Opções e cálculos de custo dos logs do Azure Monitor
As cobranças mais significativas para a maioria das implementações do Azure Monitor costumam ser a ingestão e a retenção de dados nos seus workspaces do Log Analytics. Vários recursos no Azure Monitor não têm um custo direto, mas adicionam aos dados do workspace coletados. Este artigo descreve como as cobranças de dados são calculadas para os seus workspaces do Log Analytics e as várias opções de configuração que afetam seus custos.
Dica
Para ver estratégias que reduzem os custos do Azure Monitor, confira Otimização de custos e o Azure Monitor.
Modelo de preços
O preço padrão do Log Analytics é um modelo de pagamento conforme o uso baseado no volume de dados ingerido e na retenção de dados. Cada workspace do Log Analytics é cobrado como um serviço separado e contribui para a cobrança da sua assinatura do Azure. O preço para o Log Analytics é definido regionalmente. A quantidade de ingestão de dados pode ser considerável dependendo do seguinte:
- O conjunto de soluções de gerenciamento habilitadas e sua configuração.
- O número e o tipo de recursos monitorados.
- Os tipos de dados coletados de cada recurso monitorado.
Uma lista de nomes dos medidores de cobrança do Azure Monitor está disponível aqui.
Cálculo do tamanho dos dados
O volume de dados é medido como o tamanho dos dados enviados a serem armazenados e é medido em unidades de GB (10^9 bytes). O tamanho dos dados de um único registro é calculado com base em uma representação de cadeia de caracteres das colunas armazenadas no workspace do Log Analytics para esse registro. Não importa se os dados são enviados de um agente ou adicionados durante o processo de ingestão. Esse cálculo inclui todas as colunas personalizadas adicionadas pela API de ingestão de logs, transformações ou campos personalizados que são adicionados à medida que os dados são coletados e armazenados no workspace.
Observação
O cálculo do volume de dados cobrado é em geral substancialmente menor que o tamanho de todo o evento empacotado por JSON que foi recebido. Em média, em todos os tipos de evento, o tamanho cobrado é cerca de 25% menor que o tamanho dos dados recebidos. Pode ser de até 50% para eventos pequenos. O percentual inclui o efeito das colunas padrão excluídas da cobrança. É essencial reconhecer esse cálculo do tamanho dos dados faturados quando você estima os custos e os compara a outros modelos de preço.
Colunas excluídas
As colunas padrão a seguir que são comuns a todas as tabelas e são excluídas no cálculo do tamanho do registro. Todas as outras colunas armazenada no Log Analytics são incluídas no cálculo de tamanho do registro. As colunas padrão são:
_ResourceId
_SubscriptionId
_ItemId
_IsBillable
_BilledSize
Type
Tabelas excluídas
Algumas tabelas estão isentas dos encargos de ingestão de dados, incluindo por exemplo, AzureActivity, Heartbeat, Uso e Operação. Essas informações sempre serão indicadas pela coluna _IsBillable, que indica se um registro de ingestão e retenção de dados foi excluído da cobrança.
Encargos para outras soluções e serviços
Algumas soluções têm políticas mais específicas sobre ingestão de dados gratuita. Por exemplo, as Migrações para Azure tornam os dados de visualização de dependência livres para os primeiros 180 dias de uma avaliação de servidor. Serviços como o Microsoft Defender para Nuvem, o Microsoft Sentinel e o Gerenciamento de Configuração têm seus próprios modelos de preços.
Consulte a documentação de diferentes serviços e soluções para quaisquer cálculos de cobrança exclusivos.
Níveis de compromisso
Além do modelo de pagamento conforme o uso, o Log Analytics tem Níveis de compromisso, que permitem uma economia de até 30% em comparação com o preço do pagamento conforme o uso. Com o preço por nível de compromisso, você pode se comprometer a comprar uma ingestão de dados para um workspace de 100 GB ou mais por dia a um preço menor que o do pagamento conforme o uso. Qualquer uso acima do nível de compromisso (excedente) será cobrado com o mesmo preço por GB fornecido pelo nível de compromisso atual. (O excedente é cobrado usando o mesmo medidor de faturamento do nível de compromisso. Por exemplo, se um workspace estiver no nível de compromisso de 200 GB/dia e consumir 300 GB em um dia, esse uso será cobrado como 1,5 unidades do nível de compromisso de 200 GB/dia.) Os níveis de compromisso têm um período de compromisso de 31 dias a partir do momento em que um nível de compromisso é selecionado ou alterado.
