Obliczenia i opcje dotyczące kosztów dzienników usługi Azure Monitor

  • Artykuł

Najbardziej znaczące opłaty za większość implementacji usługi Azure Monitor są zwykle pozyskiwaniem i przechowywaniem danych w obszarach roboczych usługi Log Analytics. Kilka funkcji w usłudze Azure Monitor nie ma bezpośredniego kosztu, ale dodaje je do zebranych danych obszaru roboczego. W tym artykule opisano sposób obliczania opłat za dane dla obszarów roboczych usługi Log Analytics i zasobów usługi Application Szczegółowe informacje oraz różnych opcji konfiguracji, które wpływają na koszty.

Napiwek

Aby uzyskać strategie zmniejszenia kosztów usługi Azure Monitor, zobacz Optymalizacja kosztów i Usługa Azure Monitor.

Model cen

Domyślną ceną usługi Log Analytics jest model płatności zgodnie z rzeczywistym użyciem oparty na pozyskanym woluminie danych i przechowywaniu danych. Każdy obszar roboczy usługi Log Analytics jest naliczany jako oddzielna usługa i współtworzy rachunek za subskrypcję platformy Azure. Ceny usługi Log Analytics są ustawiane regionalnie. Ilość pozyskiwania danych może być znaczna, w zależności od:

  • Zestaw rozwiązań do zarządzania jest włączony i ich konfiguracja.
  • Liczba i typ monitorowanych zasobów.
  • Typy danych zebranych z każdego monitorowanego zasobu.

Lista nazw mierników rozliczeń usługi Azure Monitor jest dostępna tutaj.

Obliczanie rozmiaru danych

Ilość danych jest mierzona jako rozmiar wysyłanych danych i mierzona w jednostkach GB (10^9 bajtów). Rozmiar danych pojedynczego rekordu jest obliczany na podstawie reprezentacji ciągu kolumn przechowywanych w obszarze roboczym usługi Log Analytics dla tego rekordu. Nie ma znaczenia, czy dane są wysyłane z agenta, czy dodawane podczas procesu pozyskiwania. To obliczenie obejmuje wszystkie kolumny niestandardowe dodane przez interfejs API pozyskiwania dzienników, przekształcenia lub pola niestandardowe, które są dodawane w miarę zbierania danych, a następnie przechowywane w obszarze roboczym.

Uwaga

Rozliczane obliczenie woluminu danych jest na ogół znacznie mniejsze niż rozmiar całego przychodzącego zdarzenia spakowanego w formacie JSON. Średnio we wszystkich typach zdarzeń rozliczany rozmiar wynosi około 25 procent mniej niż rozmiar danych przychodzących. Może to być do 50 procent w przypadku małych zdarzeń. Wartość procentowa obejmuje efekt standardowych kolumn wykluczonych z rozliczeń. Ważne jest, aby zrozumieć to obliczenie rozliczanego rozmiaru danych podczas szacowania kosztów i porównywania innych modeli cenowych.

Wykluczone kolumny

Następujące standardowe kolumny są wspólne dla wszystkich tabel i są wykluczone w obliczeniu rozmiaru rekordu. Wszystkie inne kolumny przechowywane w usłudze Log Analytics są uwzględniane w obliczeniu rozmiaru rekordu. Standardowe kolumny to:

  • _ResourceId
  • _SubscriptionId
  • _ItemId
  • _IsBillable
  • _BilledSize
  • Type

Wykluczone tabele

Niektóre tabele są całkowicie bezpłatne od opłat za pozyskiwanie danych, w tym AzureActivity, Heartbeat, Usage i Operation. Te informacje będą zawsze wskazywane przez kolumnę _IsBillable , która wskazuje, czy rekord został wykluczony z rozliczeń na potrzeby pozyskiwania, przechowywania i archiwizowania danych.

Opłaty za inne rozwiązania i usługi

Niektóre rozwiązania mają bardziej szczegółowe zasady dotyczące bezpłatnego pozyskiwania danych. Na przykład usługa Azure Migrate zwalnia dane wizualizacji zależności przez pierwsze 180 dni oceny serwera. Usługi, takie jak Microsoft Defender dla Chmury, Microsoft Sentinel i zarządzanie konfiguracją, mają własne modele cenowe.

Zapoznaj się z dokumentacją różnych usług i rozwiązań dla wszelkich unikatowych obliczeń rozliczeniowych.

