Calculs et options des coûts des journaux Azure Monitor
Les frais les plus importants pour la plupart des implémentations d’Azure Monitor sont généralement ceux liés à l’ingestion et à la conservation des données dans vos espaces de travail Log Analytics. Plusieurs fonctionnalités d’Azure Monitor n’ont pas de coût direct, mais ajoutent aux données de l’espace de travail collectées. Cet article décrit comment les frais de données sont calculés pour vos espaces de travail Log Analytics et les diverses options de configuration qui affectent vos coûts.
Conseil
Pour connaître les stratégies de réduction de vos coûts Azure Monitor, consultez Optimisation des coûts et Azure Monitor.
Modèle de tarification
Les tarifs par défaut de Log Analytics suivent un modèle de Paiement à l’utilisation basé sur le volume de données ingérées et la conservation des données. Chaque espace de travail Log Analytics est facturée en tant que service distinct et s’ajoute à la facture de votre abonnement Azure. La tarification pour Log Analytics est définie régionalement. La quantité de données ingérées peut être considérable en fonction de ce qui suit :
- Le jeu de solutions de gestion activées et leur configuration.
- Le nombre et le type des ressources surveillées.
- Les types de données collectées à partir de chaque ressource analysée.
Une liste des noms des compteurs de facturation Azure Monitor est disponible ici.
Calcul de la taille des données
Le volume de données correspond à la taille des données envoyées à stocker et est mesuré en unités de Go (10^9 octets). La taille des données d’un enregistrement unique est calculée à partir d’une représentation en chaîne des colonnes qui sont stockées dans l’espace de travail Log Analytics pour cet enregistrement. Peu importe que les données soient envoyées à partir d’un agent ou ajoutées pendant le processus d’ingestion. Ce calcul inclut toutes les colonnes personnalisées ajoutées par l’API d’ingestion des journaux, les transformations ou les champs personnalisés qui sont ajoutés à mesure que des données sont collectées puis stockées dans l’espace de travail.
Notes
Le calcul du volume de données facturables est généralement sensiblement inférieur à la taille de la totalité de l’événement entrant empaqueté JSON. En moyenne, la taille facturée est d’environ 25 pour cent inférieure à la taille des données entrantes. Il peut être jusqu’à 50 pour cent pour les petits événements. Le pourcentage inclut l’effet des colonnes standard exclues de la facturation. Il est essentiel de comprendre ce calcul de la taille des données facturées lors de l’estimation des coûts et de leur comparaison avec d’autres modèles de tarification.
Colonnes exclues
Les colonnes standard suivantes communes à toutes les tables sont exclues dans le calcul de la taille de l’enregistrement. Toutes les autres colonnes stockées dans Log Analytics sont incluses dans le calcul de la taille de l’enregistrement. Les colonnes standard sont les suivantes :
_ResourceId
_SubscriptionId
_ItemId
_IsBillable
_BilledSize
Type
Tables exclues
Certaines tables sont totalement exemptes de frais d’ingestion de données, notamment AzureActivity, Heartbeat, Usage et Operation. Ces informations sont toujours indiquées dans la colonne _IsBillable, qui montre si un enregistrement a été exclu de la facturation pour l’ingestion et la conservation des données.
Frais pour d’autres solutions et services
Certaines solutions ont des stratégies plus spécifiques concernant l’ingestion des données gratuites. Par exemple, avec Azure Migrate les données de visualisation des dépendances sont gratuites pendant les 180 premiers jours d’une évaluation de serveur. Des services tels que Microsoft Defender pour le cloud, Microsoft Sentinel et Configuration Management ont leurs propres modèles tarifaires.
Consultez la documentation relative aux différents services et solutions pour connaître les calculs de facturation uniques.
Niveaux d’engagement
En plus du modèle Paiement à l’utilisation, Log Analytics possède des niveaux d’engagement peut vous permettre d’économiser jusqu’à 30 % par rapport au tarif de Paiement à l’utilisation. Avec les tarifs par niveau d’engagement, vous pouvez vous engager à acheter l’ingestion des données pour un espace de travail, à partir de 100 Go par jour, à un prix inférieur à celui de Paiement à l’utilisation. Toute utilisation au-delà du niveau d’engagement (dépassement) est facturée au même prix par Go que le niveau d’engagement actuel. (Le dépassement est facturé à l’aide du même compteur de facturation de niveau d’engagement. Par exemple, si un espace de travail se trouve dans le niveau d’engagement de 200 Go/jour et ingère 300 Go par jour, cette utilisation est facturée comme 1,5 unité du niveau d’engagement de 200 Go/jour.) Les niveaux d’engagement ont une période d’engagement de 31 jours à partir du moment où un niveau d’engagement est sélectionné ou modifié.