- Durante o período de compromisso, você pode alterar para um nível de compromisso mais alta, que reinicia o período de compromisso de 31 dias. Você não pode voltar para o pagamento conforme o uso ou para um nível de compromisso inferior até terminar o período de compromisso.
- No final do período de compromisso, o workspace mantém a camada de compromisso selecionada e o workspace pode ser movido para pagamento conforme o uso ou para um nível de compromisso inferior a qualquer momento.
- Se um workspace for movido inadvertidamente para um nível de compromisso, entre em contato com o Suporte da Microsoft para redefinir o período de compromisso para que você possa voltar para o tipo de preço de Pagamento Conforme o Uso.
A cobrança por níveis de compromisso é feita por workspace e diariamente. Se o workspace fizer parte de um cluster dedicado, a cobrança será feita para o cluster. Confira a seção "Clusters dedicados" a seguir. Para uma lista dos níveis de compromisso e seus preços, confira Preço do Azure Monitor.
Descontos de compromisso do Azure, como os recebidos dos Contrato Enterprise da Microsoft, são aplicados aos preços de nível de compromisso dos logs do Azure Monitor da mesma forma que são para preços de pagamento conforme o uso. Os descontos são aplicados se o uso está sendo cobrado por workspace ou por cluster dedicado.
Dica
O item de menu Uso e custos estimados de cada workspace do Log Analytics mostra uma estimativa de quais seriam as suas confirmações de ingestão de dados em cada nível de compromisso para ajudar você a escolher o nível de compromisso ideal para os seus padrões de ingestão de dados. Examine periodicamente essas informações para determinar se pode reduzir seus encargos movendo-se para outro nível. Para informações sobre esse modo de exibição, confira Uso e custos estimados. Para revisar suas cobranças reais, utilize Gerenciamento de Custos do Azure = Cobrança.
Clusters dedicados
Um cluster dedicado dos Logs do Azure Monitor é uma coleção de workspaces em um único cluster gerenciado do Azure Data Explorer. Os clusters dedicados dão suporte a recursos avançados, como chaves gerenciadas pelo cliente e usam o mesmo modelo de preço de camada de compromisso que os workspaces, embora precisem ter um nível de compromisso de pelo menos 100 GB por dia. Qualquer uso acima do nível de compromisso (excedente) será cobrado com o mesmo preço por GB fornecido pelo nível de compromisso atual. Não há nenhuma opção de pagamento conforme o uso para clusters.
O nível de compromisso do cluster tem um período de compromisso de 31 dias a partir do aumento de nível. Durante o período de compromisso, o nível de compromisso não pode ser reduzido, mas pode ser aumentado a qualquer momento. Quando os workspaces estão associados a um cluster, a cobrança pela ingestão de dados para esses workspaces é feita no nível do cluster usando o nível de compromisso configurado.
Há dois modos de cobrança para um cluster que você especifica ao criar o cluster:
Cluster (padrão) : a cobrança pelos dados ingeridos é feita no nível do cluster. As quantidades de dados ingeridos de cada workspace associado a um cluster são agregadas para calcular a fatura diária do cluster. As alocações por nó do Microsoft Defender para Nuvem são aplicadas no nível de workspace antes dessa agregação de dados em todos os workspaces presentes no cluster.
Workspaces: os custos do nível de compromisso para o cluster são atribuídos proporcionalmente aos workspaces no cluster, pelo volume de ingestão de dados de cada workspace (após a contabilização de alocações por nó do Microsoft Defender para Nuvem de cada workspace).
Se o volume de dados total ingerido em um cluster por um dia for menor do que a camada de compromisso, cada espaço de trabalho será cobrado por seus dados ingeridos na taxa da camada de compromisso por GB em vigor, cobrando-os por uma fração do nível de compromisso. A parte não utilizado da camada de compromisso é cobrada para o recurso de cluster.
