Partage via


Définir la limite quotidienne sur l’espace de travail Log Analytics

Une limite quotidienne sur un espace de travail Log Analytics vous permet d’éviter des augmentations inattendues des frais d’ingestion de données en arrêtant la collecte de données facturables pour le reste de la journée chaque fois qu’un seuil spécifié est atteint. Cet article décrit le fonctionnement de la limite quotidienne et la configuration d’une telle limite dans votre espace de travail.

Important

Vous devez faire preuve de prudence lorsque vous définissez une limite quotidienne, car lorsque la collecte de données s’arrête, votre capacité à observer les conditions d’intégrité de vos ressources et à recevoir des alertes est affectée. Cela peut également impacter les autres services et solutions Azure dont les fonctionnalités peuvent dépendre de la disponibilité de données à jour dans l’espace de travail. Votre objectif ne doit pas être d’atteindre régulièrement la limite quotidienne, mais plutôt de l’utiliser comme une méthode peu fréquente pour éviter les frais non planifiés résultant d’une augmentation inattendue du volume de données collectées.

Pour connaître les stratégies de réduction de vos coûts Azure Monitor, consultez Optimisation des coûts et Azure Monitor.

Autorisations requises

Action Autorisations ou rôle nécessaires
Définir la limite quotidienne sur un espace de travail Log Analytics Les autorisations Microsoft.OperationalInsights/workspaces/write aux espaces de travail Log Analytics pour lesquelles vous avez fixé le plafond quotidien, comme le prévoit le rôle intégré Log Analytics Contributor, par exemple.
Définir la limite quotidienne sur une ressource Application Insights classique Lesmicrosoft.insights/components/CurrentBillingFeatures/write autorisations sur les ressources Application Insights classiques sur lesquelles vous définissez la limite quotidienne, comme fourni par le rôle intégré Contributeur de composants Application Insights, par exemple.
Créer une alerte lorsque la limite quotidienne d’un espace de travail Log Analytics est atteinte Les microsoft.insights/scheduledqueryrules/write autorisations, telles que fournies par le rôle intégré Contributeur de supervision, par exemple
Créer une alerte lorsque la limite quotidienne d’une ressource Application Insights classique est atteinte Les microsoft.insights/activitylogalerts/write autorisations, telles que fournies par le rôle intégré Contributeur de supervision, par exemple
Voir l’effet de la limite quotidienne Les autorisations Microsoft.OperationalInsights/workspaces/query/*/read dans les espaces de travail Log Analytics que vous interrogez, comme fourni par le rôle intégré de Lecteur Log Analytics, par exemple.

Fonctionnement de la limite quotidienne

Chaque espace de travail a une limite quotidienne qui définit sa propre limite de volume de données. Lorsque la limite quotidienne est atteinte, une bannière d’avertissement s’affiche en haut de la page de l’espace de travail Log Analytics sélectionné dans le Portail Azure, et un événement d’opération est envoyé vers le tableau des opérations sous la catégorie LogManagement. Vous pouvez éventuellement créer une règle d’alerte pour envoyer une alerte lorsque cet événement est créé.

La taille des données utilisée pour la limite quotidienne est la taille après les transformations de données définies par le client. (En savoir plus sur les transformations de données dans les règles de collecte de données.)

La collecte de données reprend au moment de la réinitialisation, qui correspond à une heure différente de la journée pour chaque espace de travail. L’heure de réinitialisation ne peut pas être configurée. Vous pouvez éventuellement créer une règle d’alerte pour envoyer une alerte lorsque cet événement est créé.

Remarque

La limite quotidienne ne peut pas arrêter la collecte de données au niveau précis de la limite spécifiée et vous pouvez vous attendre à ce qu’il y ait un certain nombre de données excédentaires. La collecte de données au-delà de la limite quotidienne peut être particulièrement importante si l’espace de travail reçoit des taux élevés de données. Les données collectées au-delà de la capacité sont toujours facturées. Pour découvrir une requête utile pour l’étude du comportement de la limite quotidienne, consultez la section Voir l’effet de la limite quotidienne.

Quand utiliser un plafond quotidien

Les plafonds journaliers sont généralement utilisés par les organisations particulièrement sensibles aux coûts. Ils ne doivent pas être utilisés en tant que méthode visant à réduire les coûts, mais plutôt en tant que mesure préventive pour vous assurer que vous ne dépassez pas un budget spécifique.

Lorsque la collecte de données s'arrête, vous n'avez effectivement aucune surveillance sur les fonctionnalités et les ressources qui dépendent de cet espace de travail. Plutôt que de vous fier uniquement au plafond quotidien, vous pouvez créer une règle d’alerte pour vous avertir quand la collecte de données atteint un certain niveau avant le plafond quotidien. Une notification vous permet de faire face à toute augmentation avant que la collecte de données ne s'arrête, voire de désactiver temporairement la collecte pour les ressources moins critiques.

