Obliczenia i opcje dotyczące kosztów dzienników usługi Azure Monitor

  • Artykuł

Najważniejsze opłaty za większość implementacji usługi Azure Monitor zwykle są pozyskiwaniem i przechowywaniem danych w obszarach roboczych usługi Log Analytics. Kilka funkcji w usłudze Azure Monitor nie ma bezpośredniego kosztu, ale dodaj je do zebranych danych obszaru roboczego. W tym artykule opisano sposób obliczania opłat za dane dla obszarów roboczych usługi Log Analytics i zasobów usługi Application Insights oraz różnych opcji konfiguracji wpływających na koszty.

Porada

Aby uzyskać strategie zmniejszenia kosztów usługi Azure Monitor, zobacz Optymalizacja kosztów i Usługa Azure Monitor.

Model cen

Domyślną ceną usługi Log Analytics jest model płatności zgodnie z rzeczywistym użyciem oparty na pozyskanym woluminie danych i przechowywaniu danych. Każdy obszar roboczy usługi Log Analytics jest naliczany jako oddzielna usługa i współtworzy rachunek za subskrypcję platformy Azure. Ceny usługi Log Analytics są ustawiane regionalnie. Ilość pozyskiwania danych może być znaczna, w zależności od:

  • Zestaw rozwiązań do zarządzania jest włączony i ich konfiguracja.
  • Liczba i typ monitorowanych zasobów.
  • Typy danych zebranych z każdego monitorowanego zasobu.

Obliczenie rozmiaru danych

Ilość danych jest mierzona jako rozmiar danych, które będą przechowywane w GB (10^9 bajtów). Rozmiar danych pojedynczego rekordu jest obliczany na podstawie ciągu reprezentacji kolumn przechowywanych w obszarze roboczym usługi Log Analytics dla tego rekordu. Nie ma znaczenia, czy dane są wysyłane z agenta, czy dodawane podczas procesu pozyskiwania. To obliczenie obejmuje wszystkie kolumny niestandardowe dodane przez interfejs API pozyskiwania dzienników, przekształcenia lub pola niestandardowe , które są dodawane jako dane, a następnie przechowywane w obszarze roboczym.

Uwaga

Obliczanie rozliczanego woluminu danych jest zazwyczaj znacznie mniejsze niż rozmiar całego przychodzącego zdarzenia spakowanego w formacie JSON. Średnio we wszystkich typach zdarzeń rozliczany rozmiar wynosi około 25 procent mniej niż rozmiar danych przychodzących. Może to być do 50 procent w przypadku małych zdarzeń. Wartość procentowa obejmuje efekt kolumn standardowych wykluczonych z rozliczeń. Ważne jest, aby zrozumieć to obliczenie rozliczanego rozmiaru danych podczas szacowania kosztów i porównywania innych modeli cenowych.

Wykluczone kolumny

Następujące kolumny standardowe są wspólne dla wszystkich tabel i są wykluczone w obliczeniu rozmiaru rekordu. Wszystkie inne kolumny przechowywane w usłudze Log Analytics są uwzględniane w obliczeniu rozmiaru rekordu. Standardowe kolumny to:

  • _ResourceId
  • _SubscriptionId
  • _ItemId
  • _IsBillable
  • _BilledSize
  • Type

Wykluczone tabele

Niektóre tabele są całkowicie bezpłatne od opłat za pozyskiwanie danych, w tym AzureActivity, Heartbeat, Usage i Operation. Te informacje będą zawsze wskazywane przez kolumnę _IsBillable , która wskazuje, czy rekord został wykluczony z rozliczeń pozyskiwania danych.

Opłaty za inne rozwiązania i usługi

Niektóre rozwiązania mają bardziej szczegółowe zasady dotyczące bezpłatnego pozyskiwania danych. Na przykład usługa Azure Migrate zwalnia dane wizualizacji zależności przez pierwsze 180 dni oceny serwera. Usługi, takie jak Microsoft Defender dla chmury, usługi Microsoft Sentinel i zarządzanie konfiguracją, mają własne modele cenowe.

Zapoznaj się z dokumentacją różnych usług i rozwiązań, aby zapoznać się z wszelkimi unikatowymi obliczeniami rozliczeniowymi.