Warstwy zobowiązania

Oprócz modelu płatności zgodnie z rzeczywistym użyciem usługa Log Analytics ma warstwy zobowiązania, co pozwala zaoszczędzić nawet 30 procent w porównaniu z ceną płatności zgodnie z rzeczywistym użyciem. W przypadku cen warstwy zobowiązania możesz zatwierdzić zakup pozyskiwania danych dla obszaru roboczego, począwszy od 100 GB dziennie, przy niższej cenie niż w przypadku płatności zgodnie z rzeczywistym użyciem. Każde użycie powyżej poziomu zobowiązania (nadwyżka) jest rozliczane w tej samej cenie za GB, co w przypadku bieżącej warstwy zobowiązania. (Nadwyżka jest rozliczana przy użyciu tego samego miernika rozliczeń warstwy zobowiązania. Jeśli na przykład obszar roboczy znajduje się w warstwie zobowiązania 200 GB/dzień i pozyska 300 GB dziennie, to użycie będzie rozliczane jako 1,5 jednostek warstwy zobowiązania 200 GB/dzień. Warstwy zobowiązania mają 31-dniowy okres zobowiązania od momentu wybrania warstwy zobowiązania.

  • W okresie zobowiązania możesz zmienić warstwę zobowiązania na wyższą, co spowoduje ponowne uruchomienie 31-dniowego okresu zobowiązania. Nie można wrócić do warstwy płatności zgodnie z rzeczywistym użyciem ani do niższej warstwy zobowiązania do momentu zakończenia okresu zobowiązania.
  • Na koniec okresu zobowiązania obszar roboczy zachowuje wybraną warstwę zobowiązania, a obszar roboczy można przenieść do warstwy Płatności zgodnie z rzeczywistym użyciem lub do niższej warstwy zobowiązania w dowolnym momencie.
  • Jeśli obszar roboczy został przypadkowo przeniesiony do warstwy zobowiązania, skontaktuj się z pomoc techniczna firmy Microsoft, aby zresetować okres zobowiązania, aby wrócić do warstwy cenowej z płatnością zgodnie z rzeczywistym użyciem.

Rozliczenia dla warstw zobowiązań są wykonywane codziennie dla każdego obszaru roboczego. Jeśli obszar roboczy jest częścią dedykowanego klastra, rozliczenia są wykonywane dla klastra. Zobacz następującą sekcję "Klastry dedykowane". Aby uzyskać listę warstw zobowiązania i ich cen, zobacz Cennik usługi Azure Monitor.

Rabaty za zobowiązania platformy Azure, takie jak rabaty otrzymane od firmy Microsoft Umowa Enterprise, są stosowane do cennika warstwy zobowiązania usługi Azure Monitor, tak jak w przypadku płatności zgodnie z rzeczywistym użyciem. Rabaty są stosowane niezależnie od tego, czy użycie jest naliczane za obszar roboczy, czy na dedykowany klaster.

Napiwek

Element menu Użycie i szacowane koszty dla każdego obszaru roboczego usługi Log Analytics przedstawia oszacowanie opłat za pozyskiwanie danych na każdym poziomie zobowiązania, aby ułatwić wybór optymalnej warstwy zobowiązania dla wzorców pozyskiwania danych. Przejrzyj te informacje okresowo, aby określić, czy możesz zmniejszyć opłaty, przechodząc do innej warstwy. Aby uzyskać informacje na temat tego widoku, zobacz Użycie i szacowane koszty. Aby przejrzeć rzeczywiste opłaty, użyj usługi Azure Cost Management = Rozliczenia.

Dedykowane klastry

Dedykowany klaster dzienników usługi Azure Monitor to kolekcja obszarów roboczych w jednym zarządzanym klastrze usługi Azure Data Explorer. Dedykowane klastry obsługują zaawansowane funkcje, takie jak klucze zarządzane przez klienta, i używają tego samego modelu cenowego warstwy zobowiązania co obszary robocze, chociaż muszą mieć poziom zobowiązania co najmniej 100 GB dziennie. Każde użycie powyżej poziomu zobowiązania (nadwyżka) jest rozliczane w tej samej cenie za GB, co w przypadku bieżącej warstwy zobowiązania. Nie ma opcji płatności zgodnie z rzeczywistym użyciem dla klastrów.

Warstwa zobowiązania klastra ma 31-dniowy okres zobowiązania po podwyższeniu poziomu zobowiązania. W okresie zobowiązania nie można zmniejszyć poziomu warstwy zobowiązania, ale można go zwiększyć w dowolnym momencie. Gdy obszary robocze są skojarzone z klastrem, rozliczenia pozyskiwania danych dla tych obszarów roboczych są wykonywane na poziomie klastra przy użyciu skonfigurowanego poziomu warstwy zobowiązania.

