Ange dagligt tak för Log Analytics-arbetsytan
Med ett dagligt tak på en Log Analytics-arbetsyta kan du undvika oväntade ökningar av avgifter för datainmatning genom att stoppa insamlingen av fakturerbara data under resten av dagen när ett angivet tröskelvärde nås. Den här artikeln beskriver hur den dagliga gränsen fungerar och hur du konfigurerar en på din arbetsyta.
Viktigt!
Du bör vara försiktig när du anger ett dagligt tak, eftersom när datainsamlingen stoppas kan du observera och ta emot aviseringar när hälsotillståndet för dina resurser påverkas. Det kan också påverka andra Azure-tjänster och lösningar vars funktioner kan bero på att aktuella data är tillgängliga på arbetsytan. Målet bör inte vara att regelbundet nå den dagliga gränsen utan i stället använda den som en sällan förekommande metod för att undvika oplanerade avgifter till följd av en oväntad ökning av mängden data som samlas in.
Strategier för att minska dina Azure Monitor-kostnader finns i Kostnadsoptimering och Azure Monitor.
Behörigheter som krävs
| Åtgärd | Behörigheter eller roller som behövs |
|---|---|
| Ange det dagliga taket på en Log Analytics-arbetsyta | Microsoft.OperationalInsights/workspaces/write behörigheter till de Log Analytics-arbetsytor som du anger det dagliga taket på, till exempel den inbyggda rollen Log Analytics-deltagare. |
| Ange det dagliga taket för en klassisk Application Insights-resurs | microsoft.insights/components/CurrentBillingFeatures/write behörigheter till de klassiska Application Insights-resurser som du anger det dagliga taket för, till exempel den inbyggda rollen Application Insights-komponentdeltagare. |
| Skapa en avisering när det dagliga taket för en Log Analytics-arbetsyta har nåtts | microsoft.insights/scheduledqueryrules/write behörigheter, som tillhandahålls av den inbyggda rollen Övervakningsdeltagare, till exempel |
| Skapa en avisering när det dagliga taket för en klassisk Application Insights-resurs har nåtts | microsoft.insights/activitylogalerts/write behörigheter, som tillhandahålls av den inbyggda rollen Övervakningsdeltagare, till exempel |
| Visa effekten av det dagliga taket | Microsoft.OperationalInsights/workspaces/query/*/read behörigheter till de Log Analytics-arbetsytor som du frågar efter, till exempel den inbyggda rollen Log Analytics Reader. |
Så här fungerar den dagliga gränsen
Varje arbetsyta har ett dagligt tak som definierar sin egen datavolymgräns. När den dagliga gränsen nås visas en varningsbanderoll överst på sidan för den valda Log Analytics-arbetsytan i Azure-portalen och en åtgärdshändelse skickas till tabellen Åtgärd under kategorin LogManagement . Du kan också skapa en aviseringsregel för att skicka en avisering när den här händelsen skapas.
Datainsamlingen återupptas vid återställningstiden, vilket är en annan timme på dagen för varje arbetsyta. Det går inte att konfigurera den här återställningstimmesen. Du kan också skapa en aviseringsregel för att skicka en avisering när den här händelsen skapas.
Kommentar
Det dagliga taket kan inte stoppa datainsamlingen på exakt den angivna taknivån och vissa överflödiga data förväntas, särskilt om arbetsytan tar emot stora mängder data. Du debiteras för data som samlas in som överskrider taket. Se Visa effekten av det dagliga taket för en fråga som är användbar när du studerar det dagliga cap-beteendet.
När du ska använda ett dagligt tak
Dagliga tak används vanligtvis av organisationer som är särskilt kostnadsmedvetna. De bör inte användas som en metod för att minska kostnaderna, utan snarare som ett förebyggande mått för att säkerställa att du inte överskrider en viss budget.
När datainsamlingen stoppas har du i praktiken ingen övervakning av funktioner och resurser som förlitar sig på den arbetsytan. I stället för att bara förlita dig på det dagliga taket kan du skapa en aviseringsregel som meddelar dig när datainsamlingen når en viss nivå före det dagliga taket. Med meddelande kan du åtgärda eventuella ökningar innan datainsamlingen stängs av, eller till och med tillfälligt inaktivera insamling för mindre kritiska resurser.
Programinsikter
Du bör konfigurera inställningen för dagligt tak för både Application Insights och Log Analytics för att begränsa mängden telemetridata som matas in av din tjänst. För arbetsytebaserade Application Insights-resurser är det effektiva dagliga taket minst de två inställningarna. För klassiska Application Insights-resurser gäller endast den dagliga gränsen för Application Insights eftersom deras data inte finns på en Log Analytics-arbetsyta.