Warstwy zobowiązania

Oprócz modelu płatności zgodnie z rzeczywistym użyciem usługa Log Analytics ma warstwy zobowiązania, co pozwala zaoszczędzić nawet 30 procent w porównaniu z ceną płatności zgodnie z rzeczywistym użyciem. W przypadku cen warstwy zobowiązania możesz zatwierdzić zakup pozyskiwania danych dla obszaru roboczego, począwszy od 100 GB dziennie, przy niższej cenie niż w przypadku płatności zgodnie z rzeczywistym użyciem. Każde użycie powyżej poziomu zobowiązania (nadwyżka) jest rozliczane w tej samej cenie za GB, co w przypadku bieżącej warstwy zobowiązania. Warstwy zobowiązania mają 31-dniowy okres zobowiązania od momentu wybrania warstwy zobowiązania.

  • W okresie zobowiązania możesz zmienić warstwę na wyższą warstwę zobowiązania, co spowoduje ponowne uruchomienie 31-dniowego okresu zobowiązania. Nie można przejść z powrotem do warstwy płatności zgodnie z rzeczywistym użyciem ani do niższej warstwy zobowiązania do momentu zakończenia okresu zobowiązania.
  • Na koniec okresu zobowiązania obszar roboczy zachowuje wybraną warstwę zobowiązania, a obszar roboczy można przenieść do warstwy płatności zgodnie z rzeczywistym użyciem lub do niższej warstwy zobowiązania w dowolnym momencie.
  • Jeśli obszar roboczy został przypadkowo przeniesiony do warstwy zobowiązania, skontaktuj się z pomoc techniczna firmy Microsoft, aby zresetować okres zobowiązania, aby wrócić do warstwy cenowej Płatność zgodnie z rzeczywistym użyciem.

Rozliczenia dla warstw zobowiązania są wykonywane codziennie dla każdego obszaru roboczego. Jeśli obszar roboczy jest częścią dedykowanego klastra, rozliczenia są wykonywane dla klastra. Zobacz następującą sekcję "Dedykowane klastry". Aby uzyskać listę warstw zobowiązania i ich cen, zobacz Cennik usługi Azure Monitor.

Rabaty za zobowiązania platformy Azure, takie jak rabaty otrzymane z umów Enterprise Agreement firmy Microsoft, są stosowane do cennika warstwy zobowiązania usługi Azure Monitor, tak jak w przypadku płatności zgodnie z rzeczywistym użyciem. Rabaty są stosowane niezależnie od tego, czy opłaty za użycie są naliczane za obszar roboczy, czy za dedykowany klaster.

Porada

Element menu Użycie i szacowane koszty dla każdego obszaru roboczego usługi Log Analytics przedstawia oszacowanie miesięcznych opłat na każdym poziomie zobowiązania. Przejrzyj te informacje okresowo, aby określić, czy można zmniejszyć opłaty, przechodząc do innej warstwy. Aby uzyskać informacje na temat tego widoku, zobacz Użycie i szacowane koszty.

Dedykowane klastry

Dedykowany klaster dzienników usługi Azure Monitor to kolekcja obszarów roboczych w jednym zarządzanym klastrze usługi Azure Data Explorer. Dedykowane klastry obsługują zaawansowane funkcje, takie jak klucze zarządzane przez klienta, i używają tego samego modelu cenowego warstwy zobowiązania co obszary robocze, chociaż muszą mieć poziom zobowiązania co najmniej 500 GB dziennie. Każde użycie powyżej poziomu zobowiązania (nadwyżka) jest rozliczane w tej samej cenie za GB, co w przypadku bieżącej warstwy zobowiązania. Dla klastrów nie ma opcji płatności zgodnie z rzeczywistym użyciem.

Warstwa zobowiązania klastra ma 31-dniowy okres zobowiązania po zwiększeniu poziomu zobowiązania. W okresie zobowiązania nie można zmniejszyć poziomu warstwy zobowiązania, ale można go zwiększyć w dowolnym momencie. Gdy obszary robocze są skojarzone z klastrem, rozliczenia pozyskiwania danych dla tych obszarów roboczych są wykonywane na poziomie klastra przy użyciu skonfigurowanego poziomu warstwy zobowiązania.