Istnieją dwa tryby rozliczeń dla klastra określonego podczas tworzenia klastra:

  • Klaster (wartość domyślna): Rozliczenia dotyczące pozyskanych danych są wykonywane na poziomie klastra. Pozyskane ilości danych z każdego obszaru roboczego skojarzonego z klastrem są agregowane w celu obliczenia dziennego rachunku za klaster. Alokacje poszczególnych węzłów z Microsoft Defender dla Chmury są stosowane na poziomie obszaru roboczego przed tą agregacją danych we wszystkich obszarach roboczych w klastrze.

  • Obszary robocze: koszty warstwy zobowiązania dla klastra są przypisywane proporcjonalnie do obszarów roboczych w klastrze przez wolumin pozyskiwania danych każdego obszaru roboczego (po uwzględnieniu alokacji poszczególnych węzłów z Microsoft Defender dla Chmury dla każdego obszaru roboczego).

    Jeśli łączny wolumin danych pozyskany do klastra przez jeden dzień jest mniejszy niż warstwa zobowiązania, każdy obszar roboczy jest rozliczany za pozyskane dane według obowiązującej stawki warstwy zobowiązania na GB przez rozliczenie ich części warstwy zobowiązania. Nieużywane części warstwy zobowiązania są następnie rozliczane z zasobem klastra.

    Jeśli łączny wolumin danych pozyskany do klastra przez jeden dzień jest większy niż warstwa zobowiązania, każdy obszar roboczy jest rozliczany za ułamek warstwy zobowiązania, na podstawie części pozyskanych danych tego dnia i każdego obszaru roboczego dla części pozyskanych danych powyżej warstwy zobowiązania. Jeśli łączny wolumin danych pozyskany do obszaru roboczego przez dzień przekracza warstwę zobowiązania, nie są naliczane opłaty za zasób klastra.

W opcjach rozliczeń klastra opłaty za przechowywanie danych są naliczane dla każdego obszaru roboczego. Rozliczenia klastra są uruchamiane po utworzeniu klastra, niezależnie od tego, czy obszary robocze są skojarzone z klastrem.

Po połączeniu obszarów roboczych z klastrem warstwa cenowa zostanie zmieniona na klaster, a pozyskiwanie jest rozliczane na podstawie warstwy zobowiązania klastra. Obszary robocze skojarzone z klastrem nie mają już własnej warstwy cenowej. Obszary robocze można odłączyć od klastra w dowolnym momencie, a warstwę cenową można zmienić na GB.

Jeśli połączony obszar roboczy korzysta ze starszej warstwy cenowej Na węzeł, opłaty będą naliczane na podstawie danych pozyskanych względem warstwy zobowiązania klastra i nie będą już naliczane według węzła. Alokacje danych dla węzła z Microsoft Defender dla Chmury będą nadal stosowane.

Jeśli klaster zostanie usunięty, rozliczenia dla klastra zostaną zatrzymane, nawet jeśli klaster mieści się w ciągu 31-dniowego okresu zobowiązania.

Aby uzyskać więcej informacji na temat tworzenia dedykowanego klastra i określania jego typu rozliczeniowego, zobacz Tworzenie dedykowanego klastra.

Dzienniki podstawowe

Niektóre tabele w obszarze roboczym usługi Log Analytics można skonfigurować tak, aby korzystały z dzienników podstawowych. Dane w tych tabelach mają znacznie zmniejszoną opłatę za pozyskiwanie i ograniczony okres przechowywania. Za wyszukiwanie w tych tabelach są naliczane opłaty. Dzienniki podstawowe są przeznaczone dla dzienników pełnych o dużej ilości używanych do debugowania, rozwiązywania problemów i inspekcji, ale nie do analizy i alertów.

Opłata za wyszukiwanie w dziennikach podstawowych jest oparta na GB danych skanowanych podczas wyszukiwania.

Aby uzyskać więcej informacji na temat dzienników podstawowych, w tym sposobu ich konfigurowania i wykonywania zapytań dotyczących danych, zobacz Konfigurowanie dzienników podstawowych w usłudze Azure Monitor.

Przechowywanie i archiwizowanie danych dziennika

Oprócz pozyskiwania danych opłaty są naliczane za przechowywanie danych w każdym obszarze roboczym usługi Log Analytics. Możesz ustawić okres przechowywania dla całego obszaru roboczego lub dla każdej tabeli. Po upływie tego okresu dane zostaną usunięte lub zarchiwizowane. Zarchiwizowane dzienniki mają obniżoną opłatę za przechowywanie i istnieje opłata za ich wyszukiwanie. Użyj zarchiwizowanych dzienników, aby zmniejszyć koszty danych, które należy przechowywać pod kątem zgodności lub okazjonalnych badań.