Se o volume total de dados ingerido em um workspace em um dia for maior do que o nível de compromisso, cada workspace será cobrado por uma fração do nível de compromisso com base em sua fração dos dados ingeridos nesse dia e também com base em uma fração dos dados ingeridos acima do nível de compromisso. Se o volume de dados total ingerido em um workspace em um dia estiver acima da reserva de capacidade, nada será cobrado no recurso de cluster.
Exemplos de como a cobrança de cluster funciona em cada um desses modos podem ser encontrados aqui.
A retenção de dados é cobrada por cada workspace, inclusive os workspaces não ingressados em um cluster.
A cobrança do cluster começa quando o cluster é criado, estando os workspaces associados a ele ou não.
Quando você vincula workspaces a um cluster, o tipo de preço é alterado para cluster e a ingestão é cobrada com base no nível de compromisso do cluster. Workspaces associados a um cluster não têm mais um tipo de preço próprio. Os workspaces podem ser desvinculados de um cluster a qualquer momento, e o tipo de preço pode ser alterado para o modelo por GB.
Se estiver usando o tipo de preço herdado Por Nó, o workspace vinculado será cobrado com base nos dados ingeridos em relação ao nível de compromisso do cluster, e não mais por nó. As alocações de dados por nó do Microsoft Defender para Nuvem continuarão a ser aplicadas.
Se um cluster for excluído, a cobrança do cluster será interrompida, mesmo se o cluster estiver dentro do período de compromisso de 31 dias.
Para mais informações sobre como criar um cluster dedicado e especificar seu tipo de cobrança, confira Criar um cluster dedicado.
Planos de tabela Básico e Auxiliar
Você pode configurar determinadas tabelas em um workspace do Log Analytics para usar os planos de tabela Básico e Auxiliar. Os dados nessas tabelas têm uma tarifa de ingestão significativamente reduzida. Existe uma tarifa para consultar dados nessas tabelas.
A cobrança por consultar dados nas tabelas Básica e Auxiliar se baseia nos GB de dados verificados na execução da pesquisa.
Para obter mais informações sobre os planos de tabela Básico e Auxiliar, confira Visão geral dos Logs do Azure Monitor: planos de tabela.
Retenção de dados de log
Além da ingestão de dados, há uma cobrança pela retenção de dados em cada workspace do Log Analytics. Você pode definir o período de retenção para todo o workspace ou para cada tabela. Após esse período, os dados serão removidos ou conservados na retenção de longo prazo. Durante o período de retenção de longo prazo, você paga uma tarifa de retenção reduzida e há uma tarifa para recuperar os dados usando um trabalho de pesquisa. Use a retenção de longo prazo para reduzir seus custos referentes aos dados que você precisa armazenar para fins de conformidade ou investigações ocasionais.
A exclusão de uma tabela personalizada não remove os dados associados a essa tabela e, portanto, uma cobrança de retenção interativa e de longo prazo continuará a ser incorrida.
Para obter mais informações sobre retenção de dados, incluindo como definir essas configurações e acessar dados na retenção de longo prazo, confira Gerenciar retenção de dados em um workspace do Log Analytics.
Observação
A exclusão de dados do workspace do Log Analytics usando o recurso Limpeza do Log Analytics não afeta seus custos de retenção. Para reduzir os custos de retenção, diminua o período de retenção do workspace ou de tabelas específicas.
Trabalhos de pesquisa
Recupere os dados da retenção de longo prazo executando trabalhos de pesquisa. Os trabalhos de pesquisa são consultas assíncronas que buscam registros em uma nova tabela de pesquisa no workspace para análise adicional. Trabalhos de pesquisa são cobrados pelo número de GB de dados verificados em cada dia que são acessados para executar a pesquisa.