Application Insights

Vous devez configurer le paramètre de limite quotidienne pour Application Insights et Log Analytics afin de limiter la quantité de données de télémétrie ingérées par votre service. Pour les ressources Application Insights basées sur un espace de travail, la limite quotidienne effective est le minimum des deux paramètres. Pour des ressources Application Insights classiques, seule la limite quotidienne d’Application Insights s’applique, car ses données ne résident pas dans un espace de travail Log Analytics.

Conseil

Si la quantité de données facturables collectées par Application Insights vous préoccupe, vous devez configurer l’échantillonnage pour régler son volume de données au niveau souhaité. Utilisez la limite quotidienne comme méthode de sécurité au cas où votre application commencerait soudainement à envoyer des volumes de données de télémétrie beaucoup plus élevés.

La limite maximale pour une ressource classique Application Insights est de 1 000 Go/jour, à moins que vous en demandiez une plus élevée pour les besoins d’une application à fort trafic. Au moment où vous créez une ressource dans le Portail Azure, la limite quotidienne est définie à 100 Go/jour. Quand vous créez une ressource dans Visual Studio, la valeur par défaut est faible (seulement 32,3 Mo/jour). La valeur par défaut de la limite quotidienne est définie pour faciliter les tests. L’idée est que l’utilisateur augmente la limite quotidienne avant de déployer l’application en production.

Notes

Si vous utilisez des chaînes de connexion pour envoyer des données à Application Insights à l’aide de points de terminaison d’ingestion régionaux, les paramètres de limite quotidienne d’Application Insights et de Log Analytics sont effectifs par région. Si vous utilisez uniquement une clé d’instrumentation (ikey) pour envoyer des données à Application Insights à l’aide du point de terminaison d’ingestion global, le paramètre de limite quotidienne d’Application Insights peut ne pas être effectif entre les régions, mais celui de Log Analytics s’applique toujours.

Nous avons supprimé la restriction sur certains types d’abonnements qui disposent d’un crédit qui n’a pas pu être utilisé pour Application Insights. Si l’abonnement impose une limite de dépense, la boîte de dialogue Limite quotidienne indique comment la supprimer et permet d’augmenter la limite quotidienne au-delà de 32,3 Mo/jour.

Déterminer votre limite quotidienne

Pour vous aider à déterminer une limite quotidienne appropriée pour votre espace de travail, consultez Coût et utilisation d’Azure Monitor pour comprendre vos tendances en matière d’ingestion de données. Vous pouvez également consulter Analyser l’utilisation dans l’espace de travail Log Analytics qui fournit des méthodes pour analyser plus en détail l’utilisation de votre espace de travail.

Espaces de travail avec Microsoft Defender pour le cloud

Important

À partir du 18 septembre 2023, Azure Monitor limite tous les types de données facturables
lorsque la limite quotidienne est atteinte. Il n’existe aucun comportement spécial pour les types de données quand Microsoft Defender pour serveurs est activé sur votre espace de travail. Cette modification améliore votre capacité à contenir entièrement les coûts liés à une ingestion de données plus élevée que prévu. Si vous avez une limite quotidienne définie sur un espace de travail doté de Microsoft Defender pour serveurs, vérifiez que la limite est suffisamment élevée pour prendre en charge ce changement. Veillez également à définir une alerte (voir ci-dessous) afin d’être averti dès que votre limite quotidienne est atteinte.

Depuis le 18 septembre 2023, si un espace de travail a activé la solution Microsoft Defenders pour serveurs après le 19 juin 2017, certains types de données liés à la sécurité sont collectés pour Microsoft Defender pour le cloud ou Microsoft Sentinel malgré la limite quotidienne configurée. Les types de données suivants sont soumis à cette exception spéciale de limite quotidienne : WindowsEvent, SecurityAlert, SecurityBaseline, SecurityBaselineSummary, SecurityDetection, SecurityEvent, WindowsFirewall, MaliciousIPCommunication, LinuxAuditLog, SysmonEvent, ProtectionStatus, Update, UpdateSummary, CommonSecurityLog et Syslog

Définir le plafond quotidien

Espace de travail Log Analytics

Pour définir ou modifier la limite quotidienne d’un espace de travail Log Analytics dans le Portail Azure :

  1. Dans le menu Espaces de travail Log Analytics, sélectionnez votre espace de travail, puis Utilisation et estimation des coûts.
  2. Sélectionnez Limite quotidienne en haut de la page.
  3. Cliquez sur Activer, puis définissez la limite de volume de données en Go/jour.

Configurer la limite de données dans Log Analytics

Notes

L’heure de réinitialisation de l’espace de travail s’affiche, mais ne peut pas être configurée.

Pour configurer la limite quotidienne avec Azure Resource Manager, définissez le paramètre dailyQuotaGb sous WorkspaceCapping comme décrit dans Espaces de travail : créer ou mettre à jour.