Usunięcie tabeli niestandardowej nie powoduje usunięcia danych skojarzonych z tą tabelą, dlatego opłaty za przechowywanie i archiwum będą nadal stosowane.

Aby uzyskać więcej informacji na temat przechowywania i archiwizowania danych, w tym sposobu konfigurowania tych ustawień i uzyskiwania dostępu do zarchiwizowanych danych, zobacz Konfigurowanie zasad przechowywania i archiwizowania danych w dziennikach usługi Azure Monitor.

Uwaga

Usuwanie danych z obszaru roboczego usługi Log Analytics przy użyciu funkcji przeczyszczania usługi Log Analytics nie wpływa na koszty przechowywania. Aby obniżyć koszty przechowywania, zmniejsz okres przechowywania dla obszaru roboczego lub dla określonych tabel.

Zadania wyszukiwania

Wyszukiwanie w zarchiwizowanych dziennikach używa zadań wyszukiwania. Zadania wyszukiwania to zapytania asynchroniczne, które pobierają rekordy do nowej tabeli wyszukiwania w obszarze roboczym na potrzeby dalszej analizy. Zadania wyszukiwania są rozliczane według liczby GB danych skanowanych każdego dnia, do którego uzyskuje się dostęp do wyszukiwania.

Przywracanie danych dziennika

W sytuacjach, w których starsze lub zarchiwizowane dzienniki muszą być intensywnie odpytywane z pełnymi możliwościami zapytań analitycznych, funkcja przywracania danych jest zaawansowanym narzędziem. Operacja przywracania sprawia, że określony zakres czasu danych w tabeli jest dostępny w gorącej pamięci podręcznej na potrzeby zapytań o wysokiej wydajności. Później możesz odrzucić dane po zakończeniu. Przywracanie danych dziennika jest rozliczane według ilości przywróconych danych, a czas przywracania jest aktywny. Minimalne wartości naliczane za wszystkie operacje przywracania danych to 2 TB i 12 godzin. Dane przywrócone z ponad 2 TB i/lub więcej niż 12 godzin w czasie trwania są rozliczane proporcjonalnie.

Eksportowanie danych dziennika

Eksportowanie danych w obszarze roboczym usługi Log Analytics umożliwia ciągłe eksportowanie danych na wybrane tabele w obszarze roboczym do konta usługi Azure Storage lub usługi Azure Event Hubs po nadejściu do potoku usługi Azure Monitor. Opłaty za użycie eksportu danych są oparte na ilości eksportowanych danych. Rozmiar eksportowanych danych to liczba bajtów w wyeksportowanych danych w formacie JSON.

Rozliczenia aplikacji Szczegółowe informacje

Ponieważ zasoby aplikacji opartej na obszarze roboczym Szczegółowe informacje przechowują swoje dane w obszarze roboczym usługi Log Analytics, rozliczenia pozyskiwania i przechowywania danych są wykonywane przez obszar roboczy, w którym znajdują się dane usługi Application Szczegółowe informacje. Z tego powodu możesz użyć wszystkich opcji modelu cenowego usługi Log Analytics, w tym warstw zobowiązania, wraz z płatnością zgodnie z rzeczywistym użyciem.

Napiwek

Chcesz dostosować ustawienia przechowywania w tabelach aplikacji Szczegółowe informacje? Nazwy tabel zostały zmienione dla składników opartych na obszarze roboczym, zobacz Application Szczegółowe informacje Table Structure (Struktura tabeli Szczegółowe informacje aplikacji)

Pozyskiwanie danych i przechowywanie danych dla klasycznej aplikacji Szczegółowe informacje zasobu są zgodne z tymi samymi cenami płatności zgodnie z rzeczywistym użyciem co zasoby oparte na obszarze roboczym, ale nie mogą używać warstw zobowiązań.

Dane telemetryczne z testów ping i wieloetapowych testów są naliczane tak samo jak użycie danych dla innych danych telemetrycznych z aplikacji. Korzystanie z testów internetowych i włączanie alertów dotyczących niestandardowych wymiarów metryki jest nadal zgłaszane za pośrednictwem Szczegółowe informacje aplikacji. Za korzystanie ze strumienia metryk na żywo nie są naliczane opłaty za ilość danych.

Aby uzyskać więcej informacji na temat starszych warstw, które są dostępne dla wczesnych użytkowników usługi Application Szczegółowe informacje, zobacz Warstwa cenowa aplikacji Szczegółowe informacje starszej wersji przedsiębiorstwa (na węzeł).