Istnieją dwa tryby rozliczeń dla klastra określonego podczas tworzenia klastra:

  • Klaster (wartość domyślna): Rozliczenia za pozyskane dane są wykonywane na poziomie klastra. Pozyskane ilości danych z każdego obszaru roboczego skojarzonego z klastrem są agregowane w celu obliczenia dziennego rachunku za klaster. Alokacje poszczególnych węzłów z Microsoft Defender dla chmury są stosowane na poziomie obszaru roboczego przed tą agregacją danych we wszystkich obszarach roboczych w klastrze.

  • Obszary robocze: koszty warstwy zobowiązania dla klastra są przypisywane proporcjonalnie do obszarów roboczych w klastrze przez wolumin pozyskiwania danych każdego obszaru roboczego (po uwzględnieniu alokacji poszczególnych węzłów z Microsoft Defender dla chmury dla każdego obszaru roboczego).

    Jeśli łączny wolumin danych pozyskany do klastra na dzień jest mniejszy niż warstwa zobowiązania, każdy obszar roboczy jest rozliczany za pozyskane dane zgodnie z obowiązującą stawką warstwy zobowiązania na GB, rozliczając je jako ułamek warstwy zobowiązania. Nieużywane części warstwy zobowiązania są następnie naliczane opłaty za zasób klastra.

    Jeśli łączny wolumin danych pozyskany do klastra na dzień jest większy niż warstwa zobowiązania, każdy obszar roboczy jest rozliczany za ułamek warstwy zobowiązania, na podstawie ułamka pozyskanych danych tego dnia i każdego obszaru roboczego dla części pozyskanych danych powyżej warstwy zobowiązania. Jeśli łączny wolumin danych pozyskany do obszaru roboczego przez dzień przekracza warstwę zobowiązania, nic nie zostanie naliczone dla zasobu klastra.

W opcjach rozliczeń klastra przechowywanie danych jest rozliczane dla każdego obszaru roboczego. Rozliczenia klastra są uruchamiane po utworzeniu klastra, niezależnie od tego, czy obszary robocze są skojarzone z klastrem.

Po połączeniu obszarów roboczych z klastrem warstwa cenowa zostanie zmieniona na klaster, a pozyskiwanie jest rozliczane na podstawie warstwy zobowiązania klastra. Obszary robocze skojarzone z klastrem nie mają już własnej warstwy cenowej. Obszary robocze można odłączyć od klastra w dowolnym momencie, a warstwa cenowa może zostać zmieniona na GB.

Jeśli połączony obszar roboczy korzysta ze starszej warstwy cenowej Na węzeł, zostanie naliczony na podstawie danych pozyskanych względem warstwy zobowiązania klastra i nie będzie już naliczany na węzeł. Alokacje danych z Microsoft Defender dla chmury będą nadal stosowane.

Jeśli klaster zostanie usunięty, rozliczenia dla klastra zostaną zatrzymane, nawet jeśli klaster znajduje się w ciągu 31-dniowego okresu zobowiązania.

Aby uzyskać więcej informacji na temat tworzenia dedykowanego klastra i określania jego typu rozliczeniowego, zobacz Tworzenie dedykowanego klastra.

Dzienniki podstawowe

Niektóre tabele w obszarze roboczym usługi Log Analytics można skonfigurować tak, aby korzystały z dzienników podstawowych. Dane w tych tabelach mają znacznie zmniejszoną opłatę za pozyskiwanie i ograniczony okres przechowywania. Istnieje opłata za wyszukiwanie tych tabel. Dzienniki podstawowe są przeznaczone dla dzienników pełnych o dużej ilości używanych do debugowania, rozwiązywania problemów i inspekcji, ale nie do analizy i alertów.

Opłata za wyszukiwanie w dziennikach podstawowych jest oparta na GB danych skanowanych podczas wyszukiwania.

Aby uzyskać więcej informacji na temat dzienników podstawowych, w tym sposobu ich konfigurowania i wykonywania zapytań dotyczących danych, zobacz Konfigurowanie dzienników podstawowych w usłudze Azure Monitor.

Przechowywanie i archiwizowanie danych dziennika

Oprócz pozyskiwania danych naliczana jest opłata za przechowywanie danych w każdym obszarze roboczym usługi Log Analytics. Okres przechowywania można ustawić dla całego obszaru roboczego lub dla każdej tabeli. Po upływie tego okresu dane zostaną usunięte lub zarchiwizowane. Zarchiwizowane dzienniki mają obniżoną opłatę za przechowywanie i jest naliczana opłata za ich wyszukiwanie. Użyj zarchiwizowanych dzienników, aby zmniejszyć koszty danych, które należy przechowywać w celu zapewnienia zgodności lub sporadycznego badania.