- Pendant la période d’engagement, vous pouvez passer à un niveau d’engagement plus élevé, ce qui redémarre la période d’engagement de 31 jours. Vous ne pouvez pas revenir au paiement à l’utilisation ou à un niveau d’engagement inférieur jusqu’à ce que vous ayez terminé la période d’engagement.
- À la fin de la période d'engagement, l'espace de travail conserve le niveau d'engagement sélectionné, et l'espace de travail peut à tout moment passer au paiement à l'utilisation ou à un niveau d'engagement inférieur.
- Si un espace de travail est déplacé par inadvertance vers un niveau d’engagement, contactez le Support Microsoft pour réinitialiser la période d’engagement afin de pouvoir revenir au niveau tarifaire Paiement à l’utilisation.
La facturation des niveaux d’engagement se fait par espace de travail sur une base quotidienne. Si l’espace de travail fait partie d’un cluster dédié, la facturation est effectuée pour le cluster. Consultez la section suivante « Clusters dédiés ». Consultez Tarification Azure Monitor pour obtenir une liste détaillée des niveaux d’engagement et de leurs prix.
Les remises en fonction du niveau d’engagement Azure, telles que celles obtenues dans le cadre des Contrats Entreprise Microsoft, s’appliquent à la tarification du niveau d’engagement des journaux Azure Monitor ainsi qu’à la tarification à l’utilisation. Les remises sont appliquées que l’utilisation soit facturée par espace de travail ou par cluster dédié.
Conseil
L'élément de menu Utilisation et coûts estimés pour chaque espace de travail Log Analytics affiche une estimation de vos frais d'ingestion de données à chaque niveau d'engagement pour vous aider à choisir le niveau d'engagement optimal pour vos modèles d'ingestion de données. Examinez régulièrement ces informations afin de déterminer si vous pouvez réduire vos frais en passant à un autre niveau. Consultez Utilisation et estimation des coûts pour plus d’informations sur cette vue. Pour consulter vos frais réels, utilisez Azure Cost Management = Billing.
Clusters dédiés
Un cluster dédié pour les journaux Azure Monitor est une collection d’espaces de travail dans un cluster Azure Data Explorer managé unique. Les clusters dédiés prennent en charge des fonctionnalités avancées telles que les clés gérées par le client, tout en utilisant le même modèle tarifaire de niveau d’engagement que les espaces de travail, bien qu’ils aient un niveau d’engagement d’au moins 100 Go par jour. Toute utilisation au-delà du niveau d’engagement (dépassement) est facturée au même prix par Go que le niveau d’engagement actuel. Il n’existe aucune option de paiement à l’utilisation pour les clusters.
Le niveau d’engagement du cluster a une période d’engagement de 31 jours après l’augmentation du niveau d’engagement. Au cours de la période d’engagement, le niveau d’engagement ne peut pas être réduit, mais il peut être augmenté à tout moment. Lorsque des espaces de travail sont associés à un cluster, la facturation d’ingestion des données de ces espaces de travail est effectuée au niveau du cluster à l’aide du niveau d’engagement configuré.
Il existe deux modes de facturation pour un cluster, que vous spécifiez lorsque vous créez le cluster :
Cluster (par défaut) : la facturation des données ingérées est effectuée au niveau du cluster. Les quantités de données ingérées de chaque espace de travail associé à un cluster sont agrégées pour calculer la facture quotidienne du cluster. Les allocations par nœud de Microsoft Defender pour le cloud sont appliquées au niveau de l’espace de travail avant cette agrégation des données sur tous les espaces de travail du cluster.
Espaces de travail : les coûts de niveau d’engagement pour votre cluster sont attribués proportionnellement aux espaces de travail du cluster, par volume d’ingestion des données de chaque espace de travail (après prise en compte des allocations par nœud à partir de Microsoft Defender pour le cloud pour chaque espace de travail).
