Kostenberekeningen en opties voor Azure Monitor-logboeken
De belangrijkste kosten voor de meeste Azure Monitor-implementaties zijn doorgaans het opnemen en bewaren van gegevens in uw Log Analytics-werkruimten. Verschillende functies in Azure Monitor hebben geen directe kosten, maar voegen ze toe aan de verzamelde werkruimtegegevens. In dit artikel wordt beschreven hoe gegevenskosten worden berekend voor uw Log Analytics-werkruimten en de verschillende configuratieopties die van invloed zijn op uw kosten.
Tip
Zie Kostenoptimalisatie en Azure Monitor voor strategieën om uw Azure Monitor-kosten te verlagen.
Prijsmodel
De standaardprijzen voor Log Analytics zijn een model voor betalen per gebruik dat is gebaseerd op opgenomen gegevensvolume en gegevensretentie. Elke Log Analytics-werkruimte wordt in rekening gebracht als een afzonderlijke service en draagt bij aan de factuur voor uw Azure-abonnement. Prijzen voor Log Analytics worden regionaal ingesteld. De hoeveelheid gegevensopname kan aanzienlijk zijn, afhankelijk van:
- De set beheeroplossingen die zijn ingeschakeld en hun configuratie.
- Het aantal en het type bewaakte resources.
- De typen gegevens die worden verzameld van elke bewaakte resource.
Hier vindt u een lijst met azure Monitor-factureringsmeternamen.
Berekening van gegevensgrootte
Het gegevensvolume wordt gemeten als de grootte van de gegevens die worden verzonden om op te slaan en wordt gemeten in eenheden van GB (10^9 bytes). De gegevensgrootte van één record wordt berekend op basis van een tekenreeksweergave van de kolommen die zijn opgeslagen in de Log Analytics-werkruimte voor die record. Het maakt niet uit of de gegevens worden verzonden vanuit een agent of worden toegevoegd tijdens het opnameproces. Deze berekening omvat eventuele aangepaste kolommen die worden toegevoegd door de API voor opname van logboeken, transformaties of aangepaste velden die worden toegevoegd als gegevens worden verzameld en vervolgens worden opgeslagen in de werkruimte.
Notitie
De berekening van het factureerbare gegevensvolume is over het algemeen aanzienlijk kleiner dan de gehele binnenkomende JSON-verpakte gebeurtenis. Gemiddeld is de gefactureerde grootte voor alle gebeurtenistypen ongeveer 25 procent kleiner dan de binnenkomende gegevensgrootte. Het kan tot 50 procent zijn voor kleine gebeurtenissen. Het percentage bevat het effect van de standaardkolommen die zijn uitgesloten van facturering. Het is essentieel om inzicht te hebben in deze berekening van de gefactureerde gegevensgrootte wanneer u de kosten inschatten en andere prijsmodellen vergelijkt.
Uitgesloten kolommen
De volgende standaardkolommen zijn gebruikelijk voor alle tabellen en worden uitgesloten in de berekening van de recordgrootte. Alle andere kolommen die zijn opgeslagen in Log Analytics, worden opgenomen in de berekening van de recordgrootte. De standaardkolommen zijn:
_ResourceId
_SubscriptionId
_ItemId
_IsBillable
_BilledSize
Type
Uitgesloten tabellen
Sommige tabellen zijn gratis van kosten voor gegevensopname, waaronder bijvoorbeeld AzureActivity, Heartbeat, Gebruik en Bewerking. Deze informatie wordt altijd aangegeven in de kolom _IsBillable , die laat zien of een record is uitgesloten van facturering voor gegevensopname en -retentie.
Kosten voor andere oplossingen en services
Sommige oplossingen hebben specifiekere beleidsregels voor het opnemen van gratis gegevens. Azure Migrate maakt bijvoorbeeld afhankelijkheidsvisualisatiegegevens voor de eerste 180 dagen van een serverevaluatie gratis. Services zoals Microsoft Defender voor Cloud, Microsoft Sentinel en configuratiebeheer hebben hun eigen prijsmodellen.
Raadpleeg de documentatie voor verschillende services en oplossingen voor eventuele unieke factureringsberekeningen.
