Napi korlát beállítása a Log Analytics-munkaterületen

A Log Analytics-munkaterületek napi korlátja lehetővé teszi az adatbetöltések díjának váratlan emelkedését azáltal, hogy leállítja a számlázható adatok gyűjtését a nap hátralévő részében, amikor egy meghatározott küszöbértéket elér. Ez a cikk a napi korlát működését és a munkaterületen belüli konfigurálást ismerteti.

Fontos

A napi korlát beállításakor körültekintően kell elvégznie, mert ha az adatgyűjtés leáll, a riasztások figyelése és fogadása az erőforrások állapotának befolyásolása esetén. Ez hatással lehet más Azure-szolgáltatásokra és megoldásokra is, amelyek működése a munkaterületen elérhető naprakész adatoktól függhet. A cél nem az, hogy rendszeresen elérje a napi korlátot, hanem ritkán használt módszerként használja, hogy elkerülje a nem tervezett díjakat, amelyeket az összegyűjtött adatok mennyiségének váratlan növekedése okoz.

Az Azure Monitor költségeinek csökkentésére vonatkozó stratégiákért tekintse meg a költségoptimalizálást és az Azure Monitort.

A szükséges engedélyek

Művelet Engedélyekre vagy szerepkörre van szükség
A Napi korlát beállítása Log Analytics-munkaterületen Microsoft.OperationalInsights/workspaces/write a Log Analytics-munkaterületekre vonatkozó engedélyek, amelyeket a napi korlát be van állítva, például a Log Analytics-közreműködő beépített szerepköre által biztosítottak szerint.
Egy klasszikus alkalmazás Elemzések erőforrás napi korlátjának beállítása microsoft.insights/components/CurrentBillingFeatures/writeengedélyeket a klasszikus alkalmazáshoz Elemzések erőforrásokhoz, amelyeken beállította a napi korlátot, például az alkalmazás Elemzések összetevő-közreműködő beépített szerepköre által biztosítottak szerint.
Riasztás létrehozása a Log Analytics-munkaterület napi korlátjának elérésekor microsoft.insights/scheduledqueryrules/writea monitorozási közreműködő beépített szerepköre által biztosított engedélyek, például
Riasztás létrehozása egy klasszikus alkalmazás Elemzések erőforrás napi korlátjának elérésekor microsoft.insights/activitylogalerts/writea monitorozási közreműködő beépített szerepköre által biztosított engedélyek, például
A napi korlát hatásának megtekintése Microsoft.OperationalInsights/workspaces/query/*/read az Ön által lekérdezett Log Analytics-munkaterületekre vonatkozó engedélyek, például a Log Analytics-olvasó beépített szerepkörének megfelelően.

A napi korlát működése

Minden munkaterület napi korlátot kap, amely meghatározza a saját adatkötet-korlátját. A napi korlát elérésekor egy figyelmeztető szalagcím jelenik meg az Azure Portal kijelölt Log Analytics-munkaterületének lapjának tetején, és a rendszer a LogManagement kategória Művelet táblájába küld egy műveleti eseményt. Opcionálisan létrehozhat egy riasztási szabályt, amely riasztást küld az esemény létrehozásakor.

Az adatgyűjtés az alaphelyzetbe állításkor folytatódik, amely az egyes munkaterületek napjának egy másik órája. Ez az alaphelyzetbe állítási óra nem konfigurálható. Opcionálisan létrehozhat egy riasztási szabályt, amely riasztást küld az esemény létrehozásakor.

Feljegyzés

A napi korlát nem tudja leállítani az adatgyűjtést pontosan a megadott korlát szintjén, és többletadatok várhatók, különösen akkor, ha a munkaterület nagy mennyiségű adatot kap. A korlát feletti adatgyűjtés is ki lesz számlázva. A napi korlát hatásának megtekintése egy olyan lekérdezéshez, amely hasznos a napi korlát viselkedésének tanulmányozása során.

Mikor érdemes napi korlátot használni?

A napi korlátokat általában olyan szervezetek használják, amelyek különösen költségtudatosak. Ezeket nem a költségek csökkentésére szolgáló módszerként, hanem megelőző intézkedésként kell használni, hogy ne lépje túl az adott költségvetést.

Az adatgyűjtés leállásakor gyakorlatilag nem figyelheti az adott munkaterületre támaszkodó funkciókat és erőforrásokat. Ahelyett, hogy csak a napi korlátra támaszkodik , létrehozhat egy riasztási szabályt , amely értesíti, ha az adatgyűjtés eléri a napi korlát előtti szintet. Az értesítés lehetővé teszi, hogy az adatgyűjtés leállítása előtt elhárítsa a növekedéseket, vagy akár ideiglenesen letiltsa a gyűjteményt a kevésbé kritikus erőforrások esetében.

