstellen eines dedizierten Clusters und zum Angeben des Abrechnungstyps finden Sie unter Erstellen eines dedizierten Clusters.

Standardprotokolle

Sie können bestimmte Tabellen in einem Log Analytics-Arbeitsbereich so konfigurieren, dass Standardprotokolle verwendet werden. Daten in diesen Tabellen weisen eine deutlich reduzierte Erfassungsgebühr und einen begrenzten Aufbewahrungszeitraum auf. Für die Suche in diesen Tabellen fällt jedoch eine Gebühr an. Standardprotokolle sind für ausführliche Protokolle mit hohem Volumen gedacht, die Sie zum Debuggen, zur Problembehandlung und zur Überwachung verwenden, jedoch nicht für Analysen und Warnungen.

Die Gebühr für die Suche in Standardprotokollen basiert auf der Anzahl von GB an Daten, die bei der Suche überprüft werden.

Ausführliche Informationen zu Standardprotokollen sowie deren Konfiguration und die Abfrage enthaltener Daten finden Sie unter Konfigurieren von Standardprotokollen in Azure Monitor.

Protokolldatenaufbewahrung und -archivierung

Zusätzlich zur Datenerfassung fällt eine Gebühr für die Aufbewahrung von Daten in jedem Log Analytics-Arbeitsbereich an. Sie können den Aufbewahrungszeitraum für den gesamten Arbeitsbereich oder für jede Tabelle festlegen. Nach diesem Zeitraum werden die Daten entweder entfernt oder archiviert. Archivierte Protokolle weisen eine reduzierte Aufbewahrungsgebühr auf, und für die Suche darin fällt eine Gebühr an. Verwenden Sie Archivprotokolle, um die Kosten für Daten zu verringern, die Sie für die Compliance oder zur gelegentlichen Untersuchung speichern müssen.

Ausführliche Informationen zur Datenaufbewahrung und -archivierung, einschließlich der Konfiguration dieser Einstellungen und des Zugriffs auf archivierte Daten, finden Sie unter Konfigurieren von Datenaufbewahrungs- und Archivrichtlinien in Azure Monitor-Protokollen.

Suchaufträge

Für die Suche in archivierten Protokollen werden Suchaufträge verwendet. Suchaufträge sind asynchrone Abfragen, die Datensätze zur weiteren Analyse in eine neue Suchtabelle in Ihrem Arbeitsbereich abrufen. Suchaufträge werden anhand der Anzahl von GB an Daten berechnet, die jeden Tag überprüft werden und auf die für die Durchführung der Suche zugegriffen wird.

Protokolldatenwiederherstellung

In Situationen, in denen ältere oder archivierte Protokolle intensiv mit den vollständigen Abfragefunktionen für die Analyse abgefragt werden müssen, stellt die Datenwiederherstellung ein leistungsfähiges Tool dar. Mit dem Wiederherstellungsvorgang wird ein bestimmter Zeitbereich von Daten in einer Tabelle im Cache für heiße Daten für Hochleistungsabfragen bereitgestellt. Sie können die Daten später verwerfen, wenn Sie fertig sind. Die Protokolldatenwiederherstellung wird nach Menge der wiederhergestellten Daten berechnet, und nach dem Zeitraum, über den die Wiederherstellung aktiv bleibt. Die für eine Datenwiederherstellung berechneten Mindestwerte sind 2 TB und 12 Stunden. Wiederhergestellte Daten, die 2 TB und/oder eine Dauer von 12 Stunden überschreiten, werden anteilig in Rechnung gestellt.

Protokolldatenexport

Der Datenexport im Log Analytics-Arbeitsbereich ermöglicht es Ihnen, Daten nach ausgewählten Tabellen in Ihrem Arbeitsbereich beim Eintreffen in der Azure Monitor-Pipeline fortlaufend in ein Azure Storage-Konto oder in Azure Event Hubs zu exportieren. Die Gebühren für die Verwendung des Datenexports basieren auf der Menge der exportierten Daten. Die Größe der exportierten Daten ist die Anzahl von Bytes bei den exportierten Daten im JSON-Format.