Restauração de dados de log
Quando você precisa consultar intensamente grandes volumes de dados, ou dados na retenção de longo prazo, com os recursos completos de consultas para fins de análises de dados, o recurso de restauração de dados é uma ferramenta poderosa. A operação de restauração transforma um intervalo de tempo específico de dados em uma tabela disponível no cache ativo para consultas de alto desempenho. Posteriormente, você pode ignorar os dados ao terminar. A restauração de dados de log é cobrada pela quantidade de dados restaurados e quando a restauração é mantida ativa. Os valores mínimos cobrados para qualquer restauração de dados são de 2 TB e 12 horas. Os dados restaurados com mais de 2 TB e/ou mais de 12 horas de duração são cobrados de maneira proporcional.
Exportação de dados de log
A exportação de dados em um workspace do Log Analytics permite que você exporte dados continuamente de tabelas selecionadas no workspace para uma Conta de Armazenamento do Microsoft Azure ou Hubs de Eventos do Azure conforme eles chegam em um pipeline do Azure Monitor. Os encargos para o uso da exportação de dados são baseados na quantidade de dados exportados. O tamanho dos dados exportados é o número de bytes nos dados formatados JSON exportados.
Cobrança de Application Insights
Como os recursos do Application Insights baseados em workspace armazenam seus dados em um workspace do Log Analytics, a cobrança para a ingestão e a retenção de dados é feita pelo workspace em que os dados do Application Insights estão localizados. Por esse motivo, você pode usar todas as opções do modelo de preços do Log Analytics, incluindo níveis de compromisso, além de pagamento conforme o uso.
Dica
Deseja ajustar as configurações de retenção em suas tabelas do Application Insights? Os nomes de tabela foram alterados para componentes baseados em espaço de trabalho, consulte Estrutura da Tabela do Application Insights
A ingestão de dados e a retenção de dados para um recurso de Application Insights clássico seguem os mesmos preços de pagamento conforme o uso que os recursos baseados em workspace, mas não podem usar os níveis de compromisso.
A telemetria de testes de ping e de testes de várias etapas é cobrada da mesma forma que o uso de dados para outras telemetrias do seu aplicativo. O uso de testes da Web e a habilitação de alertas sobre dimensões de métricas personalizadas ainda são relatados por meio do Application Insights. Não há nenhuma cobrança de volume de dados para usar o Live Metrics Stream.
Para mais informações sobre as camadas herdadas que estão disponíveis para os primeiros adotantes do Application Insights, confira o tipo de preço empresarial herdado do Application Insights (por nó).
Workspaces com o Microsoft Sentinel
Quando o Microsoft Sentinel está habilitado em um workspace do Log Analytics, todos os dados coletados nesse workspace estão sujeitos a encargos do Microsoft Sentinel, além dos encargos do Log Analytics. Por esse motivo, você geralmente separará seus dados operacionais e de segurança em diferentes workspaces para não incorrer em encargos do Microsoft Sentinel para dados operacionais.
Em algumas situações, combinar dados pode levar a economias de custos. Em geral, essa situação ocorre quando você não está coletando dados operacionais e de segurança suficientes para cada um alcançar um nível de compromisso por conta própria, mas os dados combinados são suficientes para alcançar um nível de compromisso. Para saber mais, veja:
- Criar uma arquitetura de workspace do Log Analytics
- Designs de exemplo de workspace do Log Analytics para o Microsoft Sentinel
Workspaces com o Microsoft Defender para Nuvem
O Microsoft Defender para Servidores (parte do Defender para Nuvem) cobra pelo número de serviços monitorados. Ele fornece 500 MB por servidor por dia de alocação de dados aplicada ao seguinte subconjunto de tipos de dados de segurança:
- SecurityAlert
- SecurityBaseline
- SecurityBaselineSummary
- SecurityDetection
- SecurityEvent
- WindowsFirewall
- SysmonEvent
- ProtectionStatus
- Atualização e UpdateSummary quando a solução de Gerenciamento de Atualizações não está em execução no workspace ou quando o direcionamento de solução está habilitado.
