Definir limite diário no espaço de trabalho do Log Analytics
Um limite diário em um espaço de trabalho do Log Analytics permite evitar aumentos inesperados nas cobranças por ingestão de dados, interrompendo a coleta de dados faturáveis pelo resto do dia sempre que um limite especificado for atingido. Este artigo descreve como funciona o limite diário e como configurar um no seu espaço de trabalho.
Importante
Você deve ter cuidado ao definir um limite diário, pois quando a coleta de dados para, sua capacidade de observar e receber alertas quando as condições de saúde de seus recursos forem afetadas. Também pode afetar outros serviços e soluções do Azure cuja funcionalidade pode depender da disponibilidade de dados atualizados no espaço de trabalho. Seu objetivo não deve ser atingir regularmente o limite diário, mas sim usá-lo como um método pouco frequente para evitar cobranças não planejadas resultantes de um aumento inesperado no volume de dados coletados.
Para obter estratégias para reduzir os custos do Azure Monitor, consulte Otimização de custos e Azure Monitor.
Permissões necessárias
| Ação | Permissões ou função necessárias |
|---|---|
| Definir o limite diário em um espaço de trabalho do Log Analytics | Microsoft.OperationalInsights/workspaces/writepermissões para os espaços de trabalho do Log Analytics nos quais você define o limite diário, conforme fornecido pela função interna Colaborador do Log Analytics, por exemplo. |
| Definir o limite diário em um recurso clássico do Application Insights | microsoft.insights/components/CurrentBillingFeatures/write permissões para os recursos clássicos do Application Insights nos quais você define o limite diário, conforme fornecido pela função interna Application Insights Component Contributor, por exemplo. |
| Criar um alerta quando o limite diário de um espaço de trabalho do Log Analytics for atingido | microsoft.insights/scheduledqueryrules/writepermissões, conforme fornecido pela função interna Colaborador de Monitoramento, por exemplo |
| Criar um alerta quando o limite diário de um recurso clássico do Application Insights for atingido | microsoft.insights/activitylogalerts/writepermissões, conforme fornecido pela função interna Colaborador de Monitoramento, por exemplo |
| Ver o efeito da tampa diária | Microsoft.OperationalInsights/workspaces/query/*/readpermissões para os espaços de trabalho do Log Analytics que você consulta, conforme fornecido pela função interna Log Analytics Reader, por exemplo. |
Como funciona a tampa diária
Cada espaço de trabalho tem um limite diário que define seu próprio limite de volume de dados. Quando o limite diário é atingido, um banner de aviso aparece na parte superior da página do espaço de trabalho selecionado do Log Analytics no portal do Azure e um evento de operação é enviado para a tabela Operation na categoria LogManagement . Opcionalmente, pode criar uma regra de alerta para enviar um alerta quando este evento é criado.
A coleta de dados é retomada no horário de redefinição, que é uma hora diferente do dia para cada espaço de trabalho. Esta hora de reposição não pode ser configurada. Opcionalmente, pode criar uma regra de alerta para enviar um alerta quando este evento é criado.
Nota
O limite diário não pode parar a coleta de dados exatamente no nível de limite especificado e alguns dados em excesso são esperados, especialmente se o espaço de trabalho estiver recebendo grandes volumes de dados. Se os dados forem recolhidos acima do limite, ainda serão faturados. Consulte Exibir o efeito do limite diário para obter uma consulta que é útil no estudo do comportamento do limite diário.
Quando utilizar uma tampa diária
Os limites diários são normalmente utilizados por organizações particularmente conscientes dos custos. Eles não devem ser usados como um método para reduzir custos, mas sim como uma medida preventiva para garantir que você não exceda um orçamento específico.
Quando a coleta de dados é interrompida, você efetivamente não tem monitoramento de recursos e recursos que dependem desse espaço de trabalho. Em vez de depender apenas do limite diário, você pode criar uma regra de alerta para notificá-lo quando a coleta de dados atingir algum nível antes do limite diário. A notificação permite que você resolva quaisquer aumentos antes que a coleta de dados seja encerrada ou até mesmo desabilite temporariamente a coleta para recursos menos críticos.
Application Insights
Você deve definir a configuração de limite diário para o Application Insights e o Log Analytics para limitar a quantidade de dados de telemetria ingeridos pelo seu serviço. Para recursos do Application Insights baseados em espaço de trabalho, o limite diário efetivo é o mínimo das duas configurações. Para recursos clássicos do Application Insights, apenas o limite diário do Application Insights se aplica, uma vez que seus dados não residem em um espaço de trabalho do Log Analytics.
