Establecer un límite diario en el área de trabajo de Log Analytics
Un límite diario en un área de trabajo de Log Analytics le permite evitar aumentos inesperados en los cargos por ingesta de datos al detener la recopilación de datos facturables durante el resto del día cuando se alcanza un umbral especificado. Este artículo describe cómo funciona el límite diario y cómo configurar uno en el área de trabajo.
Importante
Se debe tener cuidado al configurar un límite diario porque cuando se detiene la recopilación de datos, su capacidad de observar y recibir alertas cuando las condiciones de salud de sus recursos se verán afectadas. También puede afectar a otros servicios y soluciones de Azure cuya funcionalidad puede depender de que haya datos actualizados en el área de trabajo. El objetivo no debería ser alcanzar el límite diario con regularidad, sino más bien usarlo como un método poco frecuente para evitar cargos no planificados resultantes de un aumento inesperado del volumen de datos recopilados.
Para descubrir estrategias que le ayudarán a reducir los costes de Azure Monitor, consulte Optimización de costes y Azure Monitor.
Permisos necesarios
| Acción | Permisos o roles necesarios |
|---|---|
| Establecer el límite diario en un área de trabajo de Log Analytics | Permisos de Microsoft.OperationalInsights/workspaces/write para las áreas de trabajo de Log Analytics que administre, como los que proporciona el rol incorporado de Colaborador de Log Analytics, por ejemplo. |
| Establecer el límite diario en un recurso de Application Insights clásico | microsoft.insights/components/CurrentBillingFeatures/write permisos para los recursos de Application Insights clásicos en los que estableció el límite diario, como los que proporciona el rol integrado Colaborador de componentes de Application Insights, por ejemplo. |
| Crear una alerta cuando se alcanza el límite diario de un área de trabajo de Log Analytics | microsoft.insights/scheduledqueryrules/write permisos, según lo proporcionado por el rol integrado Colaborador de supervisión, por ejemplo |
| Crear una alerta cuando se alcanza el límite diario de un recurso de Application Insights clásico | microsoft.insights/activitylogalerts/write permisos, según lo proporcionado por el rol integrado Colaborador de supervisión, por ejemplo |
| Visualización del efecto del límite diario | Permisos de Microsoft.OperationalInsights/workspaces/query/*/read para las áreas de trabajo de Log Analytics que consulte, como los que proporciona el Rol integrado de lector de Log Analytics, por ejemplo. |
Funcionamiento del límite diario
Cada área de trabajo tiene un límite diario que define su propio volumen de datos. Cuando se alcanza el límite diario, aparece un aviso en la parte superior de la página del área de trabajo de Log Analytics seleccionada en el portal de Azure, y se envía un evento de operación a la tabla Operation de la categoría LogManagement. De manera opcional, puede crear una regla de alerta para enviar una alerta cuando se cree este evento.
La recopilación de datos se reanuda a la hora de reinicio, que es una hora del día diferente para cada área de trabajo. Esta hora de restablecimiento no se puede configurar. De manera opcional, puede crear una regla de alerta para enviar una alerta cuando se cree este evento.
Nota
El límite diario no puede detener la recopilación de datos con precisión en el nivel de límite especificado y pueden esperarse datos sobrantes, especialmente si el área de trabajo recibe grandes volúmenes de datos. Si se recopilan datos por encima del límite, se siguen facturando. Consulte Ver el efecto del límite diario si desea ver una consulta útil para estudiar el comportamiento del límite diario.
Cuándo usar un límite diario
Los límites diarios se usan normalmente en organizaciones que son especialmente conscientes de los costos. No deben usarse como un método para reducir los costos, sino como una medida preventiva para asegurar que no se exceda un presupuesto particular.
Cuando la recopilación de datos se detiene, se deja de supervisar las funciones y los recursos que dependen de esa área de trabajo. En lugar de confiar únicamente en el límite diario, puede crear una regla de alerta que le notifique cuando la recopilación de datos alcance algún nivel antes del límite diario. Esta notificación le permite abordar cualquier aumento antes de que la recopilación de datos se detenga, o incluso desactivar temporalmente la recopilación para los recursos menos críticos.
Application Insights
Debe configurar la configuración del límite diario para Application Insights y Log Analytics para limitar la cantidad de datos de telemetría que ingiere el servicio. En el caso de los recursos de Application Insights basados en el área de trabajo, el límite diario efectivo es el mínimo de las dos configuraciones. En el caso de los recursos clásicos de Application Insights, solo se aplica el límite diario de Application Insights, ya que sus datos no residen en un área de trabajo de Log Analytics.