Aby uzyskać więcej informacji na temat przechowywania i archiwizowania danych, w tym sposobu konfigurowania tych ustawień i uzyskiwania dostępu do zarchiwizowanych danych, zobacz Konfigurowanie zasad przechowywania i archiwizowania danych w dziennikach usługi Azure Monitor.

Zadania wyszukiwania

Wyszukiwanie w zarchiwizowanych dziennikach używa zadań wyszukiwania. Zadania wyszukiwania to zapytania asynchroniczne, które pobierają rekordy do nowej tabeli wyszukiwania w obszarze roboczym w celu dalszej analizy. Zadania wyszukiwania są rozliczane według liczby GB skanowanych danych każdego dnia, do którego uzyskuje się dostęp do wyszukiwania.

Przywracanie danych dziennika

W sytuacjach, w których starsze lub zarchiwizowane dzienniki muszą być intensywnie odpytywane z pełnymi możliwościami zapytań analitycznych, funkcja przywracania danych jest zaawansowanym narzędziem. Operacja przywracania sprawia, że określony zakres czasu danych w tabeli dostępnej w gorącej pamięci podręcznej dla zapytań o wysokiej wydajności. Później możesz odrzucić dane po zakończeniu pracy. Przywracanie danych dziennika jest rozliczane według ilości przywróconych danych, a czas przywracania jest aktywny. Minimalne wartości naliczane za wszystkie operacje przywracania danych to 2 TB i 12 godzin. Dane przywrócone z ponad 2 TB i/lub więcej niż 12 godzin w czasie trwania są rozliczane proporcjonalnie.

Eksportowanie danych dziennika

Eksportowanie danych w obszarze roboczym usługi Log Analytics umożliwia ciągłe eksportowanie danych na wybrane tabele w obszarze roboczym do konta usługi Azure Storage lub Azure Event Hubs po nadejściu do potoku usługi Azure Monitor. Opłaty za użycie eksportu danych są oparte na ilości eksportowanych danych. Rozmiar wyeksportowanych danych to liczba bajtów w wyeksportowanych danych w formacie JSON.

Rozliczenia usługi Application Insights

Ponieważ zasoby usługi Application Insights oparte na obszarze roboczym usługi Application Insights przechowują swoje dane w obszarze roboczym usługi Log Analytics, rozliczenia dotyczące pozyskiwania i przechowywania danych są wykonywane przez obszar roboczy, w którym znajdują się dane usługi Application Insights. Z tego powodu możesz użyć wszystkich opcji modelu cenowego usługi Log Analytics, w tym warstw zobowiązania, wraz z płatnością zgodnie z rzeczywistym użyciem.

Porada

Chcesz dostosować ustawienia przechowywania w tabelach usługi Application Insights? Nazwy tabel zostały zmienione dla składników opartych na obszarze roboczym, zobacz Application Insights Table Structure (Struktura tabel usługi Application Insights)

Pozyskiwanie danych i przechowywanie danych dla klasycznego zasobu usługi Application Insights są zgodne z tymi samymi cenami płatności zgodnie z rzeczywistym użyciem co zasoby oparte na obszarze roboczym, ale nie mogą korzystać z warstw zobowiązania.

Dane telemetryczne z testów ping i testów wieloetapowych są naliczane tak samo jak użycie danych dla innych danych telemetrycznych z aplikacji. Korzystanie z testów internetowych i włączanie alertów dotyczących niestandardowych wymiarów metryk jest nadal zgłaszane za pośrednictwem usługi Application Insights. Za korzystanie ze strumienia metryk na żywo nie są naliczane opłaty za ilość danych.

Aby uzyskać więcej informacji o starszych warstwach dostępnych dla wczesnych użytkowników usługi Application Insights, zobacz Warstwa cenowa starszego przedsiębiorstwa (na węzeł) usługi Application Insights.

Obszary robocze z usługą Microsoft Sentinel

Gdy usługa Microsoft Sentinel jest włączona w obszarze roboczym usługi Log Analytics, wszystkie dane zebrane w tym obszarze roboczym podlegają opłatom za usługę Microsoft Sentinel wraz z opłatami za usługę Log Analytics. Z tego powodu często oddzielasz dane zabezpieczeń i operacyjne w różnych obszarach roboczych, aby nie ponosić opłat za dane operacyjne usługi Microsoft Sentinel .