- MDCFileIntegrityMonitoringEvents
Se o workspace estiver no tipo de preço herdado Por Nó, as alocações do Defender para Nuvem e do Log Analytics serão combinadas e aplicadas em conjunto a todos os dados ingeridos passíveis de cobrança. Se o espaço de trabalho tiver o Sentinel ativado, se o Sentinel estiver usando um tipo de preço clássico, a alocação de dados do Defender se aplicará apenas à cobrança de ingestão de dados do Log Analytics, mas não à cobrança clássica do Sentinel. Se o Sentinel estiver usando um nível de preços simplificado, a alocação de dados do Defender se aplicará ao faturamento unificado do Sentinel. Para saber mais sobre como os clientes do Microsoft Sentinel podem se beneficiar, confira a Página de Preços do Microsoft Sentinel.
A contagem de servidores monitorados é calculada em uma granularidade por hora. As contribuições de alocação de dados por dia de cada servidor monitorado são agregadas no nível do workspace. Se o workspace estiver no tipo de preço herdado Por Nó, as alocações do Microsoft Defender para Nuvem e do Log Analytics serão combinadas e aplicadas em conjunto a todos os dados ingeridos passíveis de cobrança.
Tipos de preço legados
As assinaturas que continham um workspace do Log Analytics ou um recurso do Application Insights em 2 de abril de 2018 ou que estão vinculadas a um Contrato Enterprise iniciado antes de 1º de fevereiro de 2019 e ainda estão ativas, continuarão a ter acesso para usar os seguintes níveis de preço herdados:
- Autônomo (Por GB)
- Por nó (OMS [Operations Management Suite])
O acesso ao tipo de preço de Avaliação Gratuita herdado foi limitado em 1º de julho de 2022. As informações de preços para os níveis de preço Autônomo e Por Nó estão disponíveis aqui.
Uma lista de nomes dos medidores de cobrança do Azure Monitor, incluindo essas camadas herdadas, está disponível aqui.
Importante
Os tipos de preço herdados não são compatíveis com o acesso a alguns dos recursos mais recentes do Log Analytics, como a ingestão de dados em tabelas com os planos de tabela econômicos Básico e Auxiliar.
Avaliação gratuita tipo de preço
Os espaços de trabalho no tipo de preço Avaliação Gratuita têm ingestão diária de dados limitada a 500 MB (exceto para tipos de dados de segurança coletados pelo Microsoft Defender para Nuvem). A retenção de dados é limitada a sete dias. O tipo de preço Avaliação Gratuita destina-se apenas a fins de avaliação, não a cargas de trabalho de produção. Nenhum SLA é fornecido para o nível de Avaliação Gratuita.
Observação
Criar ou mover novos workspaces para o tipo de preço Avaliação gratuita herdado é possível apenas até 1º de julho de 2022.
Tipo de preço autônomo
O uso no tipo de preço Autônomo é cobrado pelo volume de dados ingeridos. Ele é relatado no serviço Log Analytics e o medidor é chamado de "Dados Analisados". Os workspaces no tipo de preço autônomo têm retenção configurável pelo usuário de 30 a 730 dias. Os workspaces com o tipo de preço Autônomo não são compatíveis com o uso dos planos de tabela Básico e Auxiliar.
Tipo de preço Por Nó
O tipo de preço Por Nó faz a cobrança por VM monitorada (nó) em uma granularidade de hora. Para cada nó monitorado, são alocados 500 MB de dados por dia ao espaço de trabalho, os quais não são cobrados. Essa alocação é calculada com granularidade por hora e é agregada no nível do workspace a cada dia. Os dados ingeridos em quantidade acima da alocação diária de dados agregados são cobrados por GB como excedentes de dados. O tipo de preço Por Nó é um tipo herdado que só está disponível para Assinaturas existentes que cumprem os requisitos para tipos de preço herdados.
Na sua fatura, o serviço aparecerá como Insights e Análises para o uso do Log Analytics se o workspace estiver no tipo de preço Por Nó. Os workspaces no tipo de preço Por Nó têm retenção configurável do usuário de 30 a 730 dias. Os workspaces no tipo de preço Por Nó não são compatíveis com o uso dos planos de tabela Básico e Auxiliar. O uso é relatado em três medidores:
- Nó: o uso do número de nós monitorados (VMs) em unidades de nó/meses.