Gorjeta
Se você estiver preocupado com a quantidade de dados faturáveis coletados pelo Application Insights, configure a amostragem para ajustar o volume de dados ao nível desejado. Utilize o limite diário como um método de segurança caso a sua aplicação comece inesperadamente a enviar volumes de telemetria muito mais elevados.
O limite máximo para um recurso clássico do Application Insights é de 1.000 GB/dia, a menos que você solicite um máximo maior para um aplicativo de alto tráfego. Quando você cria um recurso no portal do Azure, o limite diário é definido como 100 GB/dia. Quando você cria um recurso no Visual Studio, o padrão é pequeno (apenas 32,3 MB/dia). O limite diário padrão é definido para facilitar os testes. Pretende-se que o usuário aumente o limite diário antes de implantar o aplicativo em produção.
Nota
Se você estiver usando cadeias de conexão para enviar dados para o Application Insights usando pontos de extremidade de ingestão regionais, as configurações de limite diário do Application Insights e do Log Analytics serão efetivas por região. Se você estiver usando apenas a chave de instrumentação (ikey) para enviar dados para o Application Insights usando o ponto de extremidade de ingestão global, a configuração de limite diário do Application Insights pode não ser eficaz em todas as regiões, mas a configuração de limite diário do Log Analytics ainda será aplicada.
Removemos a restrição de alguns tipos de assinatura que têm crédito que não poderia ser usado para o Application Insights. Anteriormente, se a subscrição tiver um limite de gastos, a caixa de diálogo de limite diário tem instruções para remover o limite de gastos e permitir que o limite diário seja aumentado para além de 32,3 MB/dia.
Determine a sua tampa diária
Para ajudá-lo a determinar um limite diário apropriado para seu espaço de trabalho, consulte Custo e uso do Azure Monitor para entender suas tendências de ingestão de dados. Você também pode revisar Analisar uso no espaço de trabalho do Log Analytics, que fornece métodos para analisar o uso do espaço de trabalho com mais detalhes.
Espaços de trabalho com o Microsoft Defender for Cloud
Importante
A partir de 18 de setembro de 2023, o Azure Monitor limita todos os tipos de dados faturáveis
quando a tampa diária é atingida. Não há nenhum comportamento especial para nenhum tipo de dados quando o Microsoft Defender for Servers está habilitado em seu espaço de trabalho.
Essa alteração melhora sua capacidade de conter totalmente os custos da ingestão de dados acima do esperado.
Se você tiver um limite diário definido em um espaço de trabalho que tenha o Microsoft Defender for Servers habilitado, certifique-se de que o limite seja alto o suficiente para acomodar essa alteração.
Além disso, certifique-se de definir um alerta (veja abaixo) para que você seja notificado assim que seu limite diário for atingido.
Até 18 de setembro de 2023, se um espaço de trabalho habilitou a solução Microsoft Defenders for Servers após 19 de junho de 2017, alguns tipos de dados relacionados à segurança serão coletados para o Microsoft Defender for Cloud ou o Microsoft Sentinel, apesar de qualquer limite diário configurado. Os seguintes tipos de dados estarão sujeitos a esta exceção especial do limite diário WindowsEvent, SecurityAlert, SecurityBaseline, SecurityBaselineSummary, SecurityDetection, SecurityEvent, WindowsFirewall, MaliciousIPCommunication, LinuxAuditLog, SysmonEvent, ProtectionStatus, Update, UpdateSummary, CommonSecurityLog e Syslog
Defina a tampa diária
Área de trabalho do Log Analytics
Para definir ou alterar o limite diário de uma área de trabalho do Log Analytics no portal do Azure:
- No menu Espaços de trabalho do Log Analytics, selecione seu espaço de trabalho e, em seguida, Uso e custos estimados.
- Selecione Daily Cap na parte superior da página.
- Selecione ATIVADO e, em seguida, defina o limite de volume de dados em GB/dia.
Nota
A hora de redefinição do espaço de trabalho é exibida, mas não pode ser configurada.
Para configurar o limite diário com o Azure Resource Manager, defina o dailyQuotaGb parâmetro em conforme descrito em WorkspaceCappingWorkspaces - Create Or Update.
Recurso do Classic Applications Insights
Para definir ou alterar o limite diário de um recurso clássico do Application Insights no portal do Azure:
- No menu Monitor, selecione Aplicativos, seu aplicativo e, em seguida, Uso e custos estimados.
- Selecione Data Cap na parte superior da página.
- Defina o limite de volume de dados em GB/dia.