Toezeggingsniveaus
Naast het model voor betalen per gebruik heeft Log Analytics toezeggingslagen, waarmee u maximaal 30 procent kunt besparen ten opzichte van de prijs voor betalen per gebruik. Met prijscategorieën voor toezeggingen kunt u zich verplichten om gegevensopname voor een werkruimte te kopen, te beginnen bij 100 GB per dag, tegen een lagere prijs dan betalen per gebruik. Elk gebruik boven het toezeggingsniveau (overschrijding) wordt gefactureerd tegen dezelfde prijs per GB als door de huidige toezeggingslaag. (Overschrijding wordt gefactureerd met behulp van dezelfde factureringsmeter voor de toezeggingslaag. Als een werkruimte zich bijvoorbeeld in de toezeggingslaag van 200 GB/dag bevindt en 300 GB per dag opneemt, wordt dat gebruik gefactureerd als 1,5 eenheden van de toezeggingslaag van 200 GB/dag.) De toezeggingslagen hebben een toezeggingsperiode van 31 dagen vanaf het moment dat een toezeggingslaag is geselecteerd of gewijzigd.
- Tijdens de toezeggingsperiode kunt u overschakelen naar een hogere toezeggingslaag, waarmee de toezeggingsperiode van 31 dagen opnieuw wordt gestart. U kunt pas teruggaan naar betalen per gebruik of naar een lagere toezeggingslaag nadat u de toezeggingsperiode hebt voltooid.
- Aan het einde van de toezeggingsperiode behoudt de werkruimte de geselecteerde toezeggingslaag en kan de werkruimte op elk gewenst moment worden verplaatst naar betalen per gebruik of naar een lagere toezeggingslaag.
- Als een werkruimte per ongeluk wordt verplaatst naar een toezeggingslaag, neemt u contact op met Microsoft Ondersteuning om de toezeggingsperiode opnieuw in te stellen, zodat u kunt terugkeren naar de prijscategorie betalen per gebruik.
Facturering voor de toezeggingslagen wordt dagelijks per werkruimte uitgevoerd. Als de werkruimte deel uitmaakt van een toegewezen cluster, wordt de facturering voor het cluster uitgevoerd. Zie de volgende sectie Toegewezen clusters. Zie De prijzen van Azure Monitor voor een lijst met de toezeggingslagen en de bijbehorende prijzen.
Azure-toezeggingskortingen, zoals kortingen die worden ontvangen van Microsoft Enterprise Overeenkomst s, worden toegepast op azure Monitor Logs-prijscategorieën, net zoals ze zijn voor betalen per gebruik-prijzen. Kortingen worden toegepast, ongeacht of het gebruik per werkruimte of per toegewezen cluster wordt gefactureerd.
Tip
In het menu-item Gebruik en geschatte kosten voor elke Log Analytics-werkruimte ziet u een schatting van de kosten voor gegevensopname op elk toezeggingsniveau, zodat u de optimale toezeggingslaag voor uw gegevensopnamepatronen kunt kiezen. Bekijk deze informatie regelmatig om te bepalen of u uw kosten kunt verlagen door over te stappen naar een andere laag. Zie Gebruik en geschatte kosten voor meer informatie over deze weergave. Als u de werkelijke kosten wilt bekijken, gebruikt u Azure Cost Management = Facturering.
Toegewezen clusters
Een toegewezen Cluster van Azure Monitor-logboeken is een verzameling werkruimten in één beheerd Azure Data Explorer-cluster. Toegewezen clusters ondersteunen geavanceerde functies, zoals door de klant beheerde sleutels, en gebruiken hetzelfde prijsmodel voor de toezeggingslaag als werkruimten, hoewel ze een toezeggingsniveau van ten minste 100 GB per dag moeten hebben. Elk gebruik boven het toezeggingsniveau (overschrijding) wordt gefactureerd tegen dezelfde prijs per GB als door de huidige toezeggingslaag. Er is geen optie voor betalen per gebruik voor clusters.
De clusterbezeggingslaag heeft een toezeggingsperiode van 31 dagen nadat het toezeggingsniveau is verhoogd. Tijdens de toezeggingsperiode kan het niveau van de toezeggingslaag niet worden verlaagd, maar het kan op elk gewenst moment worden verhoogd. Wanneer werkruimten zijn gekoppeld aan een cluster, wordt de facturering voor gegevensopname voor deze werkruimten uitgevoerd op clusterniveau met behulp van het geconfigureerde niveau van de toezeggingslaag.
Er zijn twee factureringsmodi voor een cluster dat u opgeeft wanneer u het cluster maakt:
Cluster (standaard): facturering voor opgenomen gegevens wordt uitgevoerd op clusterniveau. De opgenomen gegevenshoeveelheden uit elke werkruimte die aan een cluster zijn gekoppeld, worden samengevoegd om de dagelijkse factuur voor het cluster te berekenen. Toewijzingen per knooppunt van Microsoft Defender voor Cloud worden toegepast op werkruimteniveau vóór deze aggregatie van gegevens in alle werkruimten in het cluster.