Si le volume total de données ingérées dans un cluster pendant une journée est inférieur au niveau d’engagement, chaque espace de travail est facturé pour ses données ingérées au tarif d’engagement effectif par Go à concurrence d’une fraction du niveau d’engagement. La partie inutilisée du niveau engagement est ensuite facturée à la ressource de cluster.
Si le volume total de données ingérées dans un cluster au cours d’une journée est supérieur au niveau d’engagement, chaque espace de travail est facturé pour une fraction du niveau d’engagement, en fonction de sa fraction des données ingérées ce jour-là, et chaque espace de travail pour une fraction des données ingérées au-delà du niveau d’engagement. Si le volume total de données ingérées dans un espace de travail au cours d’une journée est supérieur au niveau d’engagement, rien n’est facturé à la ressource de cluster.
Vous trouverez des exemples de fonctionnement de la facturation des clusters dans chacun de ces modes ici.
La rétention des données est facturée pour chaque espace de travail, comme pour les espaces de travail qui ne sont pas joints à un cluster.
La facturation du cluster commence lorsque le cluster est créé, que les espaces de travail aient ou non été associés au cluster.
Lorsque vous liez des espaces de travail à un cluster, le niveau tarifaire passe à Cluster, et l’ingestion est facturée en fonction du niveau d’engagement du cluster. Les espaces de travail associés à un cluster ne disposent plus de leur propre niveau tarifaire. Les espaces de travail peuvent être dissociés d’un cluster à tout moment. Dans ce cas, le niveau tarifaire passe à Par Go.
Si votre espace de travail lié utilise le niveau tarifaire Par nœud hérité, il est facturé en fonction des données ingérées par rapport au niveau d’engagement du cluster, et non plus Par nœud. Les allocations de données par nœud à partir de Microsoft Defender pour le cloud continuent à être appliquées.
Si un cluster est supprimé, la facturation du cluster s’arrête même si le cluster se trouve dans sa période d’engagement de 31 jours.
Pour plus d’informations sur la création d’un cluster dédié et la spécification de son type de facturation, consultez Créer un cluster dédié.
Plans de table Essentiel et Auxiliaire
Vous pouvez configurer certaines tables dans un espace de travail Log Analytics de façon à utiliser des plans de table Essentiel et Auxiliaire. Les frais d’ingestion des données de ces tables sont considérablement réduits. L’interrogation des données dans ces tables engendre des frais.
Les frais d’interrogation de données dans les tables Essentiel et Auxiliaire sont basés sur les Go de données analysées lors de l’exécution de la recherche.
Pour plus d’informations sur les plans de table Essentiel et Auxiliaire, consultez Vue d’ensemble des journaux Azure Monitor : Plans de table.
Conservation des données de journal
En plus de l’ingestion des données, la conservation des données dans chaque espace de travail Log Analytics est facturée. Vous pouvez définir la période de rétention pour l’ensemble de l’espace de travail ou pour chaque table. Après cette période, les données sont supprimées ou gardées dans une conservation à long terme. Pendant la période de conservation à long terme, vous payez des frais de conservation réduits et des frais sont engagés pour récupérer les données à l’aide d’un travail de recherche. Utilisez la conservation à long terme pour réduire vos coûts liés aux données que vous devez stocker à des fins de conformité ou d’investigation occasionnelle.
La suppression d’une table personnalisée ne supprime pas les données associées à cette table, de sorte que les frais de conservation à long terme et interactifs continuent de s’appliquer.
Pour plus d’informations sur la conservation des données, notamment sur la configuration de ces paramètres et l’accès aux données dans la conservation à long terme, consultez Gérer la conservation des données dans un espace de travail Log Analytics.
Remarque
La suppression de données de votre espace de travail Log Analytics à l’aide de la fonctionnalité de suppression définitive de Log Analytics n’affecte pas vos coûts de rétention. Pour réduire les coûts de rétention, diminuez la période de rétention pour l’espace de travail ou pour des tables spécifiques.
Tâches de recherche
Récupérez les données de la conservation à long terme en exécutant des travaux de recherche. Les tâches de recherche sont des requêtes asynchrones qui extraient des enregistrements dans une nouvelle table de recherche dans votre espace de travail pour une analyse plus poussée. Les tâches de recherche sont facturés en fonction du nombre de Go de données analysées chaque jour pour effectuer la recherche.
