Napi felső korlát beállítása a naplóelemzési munkaterületen

A Log Analytics-munkaterületek napi korlátja lehetővé teszi az adatbetöltések díjának váratlan emelkedését azáltal, hogy leállítja a számlázható adatok gyűjtését a nap hátralévő részében, amikor egy meghatározott küszöbértéket elér. Ez a cikk a napi korlát működését és annak a munkaterületen való konfigurálását ismerteti.

Fontos

A napi korlát beállításakor körültekintően kell elvégznie, mert ha az adatgyűjtés leáll, a riasztások figyelése és fogadása az erőforrások állapotának befolyásolása esetén. Ez hatással lehet más Azure-szolgáltatásokra és megoldásokra is, amelyek működése a munkaterületen elérhető naprakész adatoktól függhet. A cél nem az, hogy rendszeresen elérje a napi korlátot, hanem ritkán használt módszerként használja azt, hogy elkerülje a nem tervezett díjakat, amelyeket az összegyűjtött adatok mennyiségének váratlan növekedése okoz.

Az Azure Monitor költségeinek csökkentésére vonatkozó stratégiákért tekintse meg a költségoptimalizálást és az Azure Monitort.

A szükséges engedélyek

Művelet	Engedélyekre vagy szerepkörre van szükség
A Napi korlát beállítása Log Analytics-munkaterületen	Microsoft.OperationalInsights/workspaces/write a Log Analytics-munkaterületekre vonatkozó engedélyek, amelyeket a napi korlát be van állítva, például a Log Analytics-közreműködő beépített szerepköre által biztosítottak szerint.
A napi korlát beállítása egy klasszikus Application Insights-erőforráson	microsoft.insights/components/CurrentBillingFeatures/write engedélyek a klasszikus Application Insights-erőforrásokhoz, amelyeken beállította a napi korlátot, például az Application Insights-összetevő közreműködője által biztosított beépített szerepkörben.
Riasztás létrehozása a Log Analytics-munkaterület napi korlátjának elérésekor	microsoft.insights/scheduledqueryrules/writea monitorozási közreműködő beépített szerepköre által biztosított engedélyek, például
Riasztás létrehozása egy klasszikus Application Insights-erőforrás napi korlátjának elérésekor	microsoft.insights/activitylogalerts/writea monitorozási közreműködő beépített szerepköre által biztosított engedélyek, például
A napi korlát hatásának megtekintése	Microsoft.OperationalInsights/workspaces/query/*/read az Ön által lekérdezett Log Analytics-munkaterületekre vonatkozó engedélyek, például a Log Analytics-olvasó beépített szerepkörének megfelelően.

A napi korlát működése

Minden munkaterület napi korlátot kap, amely meghatározza a saját adatkötet-korlátját. A napi korlát elérésekor egy figyelmeztető szalagcím jelenik meg az Azure Portal kijelölt Log Analytics-munkaterületének lapjának tetején, és a rendszer a LogManagement kategória Művelet táblájába küld egy műveleti eseményt. Opcionálisan létrehozhat egy riasztási szabályt, amely riasztást küld az esemény létrehozásakor.

A napi korláthoz használt adatméret az ügyfél által definiált adatátalakítások utáni méret. (További információ az adatgyűjtési szabályok adatátalakításairól.)

Az adatgyűjtés az alaphelyzetbe állításkor folytatódik, amely az egyes munkaterületek napjának egy másik órája. Ez az alaphelyzetbe állítási óra nem konfigurálható. Opcionálisan létrehozhat egy riasztási szabályt, amely riasztást küld az esemény létrehozásakor.

Feljegyzés

A napi korlát nem tudja leállítani az adatgyűjtést pontosan a megadott korlát szintjén, és többletadatok várhatók. A napi korláton túli adatgyűjtés különösen nagy lehet, ha a munkaterület nagy mennyiségű adatot kap. A korlát feletti adatgyűjtés is ki lesz számlázva. A napi korlát hatásának megtekintése egy olyan lekérdezéshez, amely hasznos a napi korlát viselkedésének tanulmányozása során.