Werkruimten: kosten voor toezeggingslagen voor uw cluster worden evenredig toegewezen aan de werkruimten in het cluster, door het gegevensopnamevolume van elke werkruimte (na boekhouding voor toewijzingen per knooppunt van Microsoft Defender voor Cloud voor elke werkruimte).
Als het totale gegevensvolume dat is opgenomen in een cluster voor een dag kleiner is dan de toezeggingslaag, wordt elke werkruimte gefactureerd voor de opgenomen gegevens tegen het effectieve tarief per GB-toezeggingslaag door ze een fractie van de toezeggingslaag te factureren. Het ongebruikte deel van de toezeggingslaag wordt vervolgens gefactureerd aan de clusterresource.
Als het totale gegevensvolume dat is opgenomen in een cluster voor een dag meer is dan de toezeggingslaag, wordt elke werkruimte gefactureerd voor een fractie van de toezeggingslaag, op basis van de fractie van de opgenomen gegevens die dag en elke werkruimte voor een fractie van de opgenomen gegevens boven de toezeggingslaag. Als het totale gegevensvolume dat voor een dag in een werkruimte is opgenomen, hoger is dan de toezeggingslaag, wordt er niets gefactureerd aan de clusterresource.
Hier vindt u voorbeelden van hoe clusterfacturering werkt in elk van deze modi.
Gegevensretentie wordt gefactureerd voor elke werkruimte, hetzelfde als voor werkruimten die niet aan een cluster zijn gekoppeld.
Clusterfacturering wordt gestart wanneer het cluster wordt gemaakt, ongeacht of werkruimten zijn gekoppeld aan het cluster.
Wanneer u werkruimten koppelt aan een cluster, wordt de prijscategorie gewijzigd in het cluster en wordt de opname gefactureerd op basis van de toezeggingslaag van het cluster. Werkruimten die aan een cluster zijn gekoppeld, hebben geen eigen prijscategorie meer. Werkruimten kunnen op elk gewenst moment worden ontkoppeld vanuit een cluster en de prijscategorie kan worden gewijzigd in per GB.
Als uw gekoppelde werkruimte gebruikmaakt van de verouderde prijscategorie per knooppunt, wordt deze gefactureerd op basis van gegevens die zijn opgenomen in de toezeggingslaag van het cluster en niet meer per knooppunt. Gegevenstoewijzingen per knooppunt van Microsoft Defender voor Cloud worden nog steeds toegepast.
Als een cluster wordt verwijderd, stopt de facturering voor het cluster, zelfs als het cluster binnen de toezeggingsperiode van 31 dagen valt.
Zie Een toegewezen cluster maken voor meer informatie over het maken van een toegewezen cluster en het bijbehorende factureringstype opgeven.
Basis- en hulptabelplannen
U kunt bepaalde tabellen in een Log Analytics-werkruimte configureren voor het gebruik van basis- en hulptabelplannen. Gegevens in deze tabellen hebben een aanzienlijk lagere opnamekosten. Er worden kosten in rekening gebracht voor het opvragen van gegevens in deze tabellen.
De kosten voor het opvragen van gegevens in basic- en hulptabellen zijn gebaseerd op de GB aan gegevens die zijn gescand bij het uitvoeren van de zoekopdracht.
Zie overzicht van Azure Monitor-logboeken voor meer informatie over de basis- en hulptabelplannen : Tabelplannen.
Logboekgegevensretentie
Naast gegevensopname worden er kosten in rekening gebracht voor het bewaren van gegevens in elke Log Analytics-werkruimte. U kunt de bewaarperiode voor de hele werkruimte of voor elke tabel instellen. Na deze periode worden de gegevens verwijderd of bewaard in langetermijnretentie. Tijdens de langetermijnretentieperiode betaalt u een gereduceerde retentiekosten en er worden kosten in rekening gebracht om de gegevens op te halen met behulp van een zoektaak. Gebruik langetermijnretentie om uw kosten te verlagen voor gegevens die u moet opslaan voor naleving of incidenteel onderzoek.
Als u een aangepaste tabel verwijdert, worden geen gegevens verwijderd die aan die tabel zijn gekoppeld, zodat interactieve en langetermijnretentiekosten blijven gelden.
Zie Gegevensretentie beheren in een Log Analytics-werkruimte voor meer informatie over het bewaren van gegevens, waaronder het configureren van deze instellingen en het openen van gegevens in langetermijnretentie.
Notitie
Het verwijderen van gegevens uit uw Log Analytics-werkruimte met behulp van de functie Log Analytics Opschonen heeft geen invloed op uw retentiekosten. Als u de retentiekosten wilt verlagen, verlaagt u de bewaarperiode voor de werkruimte of voor specifieke tabellen.