Restauration des données de journaux
Lorsque vous avez besoin d’interroger de façon intensive des grands volumes de données ou des données dans la conservation à long terme avec l’ensemble des fonctionnalités de requête analytiques, la fonctionnalité de restauration des données est un outil puissant. L’opération de restauration rend une plage horaire spécifique de données dans une table disponible dans le cache à niveau d'accès chaud pour les requêtes hautes performances. Vous pouvez par la suite ignorer les données une fois que vous avez terminé. La restauration des données de journaux est facturée d’après la quantité de données restaurées, et en fonction de la durée pendant laquelle la restauration est maintenue active. Les valeurs minimales facturées pour toute restauration de données sont de 2 To et 12 heures. Les données restaurées de plus de 2 To et/ou pendant plus de 12 heures sont facturées au prorata.
Exportation des données de journaux
L’exportation des données dans l’espace de travail Log Analytics vous permet d’exporter en continu des données de tables sélectionnées dans votre espace de travail vers un compte Stockage Azure ou Azure Event Hubs dès qu’elles arrivent dans le pipeline Azure Monitor. Les frais d’utilisation de l’exportation des données sont basés sur la quantité de données exportées. La taille des données exportées est le nombre d’octets dans les données au format JSON exportées.
Facturation Application Insights
Étant donné que les ressources Application Insights basées sur un espace de travail Log Analytics stockent leurs données dans un espace de travail Log Analytics, la facturation de l’ingestion et de la conservation des données est effectuée par l’espace de travail où se trouvent les données Application Insights. Pour cette raison, vous pouvez utiliser toutes les options du modèle tarifaire Log Analytics, y compris les niveaux d’engagement, ainsi que le paiement à l’utilisation.
Conseil
Vous souhaitez ajuster les paramètres de rétention de vos tableaux Application Insights ? Les noms de tableaux ont été modifiés pour les composants basés sur l’espace de travail. Consultez la rubrique Structure des tableaux Application Insights
L’ingestion des données et la conservation des données pour une ressource Application Insights classique suivent les mêmes tarifs avec paiement à l’utilisation que les ressources basées sur l’espace de travail, mais elles ne peuvent pas tirer parti des niveaux d’engagement.
La télémétrie des tests Ping et des tests à plusieurs étapes est facturée comme l’utilisation des données pour d’autres télémétrie de votre application. L’utilisation des tests web et l’activation des alertes sur les dimensions métriques personnalisées sont toujours signalées par le biais d’Application Insights. Il n’existe aucun frais de volume de données pour l’utilisation du Flux de métriques temps réel.
Pour plus d’informations sur les niveaux hérités disponibles pour les utilisateurs précoces d’Application Insights, consultez Niveau tarifaire d’entreprise hérité Application Insights (par nœud).
Espaces de travail avec Microsoft Sentinel
Lorsque Microsoft Sentinel est activé dans un espace de travail Log Analytics, toutes les données collectées dans cet espace de travail sont soumises à des frais Microsoft Sentinel en plus des frais Log Analytics. Pour cette raison, vous séparerez souvent vos données de sécurité et vos données opérationnelles dans différents espaces de travail afin de ne pas encourir de frais Microsoft Sentinel pour les données opérationnelles.
Dans certains scénarios, la combinaison de ces données peut permettre de réaliser des économies. Cette situation se produit généralement lorsque vous ne collectez pas suffisamment de données opérationnelles et de sécurité pour atteindre pour chacune un niveau d’engagement, mais où les données combinées sont suffisantes pour atteindre un niveau d’engagement. Pour plus d’informations, consultez l’article suivant :
- Concevoir une architecture d’espace de travail Log Analytics
- Exemples de conceptions d’espace de travail Log Analytics pour Microsoft Sentinel
Espaces de travail avec Microsoft Defender pour le cloud
Microsoft Defender pour serveurs (qui fait partie de Defender pour le cloud) facture par nombre de services surveillés. Il fournit 500 Mo par serveur par jour d’allocation de données appliqué au sous-ensemble suivant de types de données de sécurité :
- SecurityAlert
- SecurityBaseline
- SecurityBaselineSummary
- SecurityDetection
- SecurityEvent
- WindowsFirewall
- SysmonEvent
- ProtectionStatus
- Update et UpdateSummary lorsque la solution Update Management n’est pas en cours d’exécution sur l’espace de travail ou lorsque le ciblage de solution est activé.