- Dados Excedentes por Nó: o número de GB de dados ingeridos em excesso a alocação de dados agregados.
- Dados Incluídos por Nó: a quantidade de dados ingeridos cobertos pela alocação de dados agregados. Esse medidor também é usado quando o workspace está em todos os tipos de preço para mostrar a quantidade de dados cobertos pelo Microsoft Defender para Nuvem.
Dica
Caso seu workspace tenha acesso ao tipo de preço Por Nó, mas você esteja se perguntando se o custo seria menor em um nível de pagamento conforme o uso, use a consulta a seguir para uma recomendação.
Tipos de preço Standard e Premium
Não é mais possível criar nem migrar workspaces para os tipos de preço Standard ou Premium desde 1º de outubro de 2016. Os workspaces que já estão nesses tipos de preço podem continuar a usá-los, mas se um workspace sair desses tipos, não poderão voltar. Os níveis de preços Standard e Premium têm retenção de dados fixa de 30 dias e 365 dias, respectivamente. Os workspaces nesses tipos de preços não dão suporte ao uso dos planos de tabela Básico e Auxiliar nem de retenção de dados de longo prazo. Os medidores de ingestão de dados desses tipos de preço herdados na sua fatura do Azure são chamados de "Dados analisados".
O Microsoft Defender para Nuvem com os tipos de preço herdados
As seguintes considerações se referem às camadas herdadas do Log Analytics e a como o uso é cobrado para o Microsoft Defender para Nuvem:
- Caso o workspace esteja no tipo de preço herdado Standard ou Premium, o Microsoft Defender para Nuvem será cobrado somente pela ingestão de dados do Log Analytics, e não por nó.
- Se o workspace estiver na camada herdada Por Nó, o Microsoft Defender para Nuvem será cobrado usando o modelo de preços baseado em nó do Microsoft Defender para Nuvem.
- Em outros tipos de preço (incluindo os níveis de compromisso), se o Microsoft Defender para Nuvem tiver sido habilitado antes de 19 de junho de 2017, ele será cobrado somente pela ingestão de dados do Log Analytics. Caso contrário, o Microsoft Defender para Nuvem será cobrado usando o modelo de preços baseado em nó do Microsoft Defender para Nuvem.
Mais informações sobre as limitações do tipo de preço estão disponíveis em Assinatura do Azure e limites de serviço, cotas e restrições.
Nenhum dos tipos de preço herdados têm preços baseados na região.
Observação
Para usar os direitos provenientes da aquisição de OMS E1 Suite, OMS E2 Suite OMS ou Complemento do OMS para System Center, escolha o tipo de preço Por Nó do Log Analytics.
Avaliar o tipo de preço Por Nó herdado
Geralmente, é difícil para os clientes avaliarem se os workspaces com acesso ao tipo de preço herdado Por Nó seriam mais vantajosos nesse tipo de preço ou nos tipos atuais de pagamento conforme o uso ou nível de compromisso. Você precisa entender Isso envolve a compreensão da compensação entre o custo fixo por nó monitorado no tipo de preço Por Nó e sua alocação de dados inclusa de 500 MB por nó por dia, além do custo de pagar apenas por dados ingeridos no nível de pagamento conforme o uso (por GB).
Use a consulta a seguir para se obter uma recomendação sobre o tipo de preço ideal com base nos padrões de uso de um workspace. Essa consulta analisa os nós monitorados e os dados ingeridos de um workspace nos últimos sete dias. Para cada dia, ele avalia qual tipo de preço teria sido ideal. Para usar a consulta, especifique:
- Se o workspace está usando o Microsoft Defender para Nuvem definindo
workspaceHasSecurityCenter
comotrue
oufalse
. - Atualizar os preços, caso você tenha descontos específicos.
- Especificar o número de dias a serem examinados e analisados configurando
daysToEvaluate
. Essa opção será útil caso a consulta esteja demorando muito tempo tentando analisar sete dias de dados.
// Set these parameters before running query
// For pay-as-you-go (per-GB) and commitment tier pricing details, see https://azure.microsoft.com/pricing/details/monitor/.