Zoekopdrachten
Gegevens ophalen uit langetermijnretentie door zoektaken uit te voeren. Zoektaken zijn asynchrone query's waarmee records worden opgehaald in een nieuwe zoektabel in uw werkruimte voor verdere analyse. Zoektaken worden gefactureerd op basis van het aantal GB aan gegevens dat op elke dag wordt gescand om de zoekopdracht uit te voeren.
Logboekgegevens herstellen
Wanneer u intensief query's moet uitvoeren op grote hoeveelheden gegevens of gegevens in langetermijnretentie met de volledige analysequerymogelijkheden, is de functie voor gegevensherstel een krachtig hulpprogramma. De herstelbewerking maakt een specifiek tijdsbereik van gegevens in een tabel beschikbaar in de hot-cache voor query's met hoge prestaties. U kunt de gegevens later sluiten wanneer u klaar bent. Het herstellen van logboekgegevens wordt gefactureerd op basis van de hoeveelheid herstelde gegevens en op het moment dat de herstelbewerking actief wordt gehouden. De minimale waarden die worden gefactureerd voor gegevensherstel zijn 2 TB en 12 uur. Gegevens die meer dan 2 TB en/of meer dan 12 uur in duur zijn hersteld, worden naar rato gefactureerd.
Logboekgegevensexport
Met gegevensexport in een Log Analytics-werkruimte kunt u continu gegevens exporteren per geselecteerde tabellen in uw werkruimte naar een Azure Storage-account of Azure Event Hubs wanneer deze binnenkomt in een Azure Monitor-pijplijn. Kosten voor het gebruik van gegevensexport zijn gebaseerd op de hoeveelheid geëxporteerde gegevens. De grootte van de geëxporteerde gegevens is het aantal bytes in de geëxporteerde JSON-geformatteerde gegevens.
Application Insights-facturering
Omdat Application Insights-resources op basis van werkruimten hun gegevens opslaan in een Log Analytics-werkruimte, wordt de facturering voor gegevensopname en -retentie uitgevoerd door de werkruimte waar de Application Insights-gegevens zich bevinden. Daarom kunt u alle opties van het Log Analytics-prijsmodel gebruiken, inclusief toezeggingslagen, samen met betalen per gebruik.
Tip
Wilt u de bewaarinstellingen voor uw Application Insights-tabellen aanpassen? De tabelnamen zijn gewijzigd voor onderdelen op basis van werkruimten. Zie Application Insights-tabelstructuur
Gegevensopname en gegevensretentie voor een klassieke Application Insights-resource volgen dezelfde prijzen voor betalen per gebruik als op werkruimte gebaseerde resources, maar ze kunnen geen toezeggingslagen gebruiken.
Telemetrie van pingtests en tests met meerdere stappen wordt in rekening gebracht op hetzelfde als het gegevensgebruik voor andere telemetrie van uw app. Het gebruik van webtests en het inschakelen van waarschuwingen voor aangepaste metrische dimensies wordt nog steeds gerapporteerd via Application Insights. Er worden geen gegevensvolumekosten in rekening gebracht voor het gebruik van Live Metrics Stream.
Zie de prijscategorie Application Insights voor oudere ondernemingen (per knooppunt) voor meer informatie over verouderde lagen die beschikbaar zijn voor early adopters van Application Insights.
Werkruimten met Microsoft Sentinel
Wanneer Microsoft Sentinel is ingeschakeld in een Log Analytics-werkruimte, worden alle gegevens die in die werkruimte worden verzameld, in rekening gebracht voor Microsoft Sentinel, samen met Log Analytics-kosten. Daarom scheidt u uw beveiligings- en operationele gegevens vaak in verschillende werkruimten, zodat u geen kosten voor Microsoft Sentinel in rekening brengt voor operationele gegevens.
In sommige scenario's kan het combineren van deze gegevens leiden tot kostenbesparingen. Deze situatie treedt meestal op wanneer u niet voldoende beveiligings- en operationele gegevens verzamelt om een toezeggingslaag zelf te bereiken, maar de gecombineerde gegevens zijn voldoende om een toezeggingslaag te bereiken. Zie voor meer informatie:
- Een Log Analytics-werkruimtearchitectuur ontwerpen
- Voorbeeld van Log Analytics-werkruimteontwerpen voor Microsoft Sentinel
Werkruimten met Microsoft Defender voor Cloud
Microsoft Defender voor Servers (onderdeel van Defender voor Cloud) factureert op basis van het aantal bewaakte services. Het biedt 500 MB per server per dag aan gegevenstoewijzing die wordt toegepast op de volgende subset van beveiligingsgegevenstypen:
- SecurityAlert
- SecurityBaseline
- SecurityBaselineSummary
- SecurityDetection
- SecurityEvent
- WindowsFirewall
- SysmonEvent
- ProtectionStatus
- Update en UpdateSummary wanneer de oplossing Updatebeheer niet wordt uitgevoerd in de werkruimte of oplossingsdoel is ingeschakeld.