Mikor érdemes napi korlátot használni?

A napi korlátokat általában olyan szervezetek használják, amelyek különösen költségtudatosak. Ezeket nem a költségek csökkentésére szolgáló módszerként, hanem megelőző intézkedésként kell használni, hogy Ön ne lépje túl az adott költségvetést.

Az adatgyűjtés leállásakor gyakorlatilag nem figyelheti az adott munkaterületre támaszkodó funkciókat és erőforrásokat. Ahelyett, hogy csak a napi korlátra támaszkodik , létrehozhat egy riasztási szabályt , amely értesíti, ha az adatgyűjtés eléri a napi korlát előtti szintet. Az értesítés lehetővé teszi, hogy az adatgyűjtés leállítása előtt elhárítsa a növekedéseket, vagy akár ideiglenesen letiltsa a gyűjteményt a kevésbé kritikus erőforrások esetében.

Application Insights

A szolgáltatás által betöltött telemetriai adatok mennyiségének korlátozásához az Application Insights és a Log Analytics napi korlátbeállítását is konfigurálnia kell. A munkaterület-alapú Application Insights-erőforrások esetében az érvényes napi korlát a két beállítás minimuma. A klasszikus Application Insights-erőforrások esetében csak az Application Insights napi korlátja érvényes, mivel adataik nem egy Log Analytics-munkaterületen találhatók.

Tipp.

Ha aggódik az Application Insights által gyűjtött számlázható adatok mennyisége miatt, úgy kell konfigurálnia a mintavételezést, hogy az adatmennyisége a kívánt szintre legyen hangolva. Használja a napi korlátot óvintézkedésként arra az esetre, ha az alkalmazás váratlanul sokkal nagyobb mennyiségű telemetriát kezd küldeni.

A klasszikus Application Insights-erőforrások maximális korlátja 1000 GB/nap, hacsak nem kér magasabb maximumot egy nagy forgalmú alkalmazáshoz. Amikor létrehoz egy erőforrást az Azure Portalon, a napi korlát 100 GB/nap lesz. Amikor létrehoz egy erőforrást a Visual Studióban, az alapértelmezett érték kicsi (csak 32,3 MB/nap). A napi korlát alapértelmezett beállítása a tesztelés megkönnyítésére van beállítva. A cél az, hogy a felhasználó megemelje a napi korlátot az alkalmazás éles környezetben való üzembe helyezése előtt.

Feljegyzés

Ha kapcsolati sztring használatával küld adatokat az Application Insightsnak regionális betöltési végpontok használatával, akkor az Application Insights és a Log Analytics napi korlátbeállításai régiónként hatályosak. Ha csak a rendszerállapot-kulcs (ikey) használatával küld adatokat az Application Insightsnak a globális betöltési végpont használatával, akkor előfordulhat, hogy az Application Insights napi korlátbeállítása nem lesz hatékony a régiók között, de a Log Analytics napi korlátbeállítása továbbra is érvényes marad.

Megszüntettük az Application Insightshoz nem használható kreditekkel rendelkező előfizetéstípusokra vonatkozó korlátozást. Korábban, ha az előfizetés rendelkezik költségkeretekkel, a napi korlát párbeszédpanelen a költségkeret eltávolítására és a napi korlát 32,3 MB/nap fölé emelésére vonatkozó utasítások találhatók.

A napi korlát meghatározása

A munkaterület napi korlátjának meghatározásához tekintse meg az Azure Monitor költségeit és használatát az adatbetöltési trendek megismeréséhez. A Log Analytics-munkaterület használatelemzését is áttekintheti, amely metódusokat biztosít a munkaterület használatának részletesebb elemzéséhez.