// You can see your per-node costs in your Azure usage and charge data. For more information, see https://learn.microsoft.com/azure/cost-management-billing/understand/download-azure-daily-usage.
let workspaceHasSecurityCenter = true;
let daysToEvaluate = 7;
let PerNodePrice = 15.; // Monthly price per monitored node
let PerNodeOveragePrice = 2.30; // Price per GB for data overage in the Per Node pricing tier
let PerGBPrice = 2.30; // Enter the pay-as-you-go price for your workspace's region (from https://azure.microsoft.com/pricing/details/monitor/)
let CommitmentTier100Price = 196.; // Enter your price for the 100 GB/day commitment tier
let CommitmentTier200Price = 368.; // Enter your price for the 200 GB/day commitment tier
let CommitmentTier300Price = 540.; // Enter your price for the 300 GB/day commitment tier
let CommitmentTier400Price = 704.; // Enter your price for the 400 GB/day commitment tier
let CommitmentTier500Price = 865.; // Enter your price for the 500 GB/day commitment tier
let CommitmentTier1000Price = 1700.; // Enter your price for the 1000 GB/day commitment tier
let CommitmentTier2000Price = 3320.; // Enter your price for the 2000 GB/day commitment tier
let CommitmentTier5000Price = 8050.; // Enter your price for the 5000 GB/day commitment tier
// ---------------------------------------
let SecurityDataTypes=dynamic(["SecurityAlert", "SecurityBaseline", "SecurityBaselineSummary", "SecurityDetection", "SecurityEvent", "WindowsFirewall", "MaliciousIPCommunication", "LinuxAuditLog", "SysmonEvent", "ProtectionStatus", "WindowsEvent", "Update", "UpdateSummary"]);
let StartDate = startofday(datetime_add("Day",-1*daysToEvaluate,now()));
let EndDate = startofday(now());
union *
| where TimeGenerated >= StartDate and TimeGenerated < EndDate
| extend computerName = tolower(tostring(split(Computer, '.')[0]))
| where computerName != ""
| summarize nodesPerHour = dcount(computerName) by bin(TimeGenerated, 1h)
| summarize nodesPerDay = sum(nodesPerHour)/24. by day=bin(TimeGenerated, 1d)
| join kind=leftouter (
Heartbeat
| where TimeGenerated >= StartDate and TimeGenerated < EndDate
| where Computer != ""
| summarize ASCnodesPerHour = dcount(Computer) by bin(TimeGenerated, 1h)
| extend ASCnodesPerHour = iff(workspaceHasSecurityCenter, ASCnodesPerHour, 0)
| summarize ASCnodesPerDay = sum(ASCnodesPerHour)/24. by day=bin(TimeGenerated, 1d)
) on day
| join (
Usage
| where TimeGenerated >= StartDate and TimeGenerated < EndDate
| where IsBillable == true
| extend NonSecurityData = iff(DataType !in (SecurityDataTypes), Quantity, 0.)
| extend SecurityData = iff(DataType in (SecurityDataTypes), Quantity, 0.)
| summarize DataGB=sum(Quantity)/1000., NonSecurityDataGB=sum(NonSecurityData)/1000., SecurityDataGB=sum(SecurityData)/1000. by day=bin(StartTime, 1d)
) on day
| extend AvgGbPerNode = NonSecurityDataGB / nodesPerDay
| extend OverageGB = iff(workspaceHasSecurityCenter,
max_of(DataGB - 0.5*nodesPerDay - 0.5*ASCnodesPerDay, 0.),
max_of(DataGB - 0.5*nodesPerDay, 0.))
| extend PerNodeDailyCost = nodesPerDay * PerNodePrice / 31. + OverageGB * PerNodeOveragePrice
| extend billableGB = iff(workspaceHasSecurityCenter,
(NonSecurityDataGB + max_of(SecurityDataGB - 0.5*ASCnodesPerDay, 0.)), DataGB )
| extend PerGBDailyCost = billableGB * PerGBPrice
| extend CommitmentTier100DailyCost = CommitmentTier100Price + max_of(billableGB - 100, 0.)* CommitmentTier100Price/100.