- MDCFileIntegrityMonitoringEvents
Als de werkruimte zich in de verouderde prijscategorie Per Node bevindt, worden de Defender voor Cloud- en Log Analytics-toewijzingen gecombineerd en gezamenlijk toegepast op alle factureerbare opgenomen gegevens. Als Sentinel is ingeschakeld voor de werkruimte, als Sentinel een klassieke prijscategorie gebruikt, is de gegevenstoewijzing van Defender alleen van toepassing op de facturering van Log Analytics-gegevensopname, maar niet op de klassieke Sentinel-facturering. Als Sentinel een vereenvoudigde prijscategorie gebruikt, is de Gegevenstoewijzing van Defender van toepassing op de geïntegreerde Sentinel-facturering. Zie de pagina Prijzen van Microsoft Sentinel voor meer informatie over hoe Klanten van Microsoft Sentinel kunnen profiteren.
Het aantal bewaakte servers wordt berekend op een granulariteit per uur. De dagelijkse gegevenstoewijzingsbijdragen van elke bewaakte server worden geaggregeerd op werkruimteniveau. Als de werkruimte zich in de verouderde prijscategorie per knooppunt bevindt, worden de Microsoft Defender voor Cloud- en Log Analytics-toewijzingen gecombineerd en gezamenlijk toegepast op alle factureerbare opgenomen gegevens.
Verouderde prijscategorieën
Abonnementen met een Log Analytics-werkruimte of Application Insights-resource op 2 april 2018 of zijn gekoppeld aan een Enterprise Overeenkomst die vóór 1 februari 2019 zijn gestart en nog steeds actief zijn, hebben nog steeds toegang tot de volgende verouderde prijscategorieën:
- Zelfstandig (per GB)
- Per knooppunt (Operations Management Suite [OMS])
Toegang tot de verouderde prijscategorie gratis proefversie is beperkt op 1 juli 2022. Prijsinformatie voor de prijscategorieën Standalone en Per Node is hier beschikbaar.
Hier vindt u een lijst met azure Monitor-factureringsmeternamen, waaronder deze verouderde lagen.
Belangrijk
De verouderde prijscategorieën bieden geen ondersteuning voor toegang tot enkele van de nieuwste functies in Log Analytics, zoals het opnemen van gegevens naar tabellen met de rendabele basic- en hulptabelplannen.
Prijscategorie gratis proefversie
Werkruimten in de prijscategorie Gratis proefversie hebben dagelijkse gegevensopname beperkt tot 500 MB (met uitzondering van beveiligingsgegevenstypen die worden verzameld door Microsoft Defender voor Cloud). Gegevensretentie is beperkt tot zeven dagen. De prijscategorie Gratis proefversie is alleen bedoeld voor evaluatiedoeleinden, niet voor productieworkloads. Er is geen SLA beschikbaar voor de gratis proefversie.
Notitie
Het maken van nieuwe werkruimten in of het verplaatsen van bestaande werkruimten naar de verouderde prijscategorie gratis proefversie was alleen mogelijk tot 1 juli 2022.
Zelfstandige prijscategorie
Het gebruik van de zelfstandige prijscategorie wordt gefactureerd door het opgenomen gegevensvolume. Deze wordt gerapporteerd in de Log Analytics-service en de meter heet 'Gegevens geanalyseerd'. Werkruimten in de zelfstandige prijscategorie hebben een door de gebruiker configureerbare retentie van 30 tot 730 dagen. Werkruimten in de prijscategorie Zelfstandig bieden geen ondersteuning voor het gebruik van Basic- en Hulptabelplannen.
Prijscategorie per knooppunt
De prijscategorie Per knooppunt wordt per bewaakte VM (knooppunt) in rekening gebracht op een granulariteit per uur. Voor elk bewaakt knooppunt krijgt de werkruimte 500 MB aan gegevens per dag toegewezen die niet worden gefactureerd. Deze toewijzing wordt berekend met granulariteit per uur en wordt elke dag geaggregeerd op het niveau van de werkruimte. Gegevens die boven de geaggregeerde dagelijkse gegevenstoewijzing zijn opgenomen, worden per GB gefactureerd als gegevensoverschrijding. De prijscategorie Per Node is een verouderde laag, die alleen beschikbaar is voor bestaande abonnementen die voldoen aan de vereiste voor verouderde prijscategorieën.