Dricks
Om du är orolig för mängden fakturerbara data som samlas in av Application Insights bör du konfigurera sampling för att justera dess datavolym till den nivå du vill ha. Använd det dagliga taket som en säkerhetsmetod om programmet oväntat börjar skicka mycket högre telemetrivolymer.
Det maximala taket för en klassisk Application Insights-resurs är 1 000 GB/dag om du inte begär ett högre maxvärde för ett program med hög trafik. När du skapar en resurs i Azure-portalen är det dagliga taket inställt på 100 GB/dag. När du skapar en resurs i Visual Studio är standardvärdet litet (endast 32,3 MB/dag). Standardvärdet för det dagliga taket är inställt på att underlätta testning. Det är avsett att användaren höjer det dagliga taket innan appen distribueras till produktion.
Kommentar
Om du använder anslutningssträng för att skicka data till Application Insights med hjälp av regionala inmatningsslutpunkter är inställningarna för Application Insights och Log Analytics dagliga tak effektiva per region. Om du bara använder instrumentationsnyckeln (ikey) för att skicka data till Application Insights med hjälp av den globala inmatningsslutpunkten kanske den dagliga cap-inställningen för Application Insights inte är effektiv i flera regioner, men log analytics dagliga takinställning gäller fortfarande.
Vi har tagit bort begränsningen för vissa prenumerationstyper som har kredit som inte kunde användas för Application Insights. Om prenumerationen tidigare har en utgiftsgräns har dialogrutan för dagligt tak instruktioner för att ta bort utgiftsgränsen och göra det möjligt att höja det dagliga taket till mer än 32,3 MB/dag.
Fastställ ditt dagliga tak
Information om hur du fastställer ett lämpligt dagligt tak för din arbetsyta finns i Kostnader och användning i Azure Monitor för att förstå dina datainmatningstrender. Du kan också granska Analysera användning i Log Analytics-arbetsytan som innehåller metoder för att analysera din användning av arbetsytor mer detaljerat.
Arbetsytor med Microsoft Defender för molnet
Viktigt!
Från och med den 18 september 2023 begränsar Azure Monitor alla fakturerbara datatyper
när det dagliga taket uppfylls. Det finns inget särskilt beteende för datatyper när Microsoft Defender för servrar är aktiverat på din arbetsyta.
Den här ändringen förbättrar din möjlighet att helt innehålla kostnader från datainmatning som är högre än förväntat.
Om du har ett dagligt tak inställt på en arbetsyta som har Microsoft Defender för servrar aktiverat måste du se till att taket är tillräckligt högt för att hantera den här ändringen.
Se också till att ange en avisering (se nedan) så att du meddelas så snart ditt dagliga tak uppfylls.
Fram till den 18 september 2023 samlas vissa säkerhetsrelaterade datatyper in för Microsoft Defender för molnet eller Microsoft Sentinel trots att ett dagligt tak har konfigurerats om en arbetsyta har aktiverat lösningen Microsoft Defenders for Servers efter den 19 juni 2017. Följande datatyper omfattas av det här särskilda undantaget från det dagliga taket WindowsEvent, SecurityAlert, SecurityBaseline, SecurityBaselineSummary, SecurityDetection, SecurityEvent, WindowsFirewall, MaliciousIPCommunication, LinuxAuditLog, SysmonEvent, ProtectionStatus, Update, UpdateSummary, CommonSecurityLog och Syslog
Ange den dagliga gränsen
Log Analytics-arbetsyta
Så här anger eller ändrar du det dagliga taket för en Log Analytics-arbetsyta i Azure Portal:
- På menyn Log Analytics-arbetsytor väljer du din arbetsyta och sedan Användning och uppskattade kostnader.
- Välj Dagligt tak överst på sidan.
- Välj PÅ och ange sedan datavolymgränsen i GB/dag.
Kommentar
Återställningstimben för arbetsytan visas men kan inte konfigureras.
Om du vill konfigurera det dagliga taket med Azure Resource Manager anger du parametern enligt WorkspaceCapping beskrivningen dailyQuotaGb i Arbetsytor – Skapa eller uppdatera.
Klassiska Application Insights-resurs
Så här anger eller ändrar du det dagliga taket för en klassisk Application Insights-resurs i Azure-portalen:
- På menyn Övervaka väljer du Program, ditt program och sedan Användning och uppskattade kostnader.
- Välj Datatak överst på sidan.