- MDCFileIntegrityMonitoringEvents
Si l’espace de travail est au niveau tarifaire hérité Par nœud, les allocations de Defender pour le cloud et de Log Analytics sont combinées et appliquées conjointement avec toutes les données ingérées facturables. Si Sentinel est activé sur l’espace de travail et utilise un niveau tarifaire classique, l’allocation de données Defender s’applique uniquement à la facturation de l’ingestion des données Log Analytics, mais pas à la facturation Sentinel classique. Si Sentinel utilise un niveau tarifaire simplifié, l’allocation de données Defender s’applique à la facturation Sentinel unifiée. Pour en savoir plus sur la façon dont les clients Microsoft Sentinel peuvent en bénéficier, consultez la page de tarification de Microsoft Sentinel.
Le nombre de serveurs surveillés est calculé sur une granularité horaire. Les contributions quotidiennes à l’allocation de données de chaque serveur surveillé sont agrégées au niveau de l’espace de travail. Si l’espace de travail est au niveau tarifaire hérité Par nœud, les allocations de Microsoft Defender pour le cloud et de Log Analytics sont combinées et appliquées conjointement avec toutes les données ingérées facturables.
Niveaux de tarification hérités
Les abonnements qui contenaient un espace de travail Log Analytics ou une ressource Application Insights le 2 avril 2018, ou qui sont liés à un Contrat Entreprise qui a débuté avant le 1er février 2019 et qui est toujours actif, continueront d’avoir accès à l’utilisation des niveaux tarifaires hérités suivants :
- Autonome (par Go)
- Par nœud (Operations Management Suite [OMS])
L’accès au niveau tarifaire d’essai gratuit hérité a été limité le 1er juillet 2022. Les informations sur la tarification pour les niveaux tarifaires autonome et par nœud sont disponibles ici.
Une liste des noms des compteurs de facturation Azure Monitor, y compris ces niveaux hérités, est disponible ici.
Important
Les niveaux tarifaires hérités ne prennent pas en charge l’accès à certaines des fonctionnalités les plus récentes de Log Analytics comme l’ingestion de données dans des tables avec les plans de table Essentiel et Auxiliaire abordables.
Niveau tarifaire Essai gratuit
Les espaces de travail du niveau tarifaire Essai gratuit permettent une ingestion des données quotidienne limitée à 500 Mo (à l’exception des types de données de sécurité collectés par Microsoft Defender pour le cloud). La conservation des données est limitée à sept jours. Le niveau tarifaire Essai gratuit est conçu à des fins d’évaluation uniquement, et non pas pour des charges de travail de production. Aucun Contrat de niveau de service n’est fourni pour le niveau Essai gratuit.
Notes
La création de nouveaux espaces de travail dans (ou en déplaçant des espaces de travail existants dans) le niveau tarifaire Essai gratuit hérité était uniquement possible jusqu’au 1er juillet 2022.
Niveau tarifaire Autonome
L’utilisation au niveau tarifaire Autonome est facturée en fonction du volume de données ingérées. Cela est signalé dans le service Log Analytics, et le compteur est nommé « Données analysées ». Les espaces de travail du niveau tarifaire Autonome ont une conservation configurable par l’utilisateur de 30 à 730 jours. Les espaces de travail du niveau tarifaire Autonome ne prennent pas en charge l’utilisation des plans de table Essentiel et Auxiliaire.
Niveau tarifaire Par nœud
Le niveau tarifaire par nœud est facturé par machine virtuelle (nœud) surveillée sur une granularité horaire. Pour chaque nœud analysé, 500 Mo de données non facturées par jour sont affectées à l’espace de travail. Cette allocation est calculée avec une granularité horaire et est agrégée chaque jour au niveau de l’espace de travail. Les données ingérées au-delà de l’allocation de données quotidienne agrégée sont facturées par Go comme dépassement de données. Le niveau tarifaire Par nœud est un niveau hérité uniquement disponible pour les abonnements existants qui répondent aux conditions requises des niveaux tarifaires hérités.
Sur votre facture, le service indiqué est Insight and Analytics pour l’utilisation de Log Analytics si l’espace de travail est dans le niveau tarifaire Par nœud. Les espaces de travail du niveau tarifaire Par nœud présentent une rétention configurable par l’utilisateur de 30 à 730 jours. Les espaces de travail du niveau tarifaire Par nœud ne prennent pas en charge l’utilisation des plans de table Essentiel et Auxiliaire. L’utilisation est signalée sur trois compteurs :
- Nœud : l’utilisation du nombre de nœuds surveillés (machines virtuelles) en unités de nœud par mois.