Op uw factuur is de service Insight en Analytics voor Log Analytics-gebruik als de werkruimte zich in de prijscategorie Per Node bevindt. Werkruimten in de prijscategorie Per Node hebben door de gebruiker configureerbare retentie van 30 tot 730 dagen. Werkruimten in de prijscategorie Per Node bieden geen ondersteuning voor het gebruik van basic- en hulptabelplannen. Het gebruik wordt gerapporteerd op drie meter:
- Knooppunt: het gebruik voor het aantal bewaakte knooppunten (VM's) in eenheden van knooppuntmaanden.
- Gegevensoverschrijding per knooppunt: het aantal GB aan gegevens dat wordt opgenomen boven de geaggregeerde gegevenstoewijzing.
- Opgenomen gegevens per knooppunt: de hoeveelheid opgenomen gegevens die worden gedekt door de geaggregeerde gegevenstoewijzing. Deze meter wordt ook gebruikt wanneer de werkruimte zich in alle prijscategorieën bevindt om de hoeveelheid gegevens weer te geven die wordt gedekt door Microsoft Defender voor Cloud.
Tip
Als uw werkruimte toegang heeft tot de prijscategorie Per Node , maar u zich afvraagt of deze minder zou kosten in een betalen per gebruik-laag, gebruikt u de volgende query voor een aanbeveling.
Prijscategorieën Standard en Premium
Werkruimten kunnen niet worden gemaakt in of verplaatst naar de prijscategorieën Standard of Premium sinds 1 oktober 2016. Werkruimten die zich al in deze prijscategorieën bevinden, kunnen deze blijven gebruiken, maar als een werkruimte uit deze lagen wordt verplaatst, kan deze niet meer worden verplaatst. De prijscategorieën Standard en Premium hebben een vaste gegevensretentie van respectievelijk 30 dagen en 365 dagen. Werkruimten in deze prijscategorieën bieden geen ondersteuning voor het gebruik van basic- en hulptabelplannen en langetermijnretentie van gegevens. Gegevensopnamemeters op uw Azure-factuur voor deze verouderde lagen worden 'Gegevens geanalyseerd' genoemd.
Microsoft Defender voor Cloud met verouderde prijscategorieën
De volgende overwegingen hebben betrekking op verouderde Log Analytics-lagen en hoe het gebruik wordt gefactureerd voor Microsoft Defender voor Cloud:
- Als de werkruimte zich in de verouderde Standard- of Premium-laag bevindt, wordt Microsoft Defender voor Cloud alleen gefactureerd voor log analytics-gegevensopname, niet per knooppunt.
- Als de werkruimte zich in de verouderde laag per knooppunt bevindt, wordt Microsoft Defender voor Cloud gefactureerd met behulp van het huidige prijsmodel op basis van Microsoft Defender voor Cloud knooppunt.
- In andere prijscategorieën (inclusief toezeggingslagen), als Microsoft Defender voor Cloud vóór 19 juni 2017 is ingeschakeld, wordt Microsoft Defender voor Cloud alleen gefactureerd voor opname van Log Analytics-gegevens. Anders wordt Microsoft Defender voor Cloud gefactureerd met behulp van het huidige Microsoft Defender voor Cloud prijsmodel op basis van knooppunten.
Meer informatie over de prijscategoriebeperkingen vindt u in Azure-abonnements- en servicelimieten, quota en beperkingen.
Geen van de verouderde prijscategorieën heeft regionale prijzen.
Notitie
Als u de rechten wilt gebruiken die afkomstig zijn van het aanschaffen van OMS E1 Suite, OMS E2 Suite of OMS-invoegtoepassing voor System Center, kiest u de prijscategorie Log Analytics Per Node.
De verouderde prijscategorie per knooppunt evalueren
Het is vaak moeilijk om te bepalen of werkruimten met toegang tot de verouderde prijscategorie per knooppunt beter zijn in die laag of in een huidige betalen per gebruik- of toezeggingslaag. U moet weten wat de afweging is tussen de vaste kosten per bewaakt knooppunt in de prijscategorie Per knooppunt en de bijbehorende gegevenstoewijzing van 500 MB per knooppunt per dag en de kosten voor het betalen voor opgenomen gegevens in de prijscategorie Betalen per gebruik (per GB).