Obszary robocze z usługą Microsoft Sentinel

Gdy usługa Microsoft Sentinel jest włączona w obszarze roboczym usługi Log Analytics, wszystkie dane zebrane w tym obszarze roboczym podlegają opłatom za usługę Microsoft Sentinel wraz z opłatami za usługę Log Analytics. Z tego powodu często oddzielasz dane zabezpieczeń i operacyjne w różnych obszarach roboczych, dzięki czemu nie są naliczane opłaty za dane operacyjne w usłudze Microsoft Sentinel.

W niektórych scenariuszach połączenie tych danych może spowodować oszczędności kosztów. Zazwyczaj taka sytuacja występuje, gdy nie zbierasz wystarczających danych zabezpieczeń i operacyjnych dla każdego z nich, aby osiągnąć warstwę zobowiązania samodzielnie, ale połączone dane są wystarczające do osiągnięcia warstwy zobowiązania. Aby uzyskać więcej informacji i przykładowe obliczenie kosztów, zobacz sekcję "Łączenie danych SOC i innych niż SOC" w temacie Projektowanie architektury obszaru roboczego usługi Microsoft Sentinel.

Obszary robocze z Microsoft Defender dla Chmury

Usługa Microsoft Defender dla serwerów (część Defender dla Chmury)opłaty według liczby monitorowanych usług. Zapewnia 500 MB na serwer dziennie alokacji danych, która jest stosowana do następującego podzestawu typów danych zabezpieczeń:

Jeśli obszar roboczy znajduje się w starszej warstwie cenowej Na węzeł, alokacje Defender dla Chmury i Log Analytics są łączone i stosowane wspólnie do wszystkich pozyskanych danych podlegających rozliczaniu. Aby dowiedzieć się więcej na temat sposobu, w jaki klienci usługi Microsoft Sentinel mogą korzystać, zobacz stronę Cennik usługi Microsoft Sentinel.

Liczba monitorowanych serwerów jest obliczana na godzinowym poziomie szczegółowości. Dzienny udział alokacji danych z każdego monitorowanego serwera jest agregowany na poziomie obszaru roboczego. Jeśli obszar roboczy znajduje się w starszej warstwie cenowej Na węzeł, alokacje Microsoft Defender dla Chmury i Log Analytics są łączone i stosowane wspólnie do wszystkich pozyskanych danych podlegających rozliczaniu.

Starsze warstwy cenowe

Subskrypcje zawierające obszar roboczy usługi Log Analytics lub zasób aplikacji Szczegółowe informacje w dniu 2 kwietnia 2018 r. lub są połączone z Umowa Enterprise, które rozpoczęły się przed 1 lutego 2019 r., i są nadal aktywne, będą nadal miały dostęp do korzystania z następujących starszych warstw cenowych:

  • Autonomiczny (na GB)
  • Na węzeł (Operations Management Suite [OMS])

Dostęp do starszej warstwy cenowej Bezpłatnej wersji próbnej został ograniczony 1 lipca 2022 r. Informacje o cenach dla warstw cenowych Autonomiczna i Na węzeł są dostępne tutaj.

Lista nazw mierników rozliczeń usługi Azure Monitor, w tym tych starszych warstw, jest dostępna tutaj.

Ważne

Starsze warstwy cenowe nie obsługują dostępu do niektórych najnowszych funkcji usługi Log Analytics, takich jak pozyskiwanie danych jako ekonomiczne dzienniki podstawowe.

Warstwa cenowa Bezpłatna wersja próbna

Obszary robocze w warstwie cenowej Bezpłatna wersja próbna mają dzienne pozyskiwanie danych ograniczone do 500 MB (z wyjątkiem typów danych zabezpieczeń zebranych przez Microsoft Defender dla Chmury). Przechowywanie danych jest ograniczone do siedmiu dni. Warstwa cenowa Bezpłatna wersja próbna jest przeznaczona tylko do celów ewaluacyjnych, a nie obciążeń produkcyjnych. Dla warstwy Bezpłatna wersja próbna nie jest dostępna żadna umowa SLA.

Uwaga

Tworzenie nowych obszarów roboczych lub przenoszenie istniejących obszarów roboczych do starszej warstwy cenowej Bezpłatna wersja próbna była możliwa tylko do 1 lipca 2022 r.

Autonomiczna warstwa cenowa

Użycie w autonomicznej warstwie cenowej jest rozliczane według pozyskanego woluminu danych. Raport jest zgłaszany w usłudze Log Analytics , a miernik nosi nazwę "Analiza danych". Obszary robocze w autonomicznej warstwie cenowej mają konfigurowalny okres przechowywania od 30 do 730 dni. Obszary robocze w autonomicznej warstwie cenowej nie obsługują korzystania z dzienników podstawowych.