Ressource Application Insights classique

Pour définir ou modifier la limite quotidienne d’une ressource Application Insights classique dans le Portail Azure :

  1. Dans le menu Moniteur, sélectionnez Applications, votre application, puis Utilisation et estimation des coûts.
  2. Sélectionnez Limite de données en haut de la page.
  3. Définissez la limite de volume de données en Go/jour.
  4. Si vous souhaitez envoyer un e-mail à l’administrateur de l’abonnement lorsque la limite quotidienne est atteinte, sélectionnez cette option.
  5. Définissez le niveau d’avertissement pour la limite quotidienne en pourcentage de la limite de volume de données.
  6. Si vous souhaitez envoyer un e-mail à l’administrateur de l’abonnement lorsque le niveau d’avertissement pour la limite quotidienne est atteint, sélectionnez cette option.

Configurer la limite de données pour Application Insights

Pour configurer la limite quotidienne avec Azure Resource Manager, définissez les paramètres dailyQuota, dailyQuotaResetTime et warningThreshold comme décrit dans Espaces de travail : créer ou mettre à jour.

Alerte lorsque la limite quotidienne est atteinte

Lorsque la limite quotidienne est atteinte pour un espace de travail Log Analytics, une bannière s’affiche dans le Portail Azure et un événement est écrit dans le tableau des opérations de l’espace de travail. Vous devez créer une règle d’alerte pour vous avertir de manière proactive lorsque cela se produit.

Pour recevoir une alerte lorsque la limite quotidienne est atteinte, créez une règle d’alerte de recherche dans les journaux avec les détails suivants.

Paramètre Valeur
Étendue
Étendue cible Sélectionnez votre espace de travail Log Analytics.
Condition
Type de signal Journal
Nom du signal Recherche personnalisée dans les journaux
Requête _LogOperation | where Category =~ "Ingestion" | where Detail contains "OverQuota"
Mesure Mesure : Lignes de tableau
Type d’agrégation : Nombre
Précision de l’agrégation : 5 minutes
Logique d’alerte Opérateur : Supérieur à
Valeur de seuil : 0
Fréquence de l’évaluation : 5 minutes
Actions Sélectionnez ou ajoutez un groupe d’actions à des fins d’avertissement lorsque le seuil est dépassé.
Détails
severity Avertissement
Nom de la règle d’alerte limite de données quotidienne atteinte

Ressource Application Insights classique

Lorsque la limite quotidienne est atteinte pour une ressource Application Insights classique, un événement est créé dans le journal d’activité Azure avec les noms de signal suivants. Vous pouvez également envoyer un e-mail à l’administrateur de l’abonnement lorsque la limite est atteinte et lorsqu’un pourcentage spécifié de la limite quotidienne est atteint.

  • Seuil d’avertissement de la limite quotidienne du composant Application Insights atteint
  • Limite quotidienne du composant Application Insights atteinte

Pour créer une alerte lorsque la limite quotidienne est atteinte, créez une règle d’alerte du journal d’activité avec les détails suivants.

Paramètre Valeur
Étendue
Étendue cible Sélectionnez votre application.
Condition
Type de signal Journal d’activité
Nom du signal Limite quotidienne du composant Application Insights atteinte
ou
Seuil d’avertissement de la limite quotidienne du composant Application Insights atteint
severity Avertissement
Nom de la règle d’alerte limite de données quotidienne atteinte

Voir l’effet de la limite quotidienne

Vous pouvez utiliser la requête suivante pour effectuer le suivi des volumes de données soumis à la limite quotidienne pour un espace de travail Log Analytics entre les réinitialisations de limite quotidienne. Dans cet exemple, l’heure de réinitialisation de l’espace de travail est 14:00. Modifiez DailyCapResetHour pour qu’il corresponde à l’heure de réinitialisation de votre espace de travail, que vous pouvez voir sur la page de configuration Limite quotidienne.

let DailyCapResetHour=14;
Usage
| where TimeGenerated > ago(32d)
| extend StartTime=datetime_add("hour",-1*DailyCapResetHour,StartTime)
| where StartTime > startofday(ago(31d))
| where IsBillable
| summarize IngestedGbBetweenDailyCapResets=sum(Quantity)/1000. by day=bin(StartTime , 1d) // Quantity in units of MB
| render areachart  

Ajoutez les types de données Update et UpdateSummary à la ligne where Datatype lorsque la solution Update Management n’est pas exécutée sur l’espace de travail ou lorsque le ciblage de solution est activé (en savoir plus.)

Étapes suivantes

  • Consultez les détails de tarification des journaux Azure Monitor pour plus d’informations sur la façon dont les frais sont calculés pour les données dans un espace de travail Log Analytics et les différentes options de configuration disponibles pour réduire vos frais.
  • Consultez les détails de tarification des journaux Azure Monitor pour plus d’informations sur la façon dont les frais sont calculés pour les données dans un espace de travail Log Analytics et les différentes options de configuration disponibles pour réduire vos frais.
  • Consultez Analyser l’utilisation dans l’espace de travail Log Analytics pour plus d’informations sur l’analyse des données de votre espace de travail afin de déterminer la source d’une utilisation plus élevée que prévu et les possibilités de réduction de la quantité de données collectées.