Abrechnung für Application Insights

Da arbeitsbereichsbasierte Application Insights-Ressourcen ihre Daten in einem Log Analytics-Arbeitsbereich speichern, erfolgt die Abrechnung für die Datenerfassung und -aufbewahrung über den Arbeitsbereich, in dem sich die Application Insights-Daten befinden. Auf diese Weise können Sie alle Optionen des Log Analytics-Preismodells nutzen. Dies schließt auch Mindestabnahmen zusätzlich zur nutzungsbasierten Zahlung ein.

Für die Datenerfassung und Datenaufbewahrung bei einer klassischen Application Insights-Ressource gilt dieselbe nutzungsbasierte Zahlung wie bei arbeitsbereichsbasierten Ressourcen, doch können keine Mindestabnahmen genutzt werden.

Telemetriedaten aus Pingtests und mehrstufigen Tests werden ebenso wie die Nutzung anderer Telemetriedaten aus Ihrer App in Rechnung gestellt. Die Nutzung von Webtests und die Aktivierung von Warnungen für benutzerdefinierte Metrikdimensionen wird weiterhin über Application Insights gemeldet. Für die Verwendung von Live Metrics Stream fällt keine Gebühr für das Datenvolumen an.

Ausführliche Informationen zu Legacytarifen, die für Early Adopters von Application Insights verfügbar sind, finden Sie unter Application Insights: Legacy-Enterprise-Tarif (pro Knoten).

Arbeitsbereiche mit Microsoft Sentinel

Wenn Microsoft Sentinel in einem Log Analytics-Arbeitsbereich aktiviert ist, unterliegen alle in diesem Arbeitsbereich gesammelten Daten zusätzlich zu Log Analytics-Gebühren auch Sentinel-Gebühren. Aus diesem Grund trennen Sie häufig die Sicherheits- und Betriebsdaten in verschiedenen Arbeitsbereichen, sodass keine Sentinel-Gebühren für Betriebsdaten anfallen. Es kann Situationen geben, in denen eine Kombination dieser Daten tatsächlich zu Kosteneinsparungen führen kann. Dies ist in der Regel der Fall, wenn Sie nicht genügend Sicherheits- und Betriebsdaten sammeln, um jeweils eine Mindestabnahmestufe zu erreichen, die kombinierten Daten aber für eine Mindestabnahme ausreichend sind. Ausführliche Informationen und eine Beispielkostenberechnung finden Sie im Artikel Entwerfen der Microsoft Sentinel-Arbeitsbereichsarchitektur unter Kombinieren Ihrer SOC-Daten und Nicht-SOC-Daten.

Arbeitsbereiche mit Microsoft Defender für Cloud

Microsoft Defender für Server (Teil von Defender für Cloud)berechnet die Anzahl der überwachten Dienste und stellt eine Datenzuordnung von 500 MB/Server/Tag bereit, die auf die folgende Untergruppe von Sicherheitsdatentypen angewendet wird:

Die Anzahl der überwachten Server wird pro Stunde berechnet. Die täglichen Datenzuordnungsbeiträge von jedem überwachten Server werden auf Arbeitsbereichsebene aggregiert. Wenn sich der Arbeitsbereich in der alten Preisstufe "Pro Knoten" befindet, werden die Zuweisungen für Microsoft Defender für Cloud und Log Analytics kombiniert und gemeinsam auf alle abrechenbaren erfassten Daten angewendet.

Legacytarife

Abonnements, die am 2. April 2018 einen Log Analytics-Arbeitsbereich oder eine Application Insights Ressource enthielten oder mit einem Enterprise Agreement verknüpft sind, das vor dem 1. Februar 2019 begann und noch immer aktiv ist, haben weiterhin Zugriff auf die folgenden Legacytarife:

  • Eigenständig (pro GB)
  • Pro Knoten (OMS)

Der Zugriff auf den veralteten Tarif „Kostenlose Testversion“ wird ab dem 1. Juli 2022 weiter eingeschränkt (siehe unten).