Warstwa cenowa na węzeł

Opłaty za warstwę cenową Na węzeł na monitorowaną maszynę wirtualną (węzeł) są naliczane na godzinę szczegółowości. Dla każdego monitorowanego węzła obszar roboczy jest przydzielany 500 MB danych dziennie, które nie są rozliczane. Ta alokacja jest obliczana z dokładnością godzinową i jest agregowana na poziomie obszaru roboczego każdego dnia. Dane pozyskane powyżej zagregowanej alokacji danych dziennych są rozliczane na GB jako nadwyżka danych. Warstwa cenowa Na węzeł to starsza warstwa, która jest dostępna tylko dla istniejących subskrypcji spełniających wymagania starszych warstw cenowych.

Na rachunku usługa będzie analizą i analizą użycia usługi Log Analytics, jeśli obszar roboczy znajduje się w warstwie cenowej Na węzeł. Obszary robocze w warstwie cenowej Na węzeł mają konfigurowalny okres przechowywania od 30 do 730 dni. Obszary robocze w warstwie cenowej Na węzeł nie obsługują korzystania z dzienników podstawowych. Użycie jest zgłaszane na trzech miernikach:

  • Węzeł: użycie liczby monitorowanych węzłów (maszyn wirtualnych) w jednostkach miesięcy węzłów.
  • Nadwyżka danych na węzeł: liczba GB danych pozyskanych poza zagregowaną alokacją danych.
  • Dane uwzględnione na węzeł: ilość pozyskanych danych objętych zagregowaną alokacją danych. Ten miernik jest również używany, gdy obszar roboczy znajduje się we wszystkich warstwach cenowych, aby pokazać ilość danych objętych Microsoft Defender dla Chmury.

Napiwek

Jeśli obszar roboczy ma dostęp do warstwy cenowej Na węzeł , ale zastanawiasz się, czy będzie kosztować mniej w warstwie płatności zgodnie z rzeczywistym użyciem, użyj następującego zapytania w celu uzyskania rekomendacji.

Warstwy cenowe Standardowa i Premium

Obszarów roboczych nie można utworzyć ani przenieść do warstw cenowych Standardowa lub Premium od 1 października 2016 r. Obszary robocze już w tych warstwach cenowych mogą nadal ich używać, ale jeśli obszar roboczy zostanie przeniesiony z tych warstw, nie można go przenieść z powrotem. Warstwy cenowe Standardowa i Premium mają stałe przechowywanie danych na poziomie 30 dni i 365 dni. Obszary robocze w tych warstwach cenowych nie obsługują korzystania z dzienników podstawowych i archiwum danych. Mierniki pozyskiwania danych na rachunku za korzystanie z platformy Azure dla tych starszych warstw są nazywane "Analizowane dane".

Microsoft Defender dla Chmury ze starszymi warstwami cenowymi

Następujące zagadnienia dotyczą starszych warstw usługi Log Analytics i sposobu naliczania opłat za użycie Microsoft Defender dla Chmury:

  • Jeśli obszar roboczy znajduje się w starszej warstwie Standardowa lub Premium, Microsoft Defender dla Chmury jest rozliczany tylko w przypadku pozyskiwania danych usługi Log Analytics, a nie dla węzła.
  • Jeśli obszar roboczy znajduje się w starszej warstwie Na węzeł, Microsoft Defender dla Chmury jest rozliczany przy użyciu bieżącego modelu cenowego opartego na Microsoft Defender dla Chmury węzłach.
  • W innych warstwach cenowych (w tym warstwach zobowiązania), jeśli Microsoft Defender dla Chmury została włączona przed 19 czerwca 2017 r., Microsoft Defender dla Chmury jest rozliczana tylko w przypadku pozyskiwania danych usługi Log Analytics. W przeciwnym razie Microsoft Defender dla Chmury jest rozliczana przy użyciu bieżącego modelu cenowego opartego na Microsoft Defender dla Chmury węzłach.

Więcej informacji na temat ograniczeń warstw cenowych można znaleźć w temacie Azure subscription and service limits, quotas, and constraints (Limity, limity przydziału i ograniczenia usługi platformy Azure).

Żadna ze starszych warstw cenowych nie ma cen opartych na regionie.

Uwaga

Aby użyć uprawnień pochodzących z zakupu pakietu OMS E1 Suite, pakietu OMS E2 lub dodatku pakietu OMS dla programu System Center, wybierz warstwę cenową Log Analytics na węzeł.