- Se desejar que um e-mail seja enviado ao administrador da assinatura quando o limite diário for atingido, selecione essa opção.
- Defina o nível de aviso de limite diário em percentagem do limite de volume de dados.
- Se desejar que um e-mail seja enviado ao administrador da assinatura quando o nível de aviso de limite diário for atingido, selecione essa opção.
Para configurar o limite diário com o Azure Resource Manager, defina o dailyQuota, dailyQuotaResetTime e warningThreshold os parâmetros conforme descrito em Workspaces - Create Or Update.
Alerta quando o limite máximo diário é atingido
Quando o limite diário é atingido para um espaço de trabalho do Log Analytics, um banner é exibido no portal do Azure e um evento é gravado na tabela Operações no espaço de trabalho. Você deve criar uma regra de alerta para notificá-lo proativamente quando isso ocorrer.
Para receber um alerta quando o limite diário for atingido, crie uma regra de alerta de pesquisa de log com os seguintes detalhes.
| Definição | Value |
|---|---|
| Scope | |
| Âmbito de aplicação | Selecione seu espaço de trabalho do Log Analytics. |
| Condition | |
| Tipo de sinal | Registo |
| Nome do sinal | Pesquisa de log personalizada |
| Query | _LogOperation | where Category =~ "Ingestion" | where Detail contains "OverQuota" |
| Medida | Medida: Linhas da tabela Tipo de agregação: Contagem Granularidade da agregação: 5 minutos |
| Lógica de alerta | Operador: Maior que Valor limite: 0 Frequência da avaliação: 5 minutos |
| Ações | Selecione ou adicione um grupo de ações para notificá-lo quando o limite for excedido. |
| Detalhes | |
| Gravidade | Aviso |
| Nome da regra de alerta | Limite de dados diários atingido |
Recurso clássico do Application Insights
Quando o limite diário é alcançado para um recurso clássico do Application Insights, um evento é criado no log de atividades do Azure com os seguintes nomes de sinal. Opcionalmente, você também pode enviar um e-mail para o administrador da assinatura quando o limite for atingido e quando uma porcentagem especificada do limite diário for atingida.
- Limite diário de aviso do componente Application Insights atingido
- Limite diário do componente do Application Insights atingido
Para criar um alerta quando o limite diário for atingido, crie uma regra de alerta do registro de atividades com os seguintes detalhes.
| Definição | Value |
|---|---|
| Scope | |
| Âmbito de aplicação | Selecione a sua candidatura. |
| Condition | |
| Tipo de sinal | Registo de Atividades |
| Nome do sinal | Limite diário do componente do Application Insights atingido Ou Limite diário de aviso do componente Application Insights atingido |
| Gravidade | Aviso |
| Nome da regra de alerta | Limite de dados diários atingido |
Ver o efeito da tampa diária
A consulta a seguir pode ser usada para controlar os volumes de dados sujeitos ao limite diário de um espaço de trabalho do Log Analytics entre redefinições diárias de limite. Neste exemplo, a hora de redefinição do espaço de trabalho é 14:00. Mude DailyCapResetHour para corresponder à hora de redefinição do seu espaço de trabalho, que você pode ver na página de configuração do Daily Cap.
let DailyCapResetHour=14;
Usage
| where TimeGenerated > ago(32d)
| extend StartTime=datetime_add("hour",-1*DailyCapResetHour,StartTime)
| where StartTime > startofday(ago(31d))
| where IsBillable
| summarize IngestedGbBetweenDailyCapResets=sum(Quantity)/1000. by day=bin(StartTime , 1d) // Quantity in units of MB
| render areachart
Adicionar Update e UpdateSummary tipos de dados à where Datatype linha quando a solução de Gerenciamento de Atualizações não estiver em execução no espaço de trabalho ou a segmentação da solução estiver habilitada (saiba mais.)
Próximos passos
- Consulte Detalhes de preços dos Logs do Azure Monitor para obter detalhes sobre como as cobranças são calculadas para dados em um espaço de trabalho do Log Analytics e diferentes opções de configuração para reduzir suas cobranças.
- Consulte Detalhes de preços dos Logs do Azure Monitor para obter detalhes sobre como as cobranças são calculadas para dados em um espaço de trabalho do Log Analytics e diferentes opções de configuração para reduzir suas cobranças.
- Consulte Analisar o uso no espaço de trabalho do Log Analytics para obter detalhes sobre a análise dos dados em seu espaço de trabalho para determinar a origem de qualquer uso acima do esperado e oportunidades para reduzir a quantidade de dados coletados.