Tarif „Kostenlose Testversion“

Für Arbeitsbereiche im Tarif Kostenlose Testversion ist die tägliche Datenerfassung auf 500 MB beschränkt (mit Ausnahme von Sicherheitsdatentypen, die von Microsoft Defender für Cloud gesammelt werden). Darüber hinaus ist die Datenaufbewahrung auf sieben Tage beschränkt. Der Tarif „Kostenlose Testversion“ dient nur zu Evaluierungszwecken. Für den Free-Tarif wird keine SLA bereitgestellt.

Hinweis

Das Erstellen neuer Arbeitsbereiche innerhalb des Tarifs „Kostenlose Testversion“ oder die Einstufung vorhandener Arbeitsbereiche in diesen Tarif ist bis zum 1. Juli 2022 möglich.

Tarif „Eigenständig“

Die Nutzung des Tarifs Eigenständig wird anhand des erfassten Datenvolumens abgerechnet. Dieses wird im Log Analytics-Dienst gemeldet, und die Verbrauchseinheit heißt „Analysierte Daten“. Für Arbeitsbereiche im Tarif „Eigenständig“ gilt eine vom Benutzer festlegbare Datenaufbewahrungsfrist von 30 bis 730 Tagen. Arbeitsbereiche im Tarif „Eigenständig“ unterstützen nicht die Verwendung von Basisprotokollen.

Tarif „Pro Knoten“

Der Tarif Pro Knoten wird pro überwachter VM (Knoten) mit einer Granularität von einer Stunde berechnet. Für jeden überwachten Knoten werden dem Arbeitsbereich 500 MB Daten pro Tag zugeteilt, die nicht berechnet werden. Diese Zuteilung wird auf Stundenbasis berechnet und täglich auf Arbeitsbereichsebene aggregiert. Daten, die über die aggregierte tägliche Datenzuteilung hinaus erfasst werden, werden pro GB als Datenüberschreitung berechnet. Der Dienst wird auf Ihrer Rechnung als Insight & Analytics für die Log Analytics-Nutzung ausgewiesen, wenn für den Arbeitsbereich der Tarif „Pro Knoten“ festgelegt ist. Für Arbeitsbereiche im Tarif „Pro Knoten“ gilt eine vom Benutzer festlegbare Datenaufbewahrungsfrist von 30 bis 730 Tagen. Arbeitsbereiche im Tarif „Pro Knoten“ unterstützen nicht die Verwendung von Basisprotokollen. Die Nutzung wird mit drei Verbrauchseinheiten gemeldet:

  • Knoten: der Verbrauch für die Anzahl der überwachten Knoten (VMs) in Einheiten von Knotenmonaten.
  • Datenüberschreitung pro Knoten: Anzahl von GB an Daten, die über die aggregierte Datenzuordnung hinaus erfasst wurden.
  • Pro Knoten enthaltene Daten: Menge der erfassten Daten, die durch die aggregierte Datenzuordnung abgedeckt wurden. Diese Verbrauchseinheit wird auch verwendet, wenn der Arbeitsbereich in allen Tarifen verfügbar ist, um die Menge der von Microsoft Defender für Cloud abgedeckten Daten anzuzeigen.

Tipp

Falls für Ihren Arbeitsbereich Zugriff auf den Tarif Pro Knoten besteht und Sie sich die Frage stellen, ob die Kosten beim Tarif mit nutzungsbasierter Zahlung niedriger wären, können Sie die unten angegebenen Abfrage für eine Empfehlung nutzen.