- Dépassement de données par nœud : le nombre de Go de données ingérées au-delà de l’allocation de données agrégées.
- Données incluses par nœud : la quantité de données ingérées qui a été couverte par l’allocation de données agrégées. Ce compteur est également utilisé lorsque l’espace de travail se trouve dans tous les niveaux de tarification pour afficher la quantité de données couvertes par le service Microsoft Defender pour le cloud.
Conseil
Si votre espace de travail a accès au niveau tarifaire Par nœud, mais que vous vous demandez si ce serait moins cher dans un niveau Paiement à l’utilisation, vous pouvez utiliser la requête ci-dessous pour obtenir une suggestion.
Niveaux tarifaires Standard et Premium
Depuis le 1er octobre 2016, les espaces de travail ne peuvent pas être créés ou déplacés dans les niveaux tarifaires Standard ou Premium. Les espaces de travail existant dans ces niveaux tarifaires peuvent continuer à y servir, mais si un espace de travail est déplacé hors de ces niveaux, il ne peut pas y être déplacé à nouveau. Les niveaux tarifaires Standard et Premium disposent de conservation des données respective de 30 et 365 jours. Les espaces de travail de ces niveaux tarifaires ne prennent pas en charge l’utilisation des plans de table Essentiel et Auxiliaire ni la conservation des données à long terme. Les compteurs d’ingestion de données sur votre facture Azure pour ces niveaux hérités sont appelés « Données analysées ».
Microsoft Defender pour le cloud avec niveaux tarifaires hérités
Voici quelques points à noter concernant les niveaux Log Analytics hérités et la façon dont l’utilisation est facturée pour Microsoft Defender pour le cloud :
- Si l’espace de travail se trouve dans le niveau Standard ou Premium hérité, Microsoft Defender pour le cloud est facturé uniquement pour l’ingestion des données Log Analytics, et non par nœud.
- Si l’espace de travail se situe dans le niveau Par Nœud hérité, Microsoft Defender pour le cloud est facturé en utilisant le modèle de tarification actuel basé sur les nœuds Microsoft Defender pour le cloud.
- Dans les autres niveaux tarifaires (y compris les niveaux d’engagement), si Microsoft Defender pour le cloud a été activé avant le 19 juin 2017, Microsoft Defender pour le cloud est facturé uniquement pour l’ingestion de données Log Analytics. Sinon, Microsoft Defender pour le cloud est facturé selon le modèle de tarification actuel basé sur les nœuds Microsoft Defender pour le cloud.
Pour plus d’informations sur les limitations de niveau tarifaire, consultez Abonnement Azure et limites, quotas et contraintes de service.
Aucun des niveaux tarifaires hérités n’a de tarification régionale.
Notes
Pour utiliser les droits que vous obtenez à l’achat de la suite OMS E1, OMS E2 ou du module complémentaire OMS pour System Center, sélectionnez le niveau tarifaire Par nœud de Log Analytics.
Évaluer le niveau tarifaire Par nœud hérité
Il est souvent difficile de déterminer si les espaces de travail ayant accès au niveau tarifaire Par nœud hérité sont mieux dans ce niveau ou dans l’une des offres actuelles, Paiement à l’utilisation ou Niveau d’engagement. Cela implique de bien comprendre le compromis entre le coût fixe par nœud supervisé dans le niveau de tarification Par nœud et son allocation de données incluse de 500 Mo par nœud et par jour, et le coût supporté en payant simplement les données ingérées dans le niveau Paiement à l’utilisation (Par Go).
Vous pouvez utiliser la requête suivante pour obtenir une recommandation concernant le niveau tarifaire optimal en fonction des modèles d’utilisation d’un espace de travail. Cette requête examine les nœuds surveillés et les données ingérées dans un espace de travail au cours des sept derniers jours. Pour chaque jour, il évalue le niveau tarifaire qui aurait été optimal. Pour utiliser la requête, vous devez spécifier :
- Spécifier si l’espace de travail utilise Microsoft Defender pour le cloud en définissant
workspaceHasSecurityCenter
surtrue
oufalse
. - Mettre à jour les tarifs si vous avez des remises spécifiques.