W niektórych scenariuszach łączenie tych danych może spowodować oszczędności kosztów. Zazwyczaj taka sytuacja występuje, gdy nie zbierasz wystarczającej ilości danych zabezpieczeń i operacyjnych dla każdej z nich, aby osiągnąć warstwę zobowiązania na własną rękę, ale połączone dane są wystarczające do osiągnięcia warstwy zobowiązania. Aby uzyskać więcej informacji i przykładowe obliczenie kosztów, zobacz sekcję "Łączenie danych SOC i innych niż SOC" w temacie Projektowanie architektury obszaru roboczego usługi Microsoft Sentinel.

Obszary robocze z Microsoft Defender dla chmury

Microsoft Defender dla serwerów (część usługi Defender for Cloud)rozliczane według liczby monitorowanych usług. Zapewnia 500 MB na serwer dziennie alokacji danych, która jest stosowana do następującego podzestawu typów danych zabezpieczeń:

Liczba monitorowanych serwerów jest obliczana na poziomie godzinowym szczegółowości. Dzienny udział alokacji danych z każdego monitorowanego serwera jest agregowany na poziomie obszaru roboczego. Jeśli obszar roboczy znajduje się w starszej warstwie cenowej Na węzeł, alokacje Microsoft Defender dla chmury i usługi Log Analytics są łączone i stosowane wspólnie do wszystkich pozyskanych danych rozliczanych.

Starsze warstwy cenowe

Subskrypcje, które zawierały obszar roboczy usługi Log Analytics lub zasób usługi Application Insights w dniu 2 kwietnia 2018 r., lub są połączone z Enterprise Agreement, które rozpoczęły się przed 1 lutego 2019 r. i są nadal aktywne, będą nadal miały dostęp do korzystania z następujących starszych warstw cenowych:

  • Autonomiczna (na GB)
  • Na węzeł (Operations Management Suite [OMS])

Dostęp do starszej warstwy cenowej bezpłatnej wersji próbnej został ograniczony 1 lipca 2022 r. Informacje o cenach dla warstw cenowych Standalone i Per Node są dostępne tutaj.

Warstwa cenowa Bezpłatna wersja próbna

Obszary robocze w warstwie cenowej Bezpłatna wersja próbna będą miały dzienne pozyskiwanie danych ograniczone do 500 MB (z wyjątkiem typów danych zabezpieczeń zebranych przez Microsoft Defender dla chmury). Przechowywanie danych jest ograniczone do siedmiu dni. Warstwa cenowa Bezpłatna wersja próbna jest przeznaczona tylko do celów ewaluacyjnych. Dla warstwy Bezpłatna wersja próbna nie jest dostępna żadna umowa SLA.

Uwaga

Tworzenie nowych obszarów roboczych lub przenoszenie istniejących obszarów roboczych do starszej warstwy cenowej Bezpłatna wersja próbna była możliwa tylko do 1 lipca 2022 r.

Autonomiczna warstwa cenowa

Użycie w autonomicznej warstwie cenowej jest rozliczane przez pozyskany wolumin danych. Raport jest zgłaszany w usłudze Log Analytics , a miernik nosi nazwę "Dane przeanalizowane". Obszary robocze w autonomicznej warstwie cenowej mają możliwość skonfigurowania przez użytkownika przechowywania z 30 do 730 dni. Obszary robocze w autonomicznej warstwie cenowej nie obsługują korzystania z dzienników podstawowych.

Warstwa cenowa na węzeł

Opłaty za warstwę cenową na węzeł na monitorowaną maszynę wirtualną (węzeł) na godzinę szczegółowości. Dla każdego monitorowanego węzła obszar roboczy jest przydzielany 500 MB danych dziennie, które nie są rozliczane. Ta alokacja jest obliczana z dokładnością godzinową i jest agregowana na poziomie obszaru roboczego każdego dnia. Dane pozyskane powyżej zagregowanej alokacji danych dziennych są rozliczane na GB jako nadwyżka danych. Warstwa cenowa Na węzeł powinna być używana tylko przez klientów z aktywnymi licencjami pakietu Operations Management Suite (OMS).