Tarif „Standard“ und „Premium“

Vor April 2016 erstellte Arbeitsbereiche haben weiterhin Zugriff auf die ursprünglichen Tarife Standard und Premium, für die eine feste Datenaufbewahrung von 30 bzw. 365 Tagen gilt. Neue Arbeitsbereiche können nicht im Tarif Standard oder Premium erstellt werden, und wenn ein Arbeitsbereich aus diesen Tarifen verschoben wird, kann er nicht zurück verschoben werden. Arbeitsbereiche in diesen Tarifen unterstützen nicht die Verwendung von Basisprotokollen. Die Verbrauchseinheiten für die Datenerfassung werden bei diesen veralteten Tarifen auf Ihrer Azure-Rechnung als „Analysierte Daten“ bezeichnet.

Microsoft Defender für Cloud mit Legacytarifen

Nachfolgend sind Überlegungen zu den verschiedenen Log Analytics-Legacytarifen und der Berechnung der Nutzung für Microsoft Defender für Cloud angegeben.

  • Wenn für den Arbeitsbereich der Legacy-Tarif „Standard“ oder „Premium“ gilt, wird Microsoft Defender für Cloud nur für die Log Analytics-Datenerfassung und nicht pro Knoten berechnet.
  • Wenn sich der Arbeitsbereich im Legacy-Tarif „Pro Knoten“ befindet, wird Microsoft Defender für Cloud mithilfe des aktuellen knotenbasierten Microsoft Defender für Cloud-Preismodells abgerechnet.
  • Wenn Microsoft Defender für Cloud vor dem 19. Juni 2017 aktiviert wurde, wird Microsoft Defender für Cloud in anderen Tarifen (einschließlich Mindestabnahmetarifen) nur die Log Analytics-Datenerfassung in Rechnung gestellt. Andernfalls wird Microsoft Defender für Cloud mit dem aktuellen knotenbasierten Preismodell von Microsoft Defender für Cloud abgerechnet.

Weitere Details zu den Einschränkungen der Tarife finden Sie unter Azure-Abonnement- und -Dienstgrenzen, Kontingente und Einschränkungen.

Keiner der Legacytarife bietet regionsbezogene Preise.

Hinweis

Wenn Sie die Berechtigungen nutzen möchten, die Sie durch den Kauf der OMS E1-Suite, OMS E2-Suite oder des OMS-Add-Ons für System Center erwerben, wählen Sie den Tarif Pro Knoten für Log Analytics aus.

Bewerten des Legacytarifs „Pro Knoten“

Es ist häufig schwer festzustellen, ob für Arbeitsbereiche mit Zugriff auf den Legacytarif Pro Knoten anstelle des derzeitigen Tarifs ein aktueller Tarif wie Nutzungsbasierte Zahlung oder Mindestabnahme besser geeignet ist. Hierfür muss der Kunde einerseits mit den Fixkosten pro überwachtem Knoten im Tarif „Pro Knoten“ und der enthaltenen Datenzuordnung von 500 MB pro Knoten und Tag vertraut sein und andererseits auch wissen, welche Kosten für die erfassten Daten im Tarif mit nutzungsbasierter Zahlung (pro GB) anfallen.

Mithilfe der folgenden Abfrage können Sie eine Empfehlung zum optimalen Tarif erhalten, die auf den Nutzungsmustern des Arbeitsbereichs basiert. Bei dieser Abfrage werden die überwachten Knoten überprüft und die Daten ermittelt, die in den letzten sieben Tagen in einem Arbeitsbereich erfasst wurden. Für jeden Tag wird dann ausgewertet, welcher Tarif optimal gewesen wäre. Zum Verwenden der Abfrage müssen Sie:

  • angeben, ob der Arbeitsbereich Microsoft Defender für Cloud verwendet, indem Sie workspaceHasSecurityCenter auf True oder False festlegen.
  • die Preise aktualisieren, wenn Sie über bestimmte Rabatte verfügen.
  • die Anzahl der Tage angeben, die rückwirkend ermittelt und analysiert werden sollen, indem Sie daysToEvaluate festlegen. Dies ist hilfreich, wenn die Abfrage bei Berücksichtigung der Daten von sieben Tagen zu lange dauert.
// Set these parameters before running query
// For Pay-As-You-Go (per-GB) and commitment tier pricing details, see https://azure.microsoft.com/pricing/details/monitor/.
// You can see your per-node costs in your Azure usage and charge data. For more information, see https://docs.microsoft.com/en-us/azure/cost-management-billing/understand/download-azure-daily-usage.  
let PerNodePrice = 15.; // Monthly price per monitored node
let PerNodeOveragePrice = 2.30; // Price per GB for data overage in the Per Node pricing tier
let PerGBPrice = 2.30; // Enter the Pay-as-you-go price for your workspace's region (from https://azure.microsoft.com/pricing/details/monitor/)
let CommitmentTier100Price = 196.; // Enter your price for the 100 GB/day commitment tier
let CommitmentTier200Price = 368.; // Enter your price for the 200 GB/day commitment tier
let CommitmentTier300Price = 540.; // Enter your price for the 300 GB/day commitment tier
let CommitmentTier400Price = 704.; // Enter your price for the 400 GB/day commitment tier
let CommitmentTier500Price = 865.; // Enter your price for the 500 GB/day commitment tier
let CommitmentTier1000Price = 1700.; // Enter your price for the 1000 GB/day commitment tier
let CommitmentTier2000Price = 3320.; // Enter your price for the 2000 GB/day commitment tier
let CommitmentTier5000Price = 8050.; // Enter your price for the 5000 GB/day commitment tier
// ---------------------------------------
let SecurityDataTypes=dynamic(["SecurityAlert", "SecurityBaseline", "SecurityBaselineSummary", "SecurityDetection", "SecurityEvent", "WindowsFirewall", "MaliciousIPCommunication", "LinuxAuditLog", "SysmonEvent", "ProtectionStatus", "WindowsEvent", "Update", "UpdateSummary"]);
let StartDate = startofday(datetime_add("Day",-1*daysToEvaluate,now()));
let EndDate = startofday(now());
union * 
| where TimeGenerated >= StartDate and TimeGenerated < EndDate
| extend computerName = tolower(tostring(split(Computer, '.')[0]))
| where computerName != ""
| summarize nodesPerHour = dcount(computerName) by bin(TimeGenerated, 1h)  
| summarize nodesPerDay = sum(nodesPerHour)/24.  by day=bin(TimeGenerated, 1d)  
| join kind=leftouter (
    Heartbeat 
    | where TimeGenerated >= StartDate and TimeGenerated < EndDate
    | where Computer != ""
    | summarize ASCnodesPerHour = dcount(Computer) by bin(TimeGenerated, 1h) 
    | extend ASCnodesPerHour = iff(workspaceHasSecurityCenter, ASCnodesPerHour, 0)
    | summarize ASCnodesPerDay = sum(ASCnodesPerHour)/24.  by day=bin(TimeGenerated, 1d)   
) on day
| join (
    Usage 
    | where TimeGenerated >= StartDate and TimeGenerated < EndDate
    | where IsBillable == true
    | extend NonSecurityData = iff(DataType !in (SecurityDataTypes), Quantity, 0.)
    | extend SecurityData = iff(DataType in (SecurityDataTypes), Quantity, 0.)
    | summarize DataGB=sum(Quantity)/1000., NonSecurityDataGB=sum(NonSecurityData)/1000., SecurityDataGB=sum(SecurityData)/1000. by day=bin(StartTime, 1d)  
