藉由設定 Log Analytics 工作區的每日上限,您可以在達到指定閾值時停止在 24 小時剩餘期間內收集 Analytics 或基本表格計劃中的表格可計費記錄資料,進而減少資料擷取費用的意外增加。 輔助數據表方案中的數據表不受任何每日上限限制。
重要
在擷取至Log Analytics工作區之前 ,不應使用 Azure 監視器中的每日上限功能作為篩選或減少數據的主要機制,以節省成本。 相反地,使用 資料匯入時的轉換 來在匯入之前篩選或重塑數據(深入瞭解)。 每日上限的設計是為了防範可能導致非計劃性費用 的數據量意外暴增 。 它應該謹慎使用,而且只能作為保護,而不是作為例行成本控制工具。 請記住,一旦達到每日上限, 數據收集就會停止。 這會影響您監視資源、接收警示,以及維護相依服務和解決方案的健康情況和功能的能力。 達到每日上限時,您將無法察覺受監視環境的目前狀態,且無法收集未來可能需要的關鍵事件。 您的目標應該是 避免定期達到每日上限 ,並改為將其視為罕見或無法預見數據激增的備份量值。 如需優化 Azure 監視器成本的策略,請參閱 成本優化和 Azure 監視器。
本文說明每日上限的運作方式,以及如何在工作區中設定每日上限。
| 動作 | 需要的權限或角色 |
|---|---|
| 在 Log Analytics 工作區中設定每日上限 | 您設定每日上限的 Log Analytics 工作區的 Microsoft.OperationalInsights/workspaces/write 權限,例如 Log Analytics 參與者內建角色提供的權限。 |
| 設定傳統 Application Insights 資源的每日上限 | 您設定每日上限的傳統 Application Insights 資源的 microsoft.insights/components/CurrentBillingFeatures/write 權限,例如,Application Insights 元件參與者內建角色提供的權限。 |
| 當 Log Analytics 工作區達到每日上限時,創建警示 | microsoft.insights/scheduledqueryrules/write 權限,例如,監視參與者的內建角色提供的權限 |
| 達到傳統 Application Insights 資源的每日上限時建立警示 | microsoft.insights/activitylogalerts/write 權限,例如,監視參與者的內建角色提供的權限 |
| 檢視每日上限的效果 | 對您查詢的 Log Analytics 工作區擁有 Microsoft.OperationalInsights/workspaces/query/*/read 權限,如 Log Analytics 讀者內建角色所提供。 |
每日上限的運作方式
每個工作區都有可定義自己資料量限制的每日上限。 達到每日上限後,在 Azure 入口網站的所選 Log Analytics 工作區頁面頂端會出現警告橫幅,且系統會將作業事件傳送至 [LogManagement] 類別下的 Operation 資料表。 您可以選擇是否建立警示規則,以在建立此事件時傳送警示。
用於每日上限的資料大小是客戶所定義資料轉換之後的大小。 (深入了解資料收集規則中的資料轉換。)
資料收集會在重設時間後繼續,這是每個工作區重新開始計算當日時間的整點。 無法設定此重設小時。
附註
每日上限無法在精確指定的上限層級停止資料收集,而且預期有一些超出的資料。 如果工作區收到高速率的資料,則超過每日上限的資料收集可能會特別龐大。 如果收集的資料高於上限,則仍會計費。 如需有助於研究每日上限行為的查詢,請參閱檢視每日上限的效果。
重要
自 2024 年底起,在擷取至 Log Analytics 工作區時,每日上限未能正確套用。 在某些情況下,即使資料攝取量遠超過每日上限,每日上限也可能不會被觸發。 假設有此情形,建議您依賴無數其他工具,以控制及減少數據擷取,例如數據收集規則中的數據篩選和數據轉換。 這些和更多最佳做法概述 成本優化和 Azure 監視器檔。
使用每日上限的時機
特別具成本意識的組織通常會使用每日上限。 它們不應該是用來做為降低成本的方法,而是做為預防措施,以確保您不會超過特定預算。
當資料收集停止時,您實際上不會監視依賴該工作區的功能和資源。 相較於只依賴每日上限,您可以建立警示規則,以在資料收集達到每日上限之前的某個層級時通知您。 通知可讓您在資料收集關閉之前解決任何增加的問題,甚至暫時停用收集較不重要的資源。
Application Insights
您應該設定 Application Insights 和 Log Analytics 的每日上限設定,以限制服務所擷取的遙測資料量。 針對工作區型 Application Insights 資源,有效的每日上限是兩項設定中的最小值。 針對傳統 Application Insights 資源,只會套用 Application Insights 每日上限,因為其數據不在 Log Analytics 工作區中。
秘訣
如果擔心 Application Insights 收集的可計費資料量,建議您設定取樣,將資料量調整為您想要的級距。 使用每日上限作為因應應用程式開始非預期傳送大量遙測資料時的安全方法。