Na rachunku usługa będzie analizą i analizą użycia usługi Log Analytics, jeśli obszar roboczy znajduje się w warstwie cenowej Na węzeł. Obszary robocze w warstwie cenowej Na węzeł mają konfigurowalne przechowywanie z zakresu od 30 do 730 dni. Obszary robocze w warstwie cenowej Na węzeł nie obsługują korzystania z dzienników podstawowych. Użycie jest zgłaszane na trzech miernikach:

  • Węzeł: użycie liczby monitorowanych węzłów (maszyn wirtualnych) w jednostkach miesięcy węzłów.
  • Nadwyżka danych na węzeł: liczba GB danych pozyskanych poza zagregowaną alokację danych.
  • Dane uwzględnione na węzeł: ilość pozyskanych danych, które zostały objęte zagregowaną alokacją danych. Ten miernik jest również używany, gdy obszar roboczy znajduje się we wszystkich warstwach cenowych, aby pokazać ilość danych objętych Microsoft Defender dla chmury.

Porada

Jeśli obszar roboczy ma dostęp do warstwy cenowej Na węzeł , ale zastanawiasz się, czy będzie kosztować mniej w warstwie płatności zgodnie z rzeczywistym użyciem, użyj następującego zapytania w celu uzyskania rekomendacji.

Warstwy cenowe w warstwach Standardowa i Premium

Obszary robocze utworzone przed kwietniem 2016 r. mogą nadal korzystać z warstw cenowych Standardowa i Premium , które mają stałe przechowywanie danych w ciągu 30 dni i 365 dni. Nie można tworzyć nowych obszarów roboczych w warstwach cenowych Standardowa lub Premium . Jeśli obszar roboczy zostanie przeniesiony z tych warstw, nie można go przenieść z powrotem. Obszary robocze w tych warstwach cenowych nie obsługują korzystania z dzienników podstawowych. Mierniki pozyskiwania danych na rachunku za korzystanie z platformy Azure dla starszych warstw są nazywane "Analizowane dane".

Microsoft Defender dla chmury ze starszymi warstwami cenowymi

Poniższe zagadnienia dotyczą starszych warstw usługi Log Analytics i sposobu naliczania opłat za użycie Microsoft Defender dla chmury:

  • Jeśli obszar roboczy znajduje się w starszej warstwie Standardowa lub Premium, Microsoft Defender dla chmury jest rozliczany tylko w przypadku pozyskiwania danych usługi Log Analytics, a nie dla węzła.
  • Jeśli obszar roboczy znajduje się w starszej warstwie Na węzeł, Microsoft Defender for Cloud jest rozliczany przy użyciu bieżącego Microsoft Defender dla modelu cenowego opartego na węźle chmury.
  • W innych warstwach cenowych (w tym warstwach zobowiązania), jeśli Microsoft Defender dla chmury została włączona przed 19 czerwca 2017 r., Microsoft Defender dla chmury jest rozliczana tylko w przypadku pozyskiwania danych usługi Log Analytics. W przeciwnym razie Microsoft Defender dla chmury jest rozliczana przy użyciu bieżącego Microsoft Defender dla modelu cenowego opartego na węźle chmury.

Więcej informacji na temat ograniczeń warstwy cenowej można znaleźć w temacie Azure subscription and service limits, quotas, and constraints (Limity, limity przydziału i ograniczenia usługi platformy Azure).

Żadna ze starszych warstw cenowych nie ma cen opartych na regionach.

Uwaga

Aby użyć uprawnień pochodzących z zakupu pakietu OMS E1 Suite, pakietu OMS E2 lub pakietu OMS Add-On dla programu System Center, wybierz warstwę cenową Log Analytics na węzeł.

Ocena starszej warstwy cenowej na węzeł

Często trudno jest ustalić, czy obszary robocze z dostępem do starszej warstwy cenowej Na węzeł są lepsze w tej warstwie, czy w bieżącej warstwie płatności zgodnie z rzeczywistym użyciem lub w warstwie zobowiązania. Należy zrozumieć kompromis między kosztem stałym za monitorowany węzeł w warstwie cenowej Per Node i uwzględnionym alokacją danych wynoszącą 500 MB na węzeł dziennie oraz kosztem płacenia za pozyskane dane w warstwie płatności zgodnie z rzeczywistym użyciem (za GB).