) on day
| extend AvgGbPerNode =  NonSecurityDataGB / nodesPerDay
| extend OverageGB = iff(workspaceHasSecurityCenter, 
             max_of(DataGB - 0.5*nodesPerDay - 0.5*ASCnodesPerDay, 0.), 
             max_of(DataGB - 0.5*nodesPerDay, 0.))
| extend PerNodeDailyCost = nodesPerDay * PerNodePrice / 31. + OverageGB * PerNodeOveragePrice
| extend billableGB = iff(workspaceHasSecurityCenter,
             (NonSecurityDataGB + max_of(SecurityDataGB - 0.5*ASCnodesPerDay, 0.)), DataGB )
| extend PerGBDailyCost = billableGB * PerGBPrice
| extend CommitmentTier100DailyCost = CommitmentTier100Price + max_of(billableGB - 100, 0.)* CommitmentTier100Price/100.
| extend CommitmentTier200DailyCost = CommitmentTier200Price + max_of(billableGB - 200, 0.)* CommitmentTier200Price/200.
| extend CommitmentTier300DailyCost = CommitmentTier300Price + max_of(billableGB - 300, 0.)* CommitmentTier300Price/300.
| extend CommitmentTier400DailyCost = CommitmentTier400Price + max_of(billableGB - 400, 0.)* CommitmentTier400Price/400.
| extend CommitmentTier500DailyCost = CommitmentTier500Price + max_of(billableGB - 500, 0.)* CommitmentTier500Price/500.
| extend CommitmentTier1000DailyCost = CommitmentTier1000Price + max_of(billableGB - 1000, 0.)* CommitmentTier1000Price/1000.
| extend CommitmentTier2000DailyCost = CommitmentTier2000Price + max_of(billableGB - 2000, 0.)* CommitmentTier2000Price/2000.
| extend CommitmentTier5000DailyCost = CommitmentTier5000Price + max_of(billableGB - 5000, 0.)* CommitmentTier5000Price/5000.
| extend MinCost = min_of(
    PerNodeDailyCost,PerGBDailyCost,CommitmentTier100DailyCost,CommitmentTier200DailyCost,
    CommitmentTier300DailyCost, CommitmentTier400DailyCost, CommitmentTier500DailyCost, CommitmentTier1000DailyCost, CommitmentTier2000DailyCost, CommitmentTier5000DailyCost)
| extend Recommendation = case(
    MinCost == PerNodeDailyCost, "Per node tier",
    MinCost == PerGBDailyCost, "Pay-as-you-go tier",
    MinCost == CommitmentTier100DailyCost, "Commitment tier (100 GB/day)",
    MinCost == CommitmentTier200DailyCost, "Commitment tier (200 GB/day)",
    MinCost == CommitmentTier300DailyCost, "Commitment tier (300 GB/day)",
    MinCost == CommitmentTier400DailyCost, "Commitment tier (400 GB/day)",
    MinCost == CommitmentTier500DailyCost, "Commitment tier (500 GB/day)",
    MinCost == CommitmentTier1000DailyCost, "Commitment tier (1000 GB/day)",
    MinCost == CommitmentTier2000DailyCost, "Commitment tier (2000 GB/day)",
    MinCost == CommitmentTier5000DailyCost, "Commitment tier (5000 GB/day)",
    "Error"
)
| project day, nodesPerDay, ASCnodesPerDay, NonSecurityDataGB, SecurityDataGB, OverageGB, AvgGbPerNode, PerGBDailyCost, PerNodeDailyCost, 
    CommitmentTier100DailyCost, CommitmentTier200DailyCost, CommitmentTier300DailyCost, CommitmentTier400DailyCost, CommitmentTier500DailyCost, CommitmentTier1000DailyCost, CommitmentTier2000DailyCost, CommitmentTier5000DailyCost, Recommendation 
| sort by day asc
//| project day, Recommendation // Comment this line to see details
| sort by day asc

Diese Abfrage spiegelt nicht exakt wider, wie der Verbrauch berechnet wird, bietet aber in den meisten Fällen Empfehlungen für einen Tarif.

Hinweis

Wenn Sie die Berechtigungen nutzen möchten, die Sie durch den Kauf der OMS E1-Suite, OMS E2-Suite oder des OMS-Add-Ons für System Center erwerben, wählen Sie den Tarif Pro Knoten für Log Analytics aus.

Nächste Schritte