Gebruik de volgende query om een aanbeveling te doen voor de optimale prijscategorie op basis van de gebruikspatronen van een werkruimte. Deze query bekijkt de bewaakte knooppunten en gegevens die in de afgelopen zeven dagen zijn opgenomen in een werkruimte. Voor elke dag wordt geëvalueerd welke prijscategorie optimaal zou zijn geweest. Als u de query wilt gebruiken, moet u het volgende opgeven:
- Of de werkruimte nu Microsoft Defender voor Cloud gebruikt door in te stellen
workspaceHasSecurityCenter
optrue
offalse
. - Werk de prijzen bij als u specifieke kortingen hebt.
- Geef het aantal dagen op dat u wilt terugkijken en analyseren door de instelling in te stellen
daysToEvaluate
. Deze optie is handig als de query te lang duurt om zeven dagen aan gegevens te bekijken.
// Set these parameters before running query
// For pay-as-you-go (per-GB) and commitment tier pricing details, see https://azure.microsoft.com/pricing/details/monitor/.
// You can see your per-node costs in your Azure usage and charge data. For more information, see https://learn.microsoft.com/azure/cost-management-billing/understand/download-azure-daily-usage.
let workspaceHasSecurityCenter = true;
let daysToEvaluate = 7;
let PerNodePrice = 15.; // Monthly price per monitored node
let PerNodeOveragePrice = 2.30; // Price per GB for data overage in the Per Node pricing tier
let PerGBPrice = 2.30; // Enter the pay-as-you-go price for your workspace's region (from https://azure.microsoft.com/pricing/details/monitor/)
let CommitmentTier100Price = 196.; // Enter your price for the 100 GB/day commitment tier
let CommitmentTier200Price = 368.; // Enter your price for the 200 GB/day commitment tier
let CommitmentTier300Price = 540.; // Enter your price for the 300 GB/day commitment tier
let CommitmentTier400Price = 704.; // Enter your price for the 400 GB/day commitment tier
let CommitmentTier500Price = 865.; // Enter your price for the 500 GB/day commitment tier
let CommitmentTier1000Price = 1700.; // Enter your price for the 1000 GB/day commitment tier
let CommitmentTier2000Price = 3320.; // Enter your price for the 2000 GB/day commitment tier
let CommitmentTier5000Price = 8050.; // Enter your price for the 5000 GB/day commitment tier
// ---------------------------------------
let SecurityDataTypes=dynamic(["SecurityAlert", "SecurityBaseline", "SecurityBaselineSummary", "SecurityDetection", "SecurityEvent", "WindowsFirewall", "MaliciousIPCommunication", "LinuxAuditLog", "SysmonEvent", "ProtectionStatus", "WindowsEvent", "Update", "UpdateSummary"]);
let StartDate = startofday(datetime_add("Day",-1*daysToEvaluate,now()));
let EndDate = startofday(now());
union *
| where TimeGenerated >= StartDate and TimeGenerated < EndDate
| extend computerName = tolower(tostring(split(Computer, '.')[0]))
| where computerName != ""
| summarize nodesPerHour = dcount(computerName) by bin(TimeGenerated, 1h)
| summarize nodesPerDay = sum(nodesPerHour)/24. by day=bin(TimeGenerated, 1d)
| join kind=leftouter (
Heartbeat
| where TimeGenerated >= StartDate and TimeGenerated < EndDate
| where Computer != ""
| summarize ASCnodesPerHour = dcount(Computer) by bin(TimeGenerated, 1h)
| extend ASCnodesPerHour = iff(workspaceHasSecurityCenter, ASCnodesPerHour, 0)
| summarize ASCnodesPerDay = sum(ASCnodesPerHour)/24. by day=bin(TimeGenerated, 1d)
) on day
| join (
Usage
| where TimeGenerated >= StartDate and TimeGenerated < EndDate
| where IsBillable == true
| extend NonSecurityData = iff(DataType !in (SecurityDataTypes), Quantity, 0.)
| extend SecurityData = iff(DataType in (SecurityDataTypes), Quantity, 0.)
| summarize DataGB=sum(Quantity)/1000., NonSecurityDataGB=sum(NonSecurityData)/1000., SecurityDataGB=sum(SecurityData)/1000. by day=bin(StartTime, 1d)
) on day
| extend AvgGbPerNode = NonSecurityDataGB / nodesPerDay
| extend OverageGB = iff(workspaceHasSecurityCenter,
max_of(DataGB - 0.5*nodesPerDay - 0.5*ASCnodesPerDay, 0.),
max_of(DataGB - 0.5*nodesPerDay, 0.))