| extend CommitmentTier200DailyCost = CommitmentTier200Price + max_of(billableGB - 200, 0.)* CommitmentTier200Price/200.
| extend CommitmentTier300DailyCost = CommitmentTier300Price + max_of(billableGB - 300, 0.)* CommitmentTier300Price/300.
| extend CommitmentTier400DailyCost = CommitmentTier400Price + max_of(billableGB - 400, 0.)* CommitmentTier400Price/400.
| extend CommitmentTier500DailyCost = CommitmentTier500Price + max_of(billableGB - 500, 0.)* CommitmentTier500Price/500.
| extend CommitmentTier1000DailyCost = CommitmentTier1000Price + max_of(billableGB - 1000, 0.)* CommitmentTier1000Price/1000.
| extend CommitmentTier2000DailyCost = CommitmentTier2000Price + max_of(billableGB - 2000, 0.)* CommitmentTier2000Price/2000.
| extend CommitmentTier5000DailyCost = CommitmentTier5000Price + max_of(billableGB - 5000, 0.)* CommitmentTier5000Price/5000.
| extend MinCost = min_of(
PerNodeDailyCost,PerGBDailyCost,CommitmentTier100DailyCost,CommitmentTier200DailyCost,
CommitmentTier300DailyCost, CommitmentTier400DailyCost, CommitmentTier500DailyCost, CommitmentTier1000DailyCost, CommitmentTier2000DailyCost, CommitmentTier5000DailyCost)
| extend Recommendation = case(
MinCost == PerNodeDailyCost, "Per node tier",
MinCost == PerGBDailyCost, "Pay-as-you-go tier",
MinCost == CommitmentTier100DailyCost, "Commitment tier (100 GB/day)",
MinCost == CommitmentTier200DailyCost, "Commitment tier (200 GB/day)",
MinCost == CommitmentTier300DailyCost, "Commitment tier (300 GB/day)",
MinCost == CommitmentTier400DailyCost, "Commitment tier (400 GB/day)",
MinCost == CommitmentTier500DailyCost, "Commitment tier (500 GB/day)",
MinCost == CommitmentTier1000DailyCost, "Commitment tier (1000 GB/day)",
MinCost == CommitmentTier2000DailyCost, "Commitment tier (2000 GB/day)",
MinCost == CommitmentTier5000DailyCost, "Commitment tier (5000 GB/day)",
"Error"
)
| project day, nodesPerDay, ASCnodesPerDay, NonSecurityDataGB, SecurityDataGB, OverageGB, AvgGbPerNode, PerGBDailyCost, PerNodeDailyCost,
CommitmentTier100DailyCost, CommitmentTier200DailyCost, CommitmentTier300DailyCost, CommitmentTier400DailyCost, CommitmentTier500DailyCost, CommitmentTier1000DailyCost, CommitmentTier2000DailyCost, CommitmentTier5000DailyCost, Recommendation
| sort by day asc
//| project day, Recommendation // Comment this line to see details
| sort by day asc
Essa consulta não é uma replicação exata de como o uso é calculado, mas fornece recomendações de tipo de preço na maioria dos casos.
Observação
Para usar os direitos provenientes da aquisição de OMS E1 Suite, OMS E2 Suite OMS ou Complemento do OMS para System Center, escolha o tipo de preço Por Nó do Log Analytics.
Próximas etapas
- Consulte o custo e o uso do Azure Monitor para obter uma descrição dos diferentes tipos de encargos do Azure Monitor e como analisá-los em sua fatura do Azure.
- Confira Analisar uso no workspace do Log Analytics para obter detalhes sobre como analisar os dados no workspace a fim de determinar a origem de qualquer uso maior do que o esperado e oportunidades para reduzir a quantidade de dados coletados.
- Confira Definir limite diário no workspace do Log Analytics para controlar seus custos configurando um volume máximo que pode ser ingerido em um workspace todos os dias.
- Consulte as práticas recomendadas do Azure Monitor – Gerenciamento de custos para obter práticas recomendadas sobre como configurar e gerenciar o Azure Monitor para minimizar seus encargos.