Application Insights

Az Alkalmazás Elemzések és a Log Analytics napi korlátbeállítását is konfigurálnia kell a szolgáltatás által betöltött telemetriai adatok mennyiségének korlátozásához. A munkaterület-alapú alkalmazások Elemzések erőforrások esetében az érvényes napi korlát a két beállítás minimuma. A klasszikus alkalmazás-Elemzések erőforrások esetében csak az alkalmazás Elemzések napi korlát érvényes, mivel adataik nem egy Log Analytics-munkaterületen találhatók.

Tipp.

Ha aggódik az alkalmazás Elemzések által gyűjtött számlázható adatok mennyisége miatt, úgy kell konfigurálnia a mintavételezést, hogy az adatmennyisége a kívánt szintre legyen hangolva. Használja a napi korlátot óvintézkedésként arra az esetre, ha az alkalmazás váratlanul sokkal nagyobb mennyiségű telemetriát kezd küldeni.

Egy alkalmazás Elemzések klasszikus erőforrás maximális korlátja 1000 GB/nap, kivéve, ha nagyobb maximális értéket kér egy nagy forgalmú alkalmazáshoz. Amikor létrehoz egy erőforrást az Azure Portalon, a napi korlát 100 GB/nap lesz. Amikor létrehoz egy erőforrást a Visual Studióban, az alapértelmezett érték kicsi (csak 32,3 MB/nap). A napi korlát alapértelmezett beállítása a tesztelés megkönnyítésére van beállítva. A cél az, hogy a felhasználó megemelje a napi korlátot az alkalmazás éles környezetben való üzembe helyezése előtt.

Feljegyzés

Ha kapcsolati sztring használatával küld adatokat az Alkalmazás Elemzések regionális betöltési végpontok használatával, akkor az Alkalmazás Elemzések és a Log Analytics napi korlátbeállításai régiónként hatályosak. Ha csak a rendszerállapot-kulcs (ikey) használatával küld adatokat az Alkalmazásnak Elemzések a globális betöltési végpont használatával, akkor előfordulhat, hogy az alkalmazás Elemzések napi korlátbeállítás nem lesz hatékony a régiók között, de a Log Analytics napi korlátbeállítása továbbra is érvényes lesz.

Megszüntettük bizonyos olyan előfizetéstípusokra vonatkozó korlátozást, amelyek nem használhatók az Alkalmazás Elemzések. Korábban, ha az előfizetés rendelkezik költségkeretekkel, a napi korlát párbeszédpanelen a költségkeret eltávolítására és a napi korlát 32,3 MB/nap fölé emelésére vonatkozó utasítások találhatók.

A napi korlát meghatározása

A munkaterület napi korlátjának meghatározásához tekintse meg az Azure Monitor költségeit és használatát az adatbetöltési trendek megismeréséhez. A Log Analytics-munkaterület használatelemzését is áttekintheti, amely metódusokat biztosít a munkaterület használatának részletesebb elemzéséhez.

Munkaterületek Felhőhöz készült Microsoft Defender

Fontos

2023. szeptember 18-tól az Azure Monitor az összes számlázható adattípust korlátozza
ha a napi korlát teljesül. Ha a Microsoft Defender for Servers engedélyezve van a munkaterületen, nincs különleges viselkedés az adattípusok esetében. Ez a módosítás javítja a vártnál magasabb adatbetöltésből származó költségek teljes mértékű elszigetelését. Ha olyan munkaterületen van beállítva napi korlát, amelyen engedélyezve van a Microsoft Defender for Servers, győződjön meg arról, hogy a korlát elég magas ahhoz, hogy megfeleljen ennek a változásnak. Emellett mindenképpen állítson be egy riasztást (lásd alább), hogy a napi korlát elérése után azonnal értesítést kapjon.

2023. szeptember 18-ig, ha egy munkaterület 2017. június 19-e után engedélyezte a Microsoft Defenders for Servers megoldást, a napi korlát konfigurálása ellenére a rendszer biztonsági adattípusokat gyűjt a Felhőhöz készült Microsoft Defender vagy a Microsoft Sentinel számára. A következő adattípusokra a WindowsEvent, SecurityAlert, SecurityBaseline, SecurityBaselineSummary, SecurityDetection, SecurityEvent, WindowsFirewall, MaliciousIPCommunication, LinuxAuditLog, SysmonEvent, ProtectionStatus, Update, UpdateSummary, CommonSecurityLog és Syslog napi korlát vonatkozik.

A napi korlát beállítása

Log Analytics-munkaterület

Egy Log Analytics-munkaterület napi korlátjának beállítása vagy módosítása az Azure Portalon:

  1. A Log Analytics-munkaterületek menüjében válassza ki a munkaterületet, majd a használatot és a becsült költségeket.
  2. A lap tetején válassza a Napi korlát lehetőséget.
  3. Válassza a BE lehetőséget, majd állítsa be az adatkötet korlátját GB/nap értékben.

Log Analytics configure data limit

Feljegyzés

Megjelenik a munkaterület alaphelyzetbe állítási órája, de nem konfigurálható.