Munkaterületek Felhőhöz készült Microsoft Defender

Fontos

2023. szeptember 18-tól az Azure Monitor az összes számlázható adattípust korlátozza
ha a napi korlát teljesül. Ha a Microsoft Defender for Servers engedélyezve van a munkaterületen, nincs különleges viselkedés az adattípusok esetében. Ez a módosítás javítja a vártnál magasabb adatbetöltésből származó költségek teljes mértékű elszigetelését. Ha olyan munkaterületen van beállítva napi korlát, amelyen engedélyezve van a Microsoft Defender for Servers, győződjön meg arról, hogy a korlát elég magas ahhoz, hogy megfeleljen ennek a változásnak. Emellett mindenképpen állítson be egy riasztást (lásd alább), hogy a napi korlát elérése után azonnal értesítést kapjon.

2023. szeptember 18-ig, ha egy munkaterület 2017. június 19-e után engedélyezte a Microsoft Defenders for Servers megoldást, a napi korlát konfigurálása ellenére a rendszer biztonsági adattípusokat gyűjt a Felhőhöz készült Microsoft Defender vagy a Microsoft Sentinel számára. A következő adattípusokra a WindowsEvent, SecurityAlert, SecurityBaseline, SecurityBaselineSummary, SecurityDetection, SecurityEvent, WindowsFirewall, MaliciousIPCommunication, LinuxAuditLog, SysmonEvent, ProtectionStatus, Update, UpdateSummary, CommonSecurityLog és Syslog napi korlát vonatkozik.

A napi korlát beállítása

Log Analytics-munkaterület

Egy Log Analytics-munkaterület napi korlátjának beállítása vagy módosítása az Azure Portalon:

1. A Log Analytics-munkaterületek menüjében válassza ki a munkaterületet, majd a használatot és a becsült költségeket.
2. A lap tetején válassza a Napi korlát lehetőséget.
3. Válassza a BE lehetőséget, majd állítsa be az adatkötet korlátját GB/nap értékben.

Feljegyzés

Megjelenik a munkaterület alaphelyzetbe állítási órája, de nem konfigurálható.

A napi korlát Azure Resource Managerrel való konfigurálásához állítsa be a paramétert a dailyQuotaGb Munkaterületek – Létrehozás vagy frissítés szakaszban leírtak szerintWorkspaceCapping.

Klasszikus Applications Insights-erőforrás

Egy klasszikus Application Insights-erőforrás napi korlátjának beállítása vagy módosítása az Azure Portalon:

1. A Monitorozás menüben válassza az Alkalmazások, az alkalmazás, majd a Használat és a becsült költségek lehetőséget.
2. Válassza az Adatsapka lehetőséget a lap tetején.
3. Állítsa be az adatmennyiség korlátját GB/nap értékben.
4. Ha a napi korlát elérésekor e-mailt szeretne küldeni az előfizetés rendszergazdájának, válassza ezt a lehetőséget.
5. Állítsa be a napi korlát figyelmeztetési szintjét az adatmennyiség korlátjának százalékában.
6. Ha e-mailt szeretne küldeni az előfizetés rendszergazdájának a napi korlátra vonatkozó figyelmeztetési szint elérésekor, válassza ezt a lehetőséget.

Ha a napi korlátot az Azure Resource Managerrel szeretné konfigurálni, állítsa be a dailyQuotadailyQuotaResetTime munkaterületek – Létrehozás vagy frissítés című szakaszban leírt módon a paramétereket és warningThreshold a paramétereket.

Riasztás a napi korlát elérésekor

Amikor eléri egy Log Analytics-munkaterület napi korlátját, egy szalagcím jelenik meg az Azure Portalon, és egy eseményt ír a munkaterület Operatív táblájába. Létre kell hoznia egy riasztási szabályt, amely proaktív módon értesíti Önt, ha ez történik.

Ha riasztást szeretne kapni a napi korlát elérésekor, hozzon létre egy naplókeresési riasztási szabályt az alábbi részletekkel.