- Ange datavolymgränsen i GB/dag.
- Om du vill att ett e-postmeddelande ska skickas till prenumerationsadministratören när den dagliga gränsen nås väljer du det alternativet.
- Ange varningsnivån för dagligt tak i procent av datavolymgränsen.
- Om du vill att ett e-postmeddelande ska skickas till prenumerationsadministratören när varningsnivån för dagligt tak har nåtts väljer du det alternativet.
Om du vill konfigurera det dagliga taket med Azure Resource Manager anger du parametrarna och dailyQuotaResetTimewarningThreshold enligt beskrivningen dailyQuotai Arbetsytor – Skapa eller uppdatera.
Avisering när det dagliga taket nås
När den dagliga gränsen nås för en Log Analytics-arbetsyta visas en banderoll i Azure-portalen och en händelse skrivs till tabellen Åtgärder på arbetsytan. Du bör skapa en aviseringsregel för att proaktivt meddela dig när detta inträffar.
Om du vill få en avisering när det dagliga taket nås skapar du en varningsregel för loggsökning med följande information.
| Inställning | Värde |
|---|---|
| Definitionsområde | |
| Målomfång | Välj din Log Analytics-arbetsyta. |
| Condition | |
| Signaltyp | Loggas |
| Signalnamn | Anpassad loggsökning |
| Fråga | _LogOperation | where Category =~ "Ingestion" | where Detail contains "OverQuota" |
| Mått | Mått: Tabellrader Sammansättningstyp: Antal Sammansättningskornighet: 5 minuter |
| Aviseringslogik | Operator: Större än Tröskelvärde: 0 Utvärderingsfrekvens: 5 minuter |
| Åtgärder | Välj eller lägg till en åtgärdsgrupp för att meddela dig när tröskelvärdet överskrids. |
| Detaljer | |
| Allvarlighet | Varning |
| Namn på aviseringsregel | Den dagliga datagränsen har nåtts |
Klassisk Application Insights-resurs
När det dagliga taket når en klassisk Application Insights-resurs skapas en händelse i Azure-aktivitetsloggen med följande signalnamn. Du kan också få ett e-postmeddelande skickat till prenumerationsadministratören både när taket nås och när en angiven procentandel av det dagliga taket har nåtts.
- Application Insights-komponentens varningströskel för dagligt tak har nåtts
- Application Insights-komponentens dagliga tak har nåtts
Skapa en avisering när den dagliga gränsen nås genom att skapa en aviseringsregel för aktivitetslogg med följande information.
| Inställning | Värde |
|---|---|
| Definitionsområde | |
| Målomfång | Välj ditt program. |
| Condition | |
| Signaltyp | Aktivitetslogg |
| Signalnamn | Application Insights-komponentens dagliga tak har nåtts Eller Application Insights-komponentens varningströskel för dagligt tak har nåtts |
| Allvarlighet | Varning |
| Namn på aviseringsregel | Den dagliga datagränsen har nåtts |
Visa effekten av det dagliga taket
Följande fråga kan användas för att spåra de datavolymer som omfattas av det dagliga taket för en Log Analytics-arbetsyta mellan dagliga cap-återställningar. I det här exemplet är arbetsytans återställningstimmes 14:00. Ändra DailyCapResetHour så att den matchar återställningstimben för din arbetsyta som du kan se på konfigurationssidan för Dagligt tak.
let DailyCapResetHour=14;
Usage
| where TimeGenerated > ago(32d)
| extend StartTime=datetime_add("hour",-1*DailyCapResetHour,StartTime)
| where StartTime > startofday(ago(31d))
| where IsBillable
| summarize IngestedGbBetweenDailyCapResets=sum(Quantity)/1000. by day=bin(StartTime , 1d) // Quantity in units of MB
| render areachart
Lägg till Update datatyper och UpdateSummary datatyper på where Datatype raden när uppdateringshanteringslösningen inte körs på arbetsytan eller lösningens mål är aktiverad (läs mer.)
Nästa steg
- Mer information om hur avgifter beräknas för data på en Log Analytics-arbetsyta och olika konfigurationsalternativ för att minska dina avgifter finns i Prisinformation för Azure Monitor-loggar.
- Mer information om hur avgifter beräknas för data på en Log Analytics-arbetsyta och olika konfigurationsalternativ för att minska dina avgifter finns i Prisinformation för Azure Monitor-loggar.
- Mer information om hur du analyserar data på din arbetsyta finns i Analysera användning i Log Analytics-arbetsytan för att fastställa källan till högre användning än förväntat och möjligheter att minska mängden data som samlas in.