Użyj następującego zapytania, aby utworzyć zalecenie dotyczące optymalnej warstwy cenowej na podstawie wzorców użycia obszaru roboczego. To zapytanie analizuje monitorowane węzły i dane pozyskane do obszaru roboczego w ciągu ostatnich siedmiu dni. Dla każdego dnia ocenia ona, która warstwa cenowa byłaby optymalna. Aby użyć zapytania, należy określić następujące elementy:

  • Określa, czy obszar roboczy używa Microsoft Defender dla chmury, ustawiając wartość workspaceHasSecurityCenter na true lub false.
  • Zaktualizuj ceny, jeśli masz określone rabaty.
  • Określ liczbę dni do przeanalizowania i spojrzenia wstecz, ustawiając wartość daysToEvaluate. Ta opcja jest przydatna, jeśli wykonywanie zapytania trwa zbyt długo, aby przyjrzeć się siedmiu dniom danych.
// Set these parameters before running query
// For pay-as-you-go (per-GB) and commitment tier pricing details, see https://azure.microsoft.com/pricing/details/monitor/.
// You can see your per-node costs in your Azure usage and charge data. For more information, see https://learn.microsoft.com/azure/cost-management-billing/understand/download-azure-daily-usage.  
let workspaceHasSecurityCenter = true;
let daysToEvaluate = 7;
let PerNodePrice = 15.; // Monthly price per monitored node
let PerNodeOveragePrice = 2.30; // Price per GB for data overage in the Per Node pricing tier
let PerGBPrice = 2.30; // Enter the pay-as-you-go price for your workspace's region (from https://azure.microsoft.com/pricing/details/monitor/)
let CommitmentTier100Price = 196.; // Enter your price for the 100 GB/day commitment tier
let CommitmentTier200Price = 368.; // Enter your price for the 200 GB/day commitment tier
let CommitmentTier300Price = 540.; // Enter your price for the 300 GB/day commitment tier
let CommitmentTier400Price = 704.; // Enter your price for the 400 GB/day commitment tier
let CommitmentTier500Price = 865.; // Enter your price for the 500 GB/day commitment tier
let CommitmentTier1000Price = 1700.; // Enter your price for the 1000 GB/day commitment tier
let CommitmentTier2000Price = 3320.; // Enter your price for the 2000 GB/day commitment tier
let CommitmentTier5000Price = 8050.; // Enter your price for the 5000 GB/day commitment tier
// ---------------------------------------
let SecurityDataTypes=dynamic(["SecurityAlert", "SecurityBaseline", "SecurityBaselineSummary", "SecurityDetection", "SecurityEvent", "WindowsFirewall", "MaliciousIPCommunication", "LinuxAuditLog", "SysmonEvent", "ProtectionStatus", "WindowsEvent", "Update", "UpdateSummary"]);
let StartDate = startofday(datetime_add("Day",-1*daysToEvaluate,now()));
let EndDate = startofday(now());
union * 
| where TimeGenerated >= StartDate and TimeGenerated < EndDate
| extend computerName = tolower(tostring(split(Computer, '.')[0]))
| where computerName != ""
| summarize nodesPerHour = dcount(computerName) by bin(TimeGenerated, 1h)  
| summarize nodesPerDay = sum(nodesPerHour)/24.  by day=bin(TimeGenerated, 1d)  
| join kind=leftouter (
    Heartbeat 
    | where TimeGenerated >= StartDate and TimeGenerated < EndDate
    | where Computer != ""
    | summarize ASCnodesPerHour = dcount(Computer) by bin(TimeGenerated, 1h) 
    | extend ASCnodesPerHour = iff(workspaceHasSecurityCenter, ASCnodesPerHour, 0)
    | summarize ASCnodesPerDay = sum(ASCnodesPerHour)/24.  by day=bin(TimeGenerated, 1d)   
) on day
| join (
    Usage 
    | where TimeGenerated >= StartDate and TimeGenerated < EndDate
    | where IsBillable == true
    | extend NonSecurityData = iff(DataType !in (SecurityDataTypes), Quantity, 0.)