Sugerencia
Si le preocupa la cantidad de datos facturables recopilados por Application Insights, debería configurar el muestreo para ajustar el volumen de datos al nivel que desee. Use el límite diario como método de seguridad en caso de que su aplicación comience inesperadamente a enviar volúmenes mucho más altos de telemetría.
El límite máximo para un recurso clásico de Application Insights es de 1000 GB/día, a menos que solicite un máximo mayor para una aplicación de alto tráfico. Cuando se crea un recurso en el portal de Azure, el límite diario se establece en 100 GB/día. Cuando se crea un recurso en Visual Studio, el valor predeterminado es pequeño (solo 32,3 MB/día). El límite diario predeterminado se establece para facilitar las pruebas. El objetivo es que el usuario aumente el límite diario antes de implementar la aplicación en producción.
Nota
Si usa cadenas de conexión para enviar datos a Application Insights mediante puntos de conexión de ingesta regionales, la configuración del límite diario de Application Insights y Log Analytics es efectiva por región. Si usa solo la clave de instrumentación (ikey) para enviar datos a Application Insights mediante el punto de conexión de ingesta global, es posible que la configuración del límite diario de Application Insights no sea efectiva en todas las regiones, pero se seguirá aplicando la configuración del límite diario de Log Analytics.
Hemos quitado la restricción en algunos tipos de suscripción con crédito que no se podía usar para Application Insights. Anteriormente, si la suscripción tenía un límite de gasto, el cuadro de diálogo de límite diario mostraba instrucciones sobre cómo quitarlo y habilitarlo para superar los 32,3 MB/día.
Determinar el límite diario
Como ayuda para determinar un límite diario adecuado para su área de trabajo, consulte Costo y uso de Azure Monitor para conocer las tendencias de ingesta de datos. También puede revisar Analizar el uso en el área de trabajo de Log Analytics, que proporciona métodos para analizar el uso de su área de trabajo con más detalle.
Áreas de trabajo con Microsoft Defender for Cloud
Importante
A partir del 18 de septiembre de 2023, Azure Monitor limita todos los tipos de datos facturables
cuando se cumple el límite diario. No hay ningún comportamiento especial para ningún tipo de datos cuando Microsoft Defender para servidores está habilitado en el área de trabajo.
Este cambio mejora la capacidad de contener completamente los costos de una ingesta de datos superior a la esperada.
Si tiene un límite diario establecido en un área de trabajo que tenga Microsoft Defender para servidores habilitado, asegúrese de que el límite sea lo suficientemente alto como para adaptarse a este cambio.
Además, asegúrese de establecer una alerta (consulte a continuación) para que se le notifique en cuanto se cumpla el límite diario.
Hasta el 18 de septiembre de 2023, si un área de trabajo habilitó la solución Microsoft Defender para servidores después del 19 de junio de 2017, se recopilan algunos tipos de datos relacionados con la seguridad para Microsoft Defender for Cloud o Microsoft Sentinel, a pesar de cualquier límite diario configurado. Los siguientes tipos de datos estarán sujetos a esta excepción especial del límite diario WindowsEvent, SecurityAlert, SecurityBaseline, SecurityBaselineSummary, SecurityDetection, SecurityEvent, WindowsFirewall, MaliciousIPCommunication, LinuxAuditLog, SysmonEvent, ProtectionStatus, Update, UpdateSummary, CommonSecurityLog y Syslog
Establecimiento del límite diario
Área de trabajo de Log Analytics
Para establecer o cambiar el límite diario de un área de trabajo de Log Analytics en el portal de Azure:
- En el menú de Log Analytics workspaces (áreas de trabajo de Log Analytics), seleccione su área de trabajo y, a continuación, Usage and estimated costs (Uso y costos estimados).
- Seleccione Límite diario en la parte superior de la página.
- Seleccione ON (Activar) y, a continuación, establezca el límite de volumen de datos en GB/día.
Nota:
La hora de restablecimiento del área de trabajo se muestra pero no se puede configurar.
Para configurar el límite diario con Azure Resource Manager, establezca el parámetro dailyQuotaGb en WorkspaceCapping como se describe en Áreas de trabajo - Crear o actualizar.
Recurso clásico de Application Insights
Para establecer o cambiar el límite diario de un recurso clásico de Application Insights en Azure Portal:
- En el menú Supervisar , seleccione Aplicaciones, la aplicación y, a continuación, Uso y costos estimados.
- Seleccione Data Cap (Límite de datos) en la parte superior de la página.
- Establezca el límite de volumen de datos en GB/día.