- Spécifiez le nombre de jours à examiner et à analyser en définissant
daysToEvaluate
. Cette option est utile si la requête prend trop de temps pour essayer de consulter sept jours de données.
// Set these parameters before running query
// For pay-as-you-go (per-GB) and commitment tier pricing details, see https://azure.microsoft.com/pricing/details/monitor/.
// You can see your per-node costs in your Azure usage and charge data. For more information, see https://learn.microsoft.com/azure/cost-management-billing/understand/download-azure-daily-usage.
let workspaceHasSecurityCenter = true;
let daysToEvaluate = 7;
let PerNodePrice = 15.; // Monthly price per monitored node
let PerNodeOveragePrice = 2.30; // Price per GB for data overage in the Per Node pricing tier
let PerGBPrice = 2.30; // Enter the pay-as-you-go price for your workspace's region (from https://azure.microsoft.com/pricing/details/monitor/)
let CommitmentTier100Price = 196.; // Enter your price for the 100 GB/day commitment tier
let CommitmentTier200Price = 368.; // Enter your price for the 200 GB/day commitment tier
let CommitmentTier300Price = 540.; // Enter your price for the 300 GB/day commitment tier
let CommitmentTier400Price = 704.; // Enter your price for the 400 GB/day commitment tier
let CommitmentTier500Price = 865.; // Enter your price for the 500 GB/day commitment tier
let CommitmentTier1000Price = 1700.; // Enter your price for the 1000 GB/day commitment tier
let CommitmentTier2000Price = 3320.; // Enter your price for the 2000 GB/day commitment tier
let CommitmentTier5000Price = 8050.; // Enter your price for the 5000 GB/day commitment tier
// ---------------------------------------
let SecurityDataTypes=dynamic(["SecurityAlert", "SecurityBaseline", "SecurityBaselineSummary", "SecurityDetection", "SecurityEvent", "WindowsFirewall", "MaliciousIPCommunication", "LinuxAuditLog", "SysmonEvent", "ProtectionStatus", "WindowsEvent", "Update", "UpdateSummary"]);
let StartDate = startofday(datetime_add("Day",-1*daysToEvaluate,now()));
let EndDate = startofday(now());
union *
| where TimeGenerated >= StartDate and TimeGenerated < EndDate
| extend computerName = tolower(tostring(split(Computer, '.')[0]))
| where computerName != ""
| summarize nodesPerHour = dcount(computerName) by bin(TimeGenerated, 1h)
| summarize nodesPerDay = sum(nodesPerHour)/24. by day=bin(TimeGenerated, 1d)
| join kind=leftouter (
Heartbeat
| where TimeGenerated >= StartDate and TimeGenerated < EndDate
| where Computer != ""
| summarize ASCnodesPerHour = dcount(Computer) by bin(TimeGenerated, 1h)
| extend ASCnodesPerHour = iff(workspaceHasSecurityCenter, ASCnodesPerHour, 0)
| summarize ASCnodesPerDay = sum(ASCnodesPerHour)/24. by day=bin(TimeGenerated, 1d)
) on day
| join (
Usage
| where TimeGenerated >= StartDate and TimeGenerated < EndDate
| where IsBillable == true
| extend NonSecurityData = iff(DataType !in (SecurityDataTypes), Quantity, 0.)
| extend SecurityData = iff(DataType in (SecurityDataTypes), Quantity, 0.)
| summarize DataGB=sum(Quantity)/1000., NonSecurityDataGB=sum(NonSecurityData)/1000., SecurityDataGB=sum(SecurityData)/1000. by day=bin(StartTime, 1d)
) on day
| extend AvgGbPerNode = NonSecurityDataGB / nodesPerDay
| extend OverageGB = iff(workspaceHasSecurityCenter,
max_of(DataGB - 0.5*nodesPerDay - 0.5*ASCnodesPerDay, 0.),
max_of(DataGB - 0.5*nodesPerDay, 0.))
| extend PerNodeDailyCost = nodesPerDay * PerNodePrice / 31. + OverageGB * PerNodeOveragePrice
| extend billableGB = iff(workspaceHasSecurityCenter,
(NonSecurityDataGB + max_of(SecurityDataGB - 0.5*ASCnodesPerDay, 0.)), DataGB )
| extend PerGBDailyCost = billableGB * PerGBPrice
| extend CommitmentTier100DailyCost = CommitmentTier100Price + max_of(billableGB - 100, 0.)* CommitmentTier100Price/100.