A napi korlát Azure Resource Managerrel való konfigurálásához állítsa be a paramétert a dailyQuotaGb Munkaterületek – Létrehozás vagy frissítés szakaszban leírtak szerintWorkspaceCapping.

Klasszikus alkalmazások Elemzések erőforrás

Egy klasszikus alkalmazás Elemzések erőforrás napi korlátjának beállítása vagy módosítása az Azure Portalon:

  1. A Monitorozás menüben válassza az Alkalmazások, az alkalmazás, majd a Használat és a becsült költségek lehetőséget.
  2. Válassza az Adatsapka lehetőséget a lap tetején.
  3. Állítsa be az adatmennyiség korlátját GB/nap értékben.
  4. Ha a napi korlát elérésekor e-mailt szeretne küldeni az előfizetés rendszergazdájának, válassza ezt a lehetőséget.
  5. Állítsa be a napi korlát figyelmeztetési szintjét az adatmennyiség korlátjának százalékában.
  6. Ha e-mailt szeretne küldeni az előfizetés rendszergazdájának a napi korlátra vonatkozó figyelmeztetési szint elérésekor, válassza ezt a lehetőséget.

Application Insights configure data limit

Ha a napi korlátot az Azure Resource Managerrel szeretné konfigurálni, állítsa be a dailyQuotadailyQuotaResetTime munkaterületek – Létrehozás vagy frissítés című szakaszban leírt módon a paramétereket és warningThreshold a paramétereket.

Riasztás a napi korlát elérésekor

Amikor eléri egy Log Analytics-munkaterület napi korlátját, egy szalagcím jelenik meg az Azure Portalon, és egy eseményt ír a munkaterület Operatív táblájába. Létre kell hoznia egy riasztási szabályt, amely proaktív módon értesíti Önt, ha ez történik.

Ha riasztást szeretne kapni a napi korlát elérésekor, hozzon létre egy naplókeresési riasztási szabályt az alábbi részletekkel.

Beállítás Érték
Hatókör
Cél hatóköre Válassza ki a Log Analytics-munkaterületet.
Feltétel
Jel típusa Napló
Jel neve Egyéni naplókeresés
Lekérdezés _LogOperation | where Category =~ "Ingestion" | where Detail contains "OverQuota"
Mérték Mérték: Táblázatsorok
Összesítés típusa: Darabszám
Összesítés részletessége: 5 perc
Riasztási logika Operátor: Nagyobb, mint
Küszöbérték: 0
A kiértékelés gyakorisága: 5 perc
Műveletek Jelöljön ki vagy vegyen fel egy műveletcsoportot, amely értesíti Önt a küszöbérték túllépésének időpontjáról.
Részletek
Súlyosság Figyelmeztetés
Riasztási szabály neve Elérte a napi adatkorlátot

Klasszikus Application Insights-erőforrás

Amikor eléri a napi korlátot egy klasszikus alkalmazás Elemzések erőforráshoz, egy esemény jön létre az Azure-tevékenységnaplóban az alábbi jelnevekkel. Igény szerint e-mailt is küldhet az előfizetés rendszergazdájának mind a korlát elérésekor, mind a napi korlát meghatározott százalékának elérésekor.

  • Alkalmazás Elemzések összetevő napi korlátja figyelmeztetési küszöbértéke elérte
  • Alkalmazás Elemzések összetevő napi korlátja elérte

Ha riasztást szeretne létrehozni a napi korlát elérésekor, hozzon létre egy tevékenységnapló-riasztási szabályt az alábbi részletekkel.

Beállítás Érték
Hatókör
Cél hatóköre Válassza ki az alkalmazást.
Feltétel
Jel típusa Tevékenységnapló
Jel neve Alkalmazás Elemzések összetevő napi korlátja elérte
Or
Alkalmazás Elemzések összetevő napi korlátja figyelmeztetési küszöbértéke elérte
Súlyosság Figyelmeztetés
Riasztási szabály neve Elérte a napi adatkorlátot

A napi korlát hatásának megtekintése

Az alábbi lekérdezéssel nyomon követheti a Log Analytics-munkaterület napi korlátja alá tartozó adatköteteket a napi korlát alaphelyzetbe állítása között. Ebben a példában a munkaterület alaphelyzetbe állítási órája 14:00. Módosítsa DailyCapResetHour úgy, hogy megfeleljen a munkaterület alaphelyzetbe állítási órájának, amelyet a Napi korlát konfigurációs oldalán láthat.

let DailyCapResetHour=14;
Usage
| where TimeGenerated > ago(32d)
| extend StartTime=datetime_add("hour",-1*DailyCapResetHour,StartTime)
| where StartTime > startofday(ago(31d))
| where IsBillable
| summarize IngestedGbBetweenDailyCapResets=sum(Quantity)/1000. by day=bin(StartTime , 1d) // Quantity in units of MB
| render areachart  

Adattípusok hozzáadása Update a where DatatypeUpdateSummary sorhoz, ha az Update Management-megoldás nem fut a munkaterületen, vagy a megoldás célzása engedélyezve van (további információ).

Következő lépések