| extend PerNodeDailyCost = nodesPerDay * PerNodePrice / 31. + OverageGB * PerNodeOveragePrice
| extend billableGB = iff(workspaceHasSecurityCenter,
(NonSecurityDataGB + max_of(SecurityDataGB - 0.5*ASCnodesPerDay, 0.)), DataGB )
| extend PerGBDailyCost = billableGB * PerGBPrice
| extend CommitmentTier100DailyCost = CommitmentTier100Price + max_of(billableGB - 100, 0.)* CommitmentTier100Price/100.
| extend CommitmentTier200DailyCost = CommitmentTier200Price + max_of(billableGB - 200, 0.)* CommitmentTier200Price/200.
| extend CommitmentTier300DailyCost = CommitmentTier300Price + max_of(billableGB - 300, 0.)* CommitmentTier300Price/300.
| extend CommitmentTier400DailyCost = CommitmentTier400Price + max_of(billableGB - 400, 0.)* CommitmentTier400Price/400.
| extend CommitmentTier500DailyCost = CommitmentTier500Price + max_of(billableGB - 500, 0.)* CommitmentTier500Price/500.
| extend CommitmentTier1000DailyCost = CommitmentTier1000Price + max_of(billableGB - 1000, 0.)* CommitmentTier1000Price/1000.
| extend CommitmentTier2000DailyCost = CommitmentTier2000Price + max_of(billableGB - 2000, 0.)* CommitmentTier2000Price/2000.
| extend CommitmentTier5000DailyCost = CommitmentTier5000Price + max_of(billableGB - 5000, 0.)* CommitmentTier5000Price/5000.
| extend MinCost = min_of(
PerNodeDailyCost,PerGBDailyCost,CommitmentTier100DailyCost,CommitmentTier200DailyCost,
CommitmentTier300DailyCost, CommitmentTier400DailyCost, CommitmentTier500DailyCost, CommitmentTier1000DailyCost, CommitmentTier2000DailyCost, CommitmentTier5000DailyCost)
| extend Recommendation = case(
MinCost == PerNodeDailyCost, "Per node tier",
MinCost == PerGBDailyCost, "Pay-as-you-go tier",
MinCost == CommitmentTier100DailyCost, "Commitment tier (100 GB/day)",
MinCost == CommitmentTier200DailyCost, "Commitment tier (200 GB/day)",
MinCost == CommitmentTier300DailyCost, "Commitment tier (300 GB/day)",
MinCost == CommitmentTier400DailyCost, "Commitment tier (400 GB/day)",
MinCost == CommitmentTier500DailyCost, "Commitment tier (500 GB/day)",
MinCost == CommitmentTier1000DailyCost, "Commitment tier (1000 GB/day)",
MinCost == CommitmentTier2000DailyCost, "Commitment tier (2000 GB/day)",
MinCost == CommitmentTier5000DailyCost, "Commitment tier (5000 GB/day)",
"Error"
)
| project day, nodesPerDay, ASCnodesPerDay, NonSecurityDataGB, SecurityDataGB, OverageGB, AvgGbPerNode, PerGBDailyCost, PerNodeDailyCost,
CommitmentTier100DailyCost, CommitmentTier200DailyCost, CommitmentTier300DailyCost, CommitmentTier400DailyCost, CommitmentTier500DailyCost, CommitmentTier1000DailyCost, CommitmentTier2000DailyCost, CommitmentTier5000DailyCost, Recommendation
| sort by day asc
//| project day, Recommendation // Comment this line to see details
| sort by day asc
Deze query is geen exacte replicatie van hoe het gebruik wordt berekend, maar biedt in de meeste gevallen aanbevelingen voor prijscategorieën.
Notitie
Als u de rechten wilt gebruiken die afkomstig zijn van het aanschaffen van OMS E1 Suite, OMS E2 Suite of OMS-invoegtoepassing voor System Center, kiest u de prijscategorie Log Analytics Per Node.
Volgende stappen
- Zie Azure Monitor-kosten en -gebruik voor een beschrijving van de verschillende typen Azure Monitor-kosten en hoe u deze kunt analyseren op uw Azure-factuur.
- Zie Gebruik analyseren in Log Analytics-werkruimte voor meer informatie over het analyseren van de gegevens in uw werkruimte om de bron te bepalen van een hoger dan verwacht gebruik en mogelijkheden om de hoeveelheid verzamelde gegevens te verminderen.
- Zie Dagelijkse limiet instellen voor Log Analytics-werkruimte om uw kosten te beheren door een maximumvolume te configureren dat elke dag in een werkruimte kan worden opgenomen.
- Zie best practices voor Azure Monitor: kostenbeheer voor aanbevolen procedures voor het configureren en beheren van Azure Monitor om uw kosten te minimaliseren.