Beállítás	Érték
Hatókör
Cél hatóköre	Válassza ki a Log Analytics-munkaterületet.
Feltétel
Jel típusa	Napló
Jel neve	Egyéni naplókeresés
Lekérdezés	_LogOperation | where Category =~ "Ingestion" | where Detail contains "OverQuota"
Mérték	Mérték: Táblázatsorok Összesítés típusa: Darabszám Összesítés részletessége: 5 perc
Riasztási logika	Operátor: Nagyobb, mint Küszöbérték: 0 A kiértékelés gyakorisága: 5 perc
Műveletek	Jelöljön ki vagy vegyen fel egy műveletcsoportot, amely értesíti Önt a küszöbérték túllépésének időpontjáról.
Részletek
Súlyosság	Figyelmeztetés
Riasztási szabály neve	Elérte a napi adatkorlátot

Klasszikus Application Insights-erőforrás

Amikor eléri a napi korlátot egy klasszikus Application Insights-erőforráshoz, egy esemény jön létre az Azure-tevékenységnaplóban az alábbi jelnevekkel. Igény szerint e-mailt is küldhet az előfizetés rendszergazdájának mind a korlát elérésekor, mind a napi korlát meghatározott százalékának elérésekor.

• Elérte az Application Insights összetevő napi korlátra vonatkozó figyelmeztetési küszöbértékét
• Elérte az Application Insights összetevő napi korlátját

Ha riasztást szeretne létrehozni a napi korlát elérésekor, hozzon létre egy tevékenységnapló-riasztási szabályt az alábbi részletekkel.

Beállítás	Érték
Hatókör
Cél hatóköre	Válassza ki az alkalmazást.
Feltétel
Jel típusa	Tevékenységnapló
Jel neve	Elérte az Application Insights összetevő napi korlátját Vagy Elérte az Application Insights összetevő napi korlátra vonatkozó figyelmeztetési küszöbértékét
Súlyosság	Figyelmeztetés
Riasztási szabály neve	Elérte a napi adatkorlátot

A napi korlát hatásának megtekintése

Az alábbi lekérdezéssel nyomon követheti a Log Analytics-munkaterület napi korlátja alá tartozó adatköteteket a napi korlát alaphelyzetbe állítása között. Ebben a példában a munkaterület alaphelyzetbe állítási órája 14:00. Módosítsa DailyCapResetHour úgy, hogy megfeleljen a munkaterület alaphelyzetbe állítási órájának, amelyet a Napi korlát konfigurációs oldalán láthat.

let DailyCapResetHour=14;
Usage
| where TimeGenerated > ago(32d)
| extend StartTime=datetime_add("hour",-1*DailyCapResetHour,StartTime)
| where StartTime > startofday(ago(31d))
| where IsBillable
| summarize IngestedGbBetweenDailyCapResets=sum(Quantity)/1000. by day=bin(StartTime , 1d) // Quantity in units of MB
| render areachart  

Adattípusok hozzáadása Update a where Datatype UpdateSummary sorhoz, ha az Update Management-megoldás nem fut a munkaterületen, vagy a megoldás célzása engedélyezve van (további információ).

Következő lépések

• A Díjak csökkentéséhez tekintse meg az Azure Monitor Naplók díjszabásának részleteit a Log Analytics-munkaterületen lévő adatok díjainak kiszámításáról, valamint a díjak csökkentésére szolgáló különböző konfigurációs lehetőségekről.
• A Díjak csökkentéséhez tekintse meg az Azure Monitor Naplók díjszabásának részleteit a Log Analytics-munkaterületen lévő adatok díjainak kiszámításáról, valamint a díjak csökkentésére szolgáló különböző konfigurációs lehetőségekről.
• A Log Analytics-munkaterület használati adatainak elemzésével kapcsolatos részletekért tekintse meg a munkaterületen található adatok elemzését, és állapítsa meg, hogy a vártnál nagyobb kihasználtság és a gyűjtött adatok mennyiségének csökkentése érdekében milyen lehetőségeket kínál.