    | extend SecurityData = iff(DataType in (SecurityDataTypes), Quantity, 0.)
    | summarize DataGB=sum(Quantity)/1000., NonSecurityDataGB=sum(NonSecurityData)/1000., SecurityDataGB=sum(SecurityData)/1000. by day=bin(StartTime, 1d)  
) on day
| extend AvgGbPerNode =  NonSecurityDataGB / nodesPerDay
| extend OverageGB = iff(workspaceHasSecurityCenter, 
             max_of(DataGB - 0.5*nodesPerDay - 0.5*ASCnodesPerDay, 0.), 
             max_of(DataGB - 0.5*nodesPerDay, 0.))
| extend PerNodeDailyCost = nodesPerDay * PerNodePrice / 31. + OverageGB * PerNodeOveragePrice
| extend billableGB = iff(workspaceHasSecurityCenter,
             (NonSecurityDataGB + max_of(SecurityDataGB - 0.5*ASCnodesPerDay, 0.)), DataGB )
| extend PerGBDailyCost = billableGB * PerGBPrice
| extend CommitmentTier100DailyCost = CommitmentTier100Price + max_of(billableGB - 100, 0.)* CommitmentTier100Price/100.
| extend CommitmentTier200DailyCost = CommitmentTier200Price + max_of(billableGB - 200, 0.)* CommitmentTier200Price/200.
| extend CommitmentTier300DailyCost = CommitmentTier300Price + max_of(billableGB - 300, 0.)* CommitmentTier300Price/300.
| extend CommitmentTier400DailyCost = CommitmentTier400Price + max_of(billableGB - 400, 0.)* CommitmentTier400Price/400.
| extend CommitmentTier500DailyCost = CommitmentTier500Price + max_of(billableGB - 500, 0.)* CommitmentTier500Price/500.
| extend CommitmentTier1000DailyCost = CommitmentTier1000Price + max_of(billableGB - 1000, 0.)* CommitmentTier1000Price/1000.
| extend CommitmentTier2000DailyCost = CommitmentTier2000Price + max_of(billableGB - 2000, 0.)* CommitmentTier2000Price/2000.
| extend CommitmentTier5000DailyCost = CommitmentTier5000Price + max_of(billableGB - 5000, 0.)* CommitmentTier5000Price/5000.
| extend MinCost = min_of(
    PerNodeDailyCost,PerGBDailyCost,CommitmentTier100DailyCost,CommitmentTier200DailyCost,
    CommitmentTier300DailyCost, CommitmentTier400DailyCost, CommitmentTier500DailyCost, CommitmentTier1000DailyCost, CommitmentTier2000DailyCost, CommitmentTier5000DailyCost)
| extend Recommendation = case(
    MinCost == PerNodeDailyCost, "Per node tier",
    MinCost == PerGBDailyCost, "Pay-as-you-go tier",
    MinCost == CommitmentTier100DailyCost, "Commitment tier (100 GB/day)",
    MinCost == CommitmentTier200DailyCost, "Commitment tier (200 GB/day)",
    MinCost == CommitmentTier300DailyCost, "Commitment tier (300 GB/day)",
    MinCost == CommitmentTier400DailyCost, "Commitment tier (400 GB/day)",
    MinCost == CommitmentTier500DailyCost, "Commitment tier (500 GB/day)",
    MinCost == CommitmentTier1000DailyCost, "Commitment tier (1000 GB/day)",
    MinCost == CommitmentTier2000DailyCost, "Commitment tier (2000 GB/day)",
    MinCost == CommitmentTier5000DailyCost, "Commitment tier (5000 GB/day)",
    "Error"
)
| project day, nodesPerDay, ASCnodesPerDay, NonSecurityDataGB, SecurityDataGB, OverageGB, AvgGbPerNode, PerGBDailyCost, PerNodeDailyCost, 
    CommitmentTier100DailyCost, CommitmentTier200DailyCost, CommitmentTier300DailyCost, CommitmentTier400DailyCost, CommitmentTier500DailyCost, CommitmentTier1000DailyCost, CommitmentTier2000DailyCost, CommitmentTier5000DailyCost, Recommendation 
| sort by day asc
//| project day, Recommendation // Comment this line to see details
| sort by day asc

To zapytanie nie jest dokładną replikacją sposobu obliczania użycia, ale w większości przypadków udostępnia zalecenia dotyczące warstw cenowych.

Uwaga

Aby użyć uprawnień pochodzących z zakupu pakietu OMS E1 Suite, pakietu OMS E2 lub Add-On pakietu OMS dla programu System Center, wybierz warstwę cenową Log Analytics na węzeł.

Następne kroki