Ocena starszej warstwy cenowej Na węzeł

Często trudno jest określić, czy obszary robocze z dostępem do starszej warstwy cenowej Na węzeł są lepsze w tej warstwie, czy w bieżącej warstwie płatności zgodnie z rzeczywistym użyciem lub w warstwie zobowiązania. Należy zrozumieć kompromis między kosztem stałym za monitorowany węzeł w warstwie cenowej Per Node i uwzględnionym przydziałem danych wynoszącym 500 MB na węzeł dziennie oraz kosztem płacenia za pozyskane dane w warstwie płatności zgodnie z rzeczywistym użyciem (za GB).

Użyj następującego zapytania, aby utworzyć zalecenie dotyczące optymalnej warstwy cenowej na podstawie wzorców użycia obszaru roboczego. To zapytanie analizuje monitorowane węzły i dane pozyskane do obszaru roboczego w ciągu ostatnich siedmiu dni. Dla każdego dnia ocenia ona, która warstwa cenowa byłaby optymalna. Aby użyć zapytania, należy określić:

  • Określa, czy obszar roboczy używa Microsoft Defender dla Chmury przez ustawienie workspaceHasSecurityCenter na true lub false.
  • Zaktualizuj ceny, jeśli masz określone rabaty.
  • Określ liczbę dni, które mają wyglądać wstecz i analizować, ustawiając wartość daysToEvaluate. Ta opcja jest przydatna, jeśli zapytanie trwa zbyt długo, próbując przyjrzeć się siedmiodniowym danym.
// Set these parameters before running query
// For pay-as-you-go (per-GB) and commitment tier pricing details, see https://azure.microsoft.com/pricing/details/monitor/.
// You can see your per-node costs in your Azure usage and charge data. For more information, see https://learn.microsoft.com/azure/cost-management-billing/understand/download-azure-daily-usage.  
let workspaceHasSecurityCenter = true;
let daysToEvaluate = 7;
let PerNodePrice = 15.; // Monthly price per monitored node
let PerNodeOveragePrice = 2.30; // Price per GB for data overage in the Per Node pricing tier
let PerGBPrice = 2.30; // Enter the pay-as-you-go price for your workspace's region (from https://azure.microsoft.com/pricing/details/monitor/)
let CommitmentTier100Price = 196.; // Enter your price for the 100 GB/day commitment tier
let CommitmentTier200Price = 368.; // Enter your price for the 200 GB/day commitment tier
let CommitmentTier300Price = 540.; // Enter your price for the 300 GB/day commitment tier
let CommitmentTier400Price = 704.; // Enter your price for the 400 GB/day commitment tier
let CommitmentTier500Price = 865.; // Enter your price for the 500 GB/day commitment tier
let CommitmentTier1000Price = 1700.; // Enter your price for the 1000 GB/day commitment tier
let CommitmentTier2000Price = 3320.; // Enter your price for the 2000 GB/day commitment tier
let CommitmentTier5000Price = 8050.; // Enter your price for the 5000 GB/day commitment tier
// ---------------------------------------
let SecurityDataTypes=dynamic(["SecurityAlert", "SecurityBaseline", "SecurityBaselineSummary", "SecurityDetection", "SecurityEvent", "WindowsFirewall", "MaliciousIPCommunication", "LinuxAuditLog", "SysmonEvent", "ProtectionStatus", "WindowsEvent", "Update", "UpdateSummary"]);
let StartDate = startofday(datetime_add("Day",-1*daysToEvaluate,now()));
let EndDate = startofday(now());
union * 
| where TimeGenerated >= StartDate and TimeGenerated < EndDate
| extend computerName = tolower(tostring(split(Computer, '.')[0]))
| where computerName != ""
| summarize nodesPerHour = dcount(computerName) by bin(TimeGenerated, 1h)  
| summarize nodesPerDay = sum(nodesPerHour)/24.  by day=bin(TimeGenerated, 1d)  
| join kind=leftouter (
    Heartbeat 
    | where TimeGenerated >= StartDate and TimeGenerated < EndDate
    | where Computer != ""
    | summarize ASCnodesPerHour = dcount(Computer) by bin(TimeGenerated, 1h) 
    | extend ASCnodesPerHour = iff(workspaceHasSecurityCenter, ASCnodesPerHour, 0)
    | summarize ASCnodesPerDay = sum(ASCnodesPerHour)/24.  by day=bin(TimeGenerated, 1d)   