| extend CommitmentTier200DailyCost = CommitmentTier200Price + max_of(billableGB - 200, 0.)* CommitmentTier200Price/200.
| extend CommitmentTier300DailyCost = CommitmentTier300Price + max_of(billableGB - 300, 0.)* CommitmentTier300Price/300.
| extend CommitmentTier400DailyCost = CommitmentTier400Price + max_of(billableGB - 400, 0.)* CommitmentTier400Price/400.
| extend CommitmentTier500DailyCost = CommitmentTier500Price + max_of(billableGB - 500, 0.)* CommitmentTier500Price/500.
| extend CommitmentTier1000DailyCost = CommitmentTier1000Price + max_of(billableGB - 1000, 0.)* CommitmentTier1000Price/1000.
| extend CommitmentTier2000DailyCost = CommitmentTier2000Price + max_of(billableGB - 2000, 0.)* CommitmentTier2000Price/2000.
| extend CommitmentTier5000DailyCost = CommitmentTier5000Price + max_of(billableGB - 5000, 0.)* CommitmentTier5000Price/5000.
| extend MinCost = min_of(
PerNodeDailyCost,PerGBDailyCost,CommitmentTier100DailyCost,CommitmentTier200DailyCost,
CommitmentTier300DailyCost, CommitmentTier400DailyCost, CommitmentTier500DailyCost, CommitmentTier1000DailyCost, CommitmentTier2000DailyCost, CommitmentTier5000DailyCost)
| extend Recommendation = case(
MinCost == PerNodeDailyCost, "Per node tier",
MinCost == PerGBDailyCost, "Pay-as-you-go tier",
MinCost == CommitmentTier100DailyCost, "Commitment tier (100 GB/day)",
MinCost == CommitmentTier200DailyCost, "Commitment tier (200 GB/day)",
MinCost == CommitmentTier300DailyCost, "Commitment tier (300 GB/day)",
MinCost == CommitmentTier400DailyCost, "Commitment tier (400 GB/day)",
MinCost == CommitmentTier500DailyCost, "Commitment tier (500 GB/day)",
MinCost == CommitmentTier1000DailyCost, "Commitment tier (1000 GB/day)",
MinCost == CommitmentTier2000DailyCost, "Commitment tier (2000 GB/day)",
MinCost == CommitmentTier5000DailyCost, "Commitment tier (5000 GB/day)",
"Error"
)
| project day, nodesPerDay, ASCnodesPerDay, NonSecurityDataGB, SecurityDataGB, OverageGB, AvgGbPerNode, PerGBDailyCost, PerNodeDailyCost,
CommitmentTier100DailyCost, CommitmentTier200DailyCost, CommitmentTier300DailyCost, CommitmentTier400DailyCost, CommitmentTier500DailyCost, CommitmentTier1000DailyCost, CommitmentTier2000DailyCost, CommitmentTier5000DailyCost, Recommendation
| sort by day asc
//| project day, Recommendation // Comment this line to see details
| sort by day asc
Cette requête n’est pas une réplication exacte de la façon dont l’utilisation est calculée, mais elle fournit des suggestions de niveau tarifaire dans la plupart des cas.
Notes
Pour utiliser les droits que vous obtenez à l’achat de la suite OMS E1, OMS E2 ou du module complémentaire OMS pour System Center, sélectionnez le niveau tarifaire Par nœud de Log Analytics.
Étapes suivantes
- Consultez Coût et utilisation d’Azure Monitor pour obtenir une description des différents types de frais Azure Monitor et comment les analyser sur votre facture Azure.
- Pour plus d’informations sur l’analyse des données de votre espace de travail afin de déterminer la source d’une utilisation plus élevée que prévue et les opportunités de réduction de la quantité de données collectées, consultez Analyser l’utilisation dans l’espace de travail Log Analytics.
- Pour contrôler vos coûts en configurant un volume maximal pouvant être ingéré chaque jour dans un espace de travail, consultez Définir la limite quotidienne sur l’espace de travail Log Analytics.
- Consultez Meilleures pratiques Azure Monitor : Gestion des coûts pour connaître les meilleures pratiques de configuration et de gestion d’Azure Monitor afin de réduire vos frais.