- Si desea que se envíe un correo electrónico al administrador de la suscripción cuando se alcance el límite diario, seleccione esa opción.
- Establezca el nivel de advertencia del límite diario en porcentaje del límite de volumen de datos.
- Si desea que se envíe un correo electrónico al administrador de la suscripción cuando se alcance el nivel de advertencia del límite diario, seleccione esta opción.
Para configurar el límite diario con Azure Resource Manager, establezca los parámetros dailyQuota,dailyQuotaResetTime y warningThreshold como se describe en Áreas de trabajo - Crear o actualizar.
Alerta cuando se alcanza el límite diario
Cuando se alcanza el límite diario para un área de trabajo de Log Analytics, se muestra una pancarta en el Azure Portal y se escribe un evento en la tabla Operations del área de trabajo. Se debe crear una regla de alerta para notificar proactivamente cuando esto ocurra.
Para recibir una alerta cuando se alcanza el límite diario, cree una regla de alerta de búsqueda de registros con los detalles siguientes.
| Configuración | Valor |
|---|---|
| Ámbito | |
| Ámbito de destino | Seleccione el área de trabajo de Log Analytics. |
| Condition | |
| Tipo de señal | Log |
| Nombre de señal | Búsqueda de registros personalizada |
| Consultar | _LogOperation | where Category =~ "Ingestion" | where Detail contains "OverQuota" |
| Medición | Medida: filas de tabla Tipo de agregación: Count Granularidad de agregación: 5 minutos |
| Lógica de alerta | Operador: Mayor que Valor del umbral: 0 Frecuencia de evaluación: 5 minutos |
| Acciones | Seleccione o agregue un grupo de acciones para que le notifique cuando se supere el umbral. |
| Detalles | |
| severity | Advertencia |
| Nombre de la regla de alertas | Límite de datos diario alcanzado |
Recurso de Application Insights clásico
Cuando se alcanza el límite diario para un recurso de Application Insights clásico, se crea un evento en el registro de actividad de Azure con los siguientes nombres de señal. Opcionalmente, también puede enviar un correo electrónico al administrador de suscripciones cuando se alcanza el límite y cuando se alcanza un porcentaje especificado del límite diario.
- Se alcanzó el umbral de advertencia de límite diario del componente Application Insights
- Se alcanzó el límite diario del componente Application Insights
Para crear una alerta cuando se alcance el límite diario, cree una regla de alerta de registro de actividad con los siguientes detalles.
| Configuración | Valor |
|---|---|
| Ámbito | |
| Ámbito de destino | Seleccione la aplicación. |
| Condition | |
| Tipo de señal | Registro de actividad |
| Nombre de señal | Se alcanzó el límite diario del componente Application Insights Or Se alcanzó el umbral de advertencia de límite diario del componente Application Insights |
| severity | Advertencia |
| Nombre de la regla de alertas | Límite de datos diario alcanzado |
Visualización del efecto del límite diario
La siguiente consulta se puede usar para rastrear los volúmenes de datos que están sujetos al límite diario para un área de trabajo de Log Analytics entre los reinicios del límite diario. En este ejemplo, la hora de restablecimiento del área de trabajo es las 14:00 horas. Cambie DailyCapResetHour para que coincida con la hora de restablecimiento del área de trabajo que puede ver en la página Configuración de límite diario.
let DailyCapResetHour=14;
Usage
| where TimeGenerated > ago(32d)
| extend StartTime=datetime_add("hour",-1*DailyCapResetHour,StartTime)
| where StartTime > startofday(ago(31d))
| where IsBillable
| summarize IngestedGbBetweenDailyCapResets=sum(Quantity)/1000. by day=bin(StartTime , 1d) // Quantity in units of MB
| render areachart
Añada los tipos de datos Update y UpdateSummary a la línea where Datatype cuando la solución Update Management no se esté ejecutando en el área de trabajo o el destino de la solución esté habilitado (más información).
Pasos siguientes
- Consulte el artículo Detalles de los precios de Azure Monitor Logs para obtener detalles sobre cómo se calculan los cargos por los datos en un área de trabajo de Log Analytics y las diferentes opciones de configuración que pueden reducirlos.
- Consulte el artículo Detalles de los precios de Azure Monitor Logs para obtener detalles sobre cómo se calculan los cargos por los datos en un área de trabajo de Log Analytics y las diferentes opciones de configuración que pueden reducirlos.
- Consulte Analizar el uso en el área de trabajo de Log Analytics para obtener detalles sobre el análisis de los datos en el área de trabajo para determinar el origen de cualquier uso superior al esperado y las oportunidades para reducir la cantidad de datos recopilados.