) on day
| join (
    Usage 
    | where TimeGenerated >= StartDate and TimeGenerated < EndDate
    | where IsBillable == true
    | extend NonSecurityData = iff(DataType !in (SecurityDataTypes), Quantity, 0.)
    | extend SecurityData = iff(DataType in (SecurityDataTypes), Quantity, 0.)
    | summarize DataGB=sum(Quantity)/1000., NonSecurityDataGB=sum(NonSecurityData)/1000., SecurityDataGB=sum(SecurityData)/1000. by day=bin(StartTime, 1d)  
) on day
| extend AvgGbPerNode =  NonSecurityDataGB / nodesPerDay
| extend OverageGB = iff(workspaceHasSecurityCenter, 
             max_of(DataGB - 0.5*nodesPerDay - 0.5*ASCnodesPerDay, 0.), 
             max_of(DataGB - 0.5*nodesPerDay, 0.))
| extend PerNodeDailyCost = nodesPerDay * PerNodePrice / 31. + OverageGB * PerNodeOveragePrice
| extend billableGB = iff(workspaceHasSecurityCenter,
             (NonSecurityDataGB + max_of(SecurityDataGB - 0.5*ASCnodesPerDay, 0.)), DataGB )
| extend PerGBDailyCost = billableGB * PerGBPrice
| extend CommitmentTier100DailyCost = CommitmentTier100Price + max_of(billableGB - 100, 0.)* CommitmentTier100Price/100.
| extend CommitmentTier200DailyCost = CommitmentTier200Price + max_of(billableGB - 200, 0.)* CommitmentTier200Price/200.
| extend CommitmentTier300DailyCost = CommitmentTier300Price + max_of(billableGB - 300, 0.)* CommitmentTier300Price/300.
| extend CommitmentTier400DailyCost = CommitmentTier400Price + max_of(billableGB - 400, 0.)* CommitmentTier400Price/400.
| extend CommitmentTier500DailyCost = CommitmentTier500Price + max_of(billableGB - 500, 0.)* CommitmentTier500Price/500.
| extend CommitmentTier1000DailyCost = CommitmentTier1000Price + max_of(billableGB - 1000, 0.)* CommitmentTier1000Price/1000.
| extend CommitmentTier2000DailyCost = CommitmentTier2000Price + max_of(billableGB - 2000, 0.)* CommitmentTier2000Price/2000.
| extend CommitmentTier5000DailyCost = CommitmentTier5000Price + max_of(billableGB - 5000, 0.)* CommitmentTier5000Price/5000.
| extend MinCost = min_of(
    PerNodeDailyCost,PerGBDailyCost,CommitmentTier100DailyCost,CommitmentTier200DailyCost,
    CommitmentTier300DailyCost, CommitmentTier400DailyCost, CommitmentTier500DailyCost, CommitmentTier1000DailyCost, CommitmentTier2000DailyCost, CommitmentTier5000DailyCost)
| extend Recommendation = case(
    MinCost == PerNodeDailyCost, "Per node tier",
    MinCost == PerGBDailyCost, "Pay-as-you-go tier",
    MinCost == CommitmentTier100DailyCost, "Commitment tier (100 GB/day)",
    MinCost == CommitmentTier200DailyCost, "Commitment tier (200 GB/day)",
    MinCost == CommitmentTier300DailyCost, "Commitment tier (300 GB/day)",
    MinCost == CommitmentTier400DailyCost, "Commitment tier (400 GB/day)",
    MinCost == CommitmentTier500DailyCost, "Commitment tier (500 GB/day)",
    MinCost == CommitmentTier1000DailyCost, "Commitment tier (1000 GB/day)",
    MinCost == CommitmentTier2000DailyCost, "Commitment tier (2000 GB/day)",
    MinCost == CommitmentTier5000DailyCost, "Commitment tier (5000 GB/day)",
    "Error"
)
| project day, nodesPerDay, ASCnodesPerDay, NonSecurityDataGB, SecurityDataGB, OverageGB, AvgGbPerNode, PerGBDailyCost, PerNodeDailyCost, 
    CommitmentTier100DailyCost, CommitmentTier200DailyCost, CommitmentTier300DailyCost, CommitmentTier400DailyCost, CommitmentTier500DailyCost, CommitmentTier1000DailyCost, CommitmentTier2000DailyCost, CommitmentTier5000DailyCost, Recommendation 
| sort by day asc
//| project day, Recommendation // Comment this line to see details
| sort by day asc

To zapytanie nie jest dokładną replikacją sposobu obliczania użycia, ale w większości przypadków udostępnia zalecenia dotyczące warstwy cenowej.

Uwaga

Aby użyć uprawnień pochodzących z zakupu pakietu OMS E1 Suite, pakietu OMS E2 lub dodatku pakietu OMS dla programu System Center, wybierz warstwę cenową Log Analytics na węzeł.

Następne kroki