除非針對高流量應用程式要求更高的上限,否則 Application Insights 傳統資源的每日最高上限是 1,000 GB。 在 Azure 入口網站中建立資源時,每日上限會設定為每日 100 GB。 在 Visual Studio 中建立資源時,預設值很小 (每日只有 32.3 MB)。 每日上限預設值的設定是為了協助測試。 這是預期使用者在將應用程式部署至生產環境之前,會提高每日上限。
附註
如果您使用連接字串,使用 區域擷取端點將資料傳送至 Application Insights,則 Application Insights 和 Log Analytics 每日上限設定會在每個區域生效。 如果您只使用檢測金鑰 (ikey) 透過 全域擷取端點 將資料傳送至 Application Insights,則 Application Insights 每日上限設定可能無法跨區域生效,但 Log Analytics 每日上限設定仍適用。
我們已移除某些訂用帳戶類型中無法用於 Application Insights 的信用額度限制。 先前,如果訂用帳戶有消費限制,則 [每日上限] 對話方塊中會有指示,說明如何移除消費限制並讓每日上限提高到每日 32.3 MB 以上。
決定每日上限
為協助您判斷工作區的適當每日上限,請參閱 Azure 監視器成本和使用量,以了解您的資料擷取趨勢。 您也可以參閱分析 Log Analytics 工作區的使用量,這會提供更詳細的工作區使用量分析方法。
使用適用於雲端的 Microsoft Defender 的工作區
重要
從 2023 年 9 月 18 日起,Azure 監視器對所有可計費資料類型設置上限。
對所有計費資料類型設定上限。 在工作區上啟用 適用於伺服器的 Microsoft Defender 時,任何資料類型都沒有特殊行為。
此變更能改善您完全控制高於預期的資料擷取所帶來之成本的能力。
如果您在已啟用適用於伺服器的 Microsoft Defender 工作區上設定每日上限,請確定上限夠高,以容納這項變更。
此外,請務必設定警示(如下所示),以便在達到每日上限時立即收到通知。
在 2023 年 9 月 18 日之前,如果工作區在 2017 年 6 月 19 日之後啟用 適用於伺服器的 Microsoft Defender 解決方案,則會針對適用於雲端的 Microsoft Defender 或 Microsoft Sentinel 收集某些安全性相關資料類型,儘管已設定任何每日上限。 下列數據類型受到此每日上限的特例:WindowsEvent、SecurityAlert、SecurityBaseline、SecurityBaselineSummary、SecurityDetection、SecurityEvent、WindowsFirewall、MaliciousIPCommunication、LinuxAuditLog、SysmonEvent、ProtectionStatus、Update、UpdateSummary、CommonSecurityLog 和 Syslog。
設定每日上限
Log Analytics 工作區
在 Azure 入口網站中設定或變更 Log Analytics 工作區的每日上限:
- 從 [Log Analytics 工作區] 功能表選取您的工作區,然後選取 [使用量和估計成本]。
- 選取頁面頂端的 [每日上限]。
- 選取 [開啟],然後設定每天的資料量限制 (GB/天)。
附註
您會看到工作區的重設小時,但無法設定。
若要使用 Azure Resource Manager 設定每日上限,請依照dailyQuotaGb中所述,將 WorkspaceCapping 參數設定低於 。
傳統 Application Insights 資源
在 Azure 入口網站中設定或變更傳統 Application Insights 資源的每日上限:
- 從 [監視] 功能表中,依序選取 [應用程式]、您的應用程式和 [使用量和估計成本]。
- 選取頁面頂端的 [資料上限]。
- 設定每天的資料量限制 (GB/天)。
- 如果希望在達到每日限制時傳送電子郵件給訂閱管理員,請選取該選項。
- 按資料量限制的百分比,設定每日上限警告層級。
- 如果希望在達到每日上限警告層級時傳送電子郵件給訂閱管理員,請選取該選項。
若要使用 Azure Resource Manager 設定每日上限,請依照dailyQuota中所述,設定 dailyQuotaResetTime、warningThreshold 和 參數。
達到每日上限時發出警示
當 Log Analytics 工作區達到每日上限時,Azure 入口網站會顯示橫幅,事件則會寫入工作區的 Operations 資料表。 建議您建立警示規則,以在發生這種情況時主動通知您。
若要在達到每日上限時收到警示,請使用下列詳細資料建立記錄搜尋警示規則。
| 設定 | 值 |
|---|---|
| 範圍 | |
| 目標範圍 | 選取 Log Analytics 工作區。 |
| 條件 | |
| 訊號類型 | 日誌 |
| 訊號名稱 | 自訂記錄搜尋 |
| 查詢 | _LogOperation | where Category =~ "Ingestion" | where Detail contains "OverQuota" |
| 測量 | 量值:「資料表資料列」 彙總類型: 計數 彙總細微性:5 分鐘 |
| 警示邏輯 | 運算子:大於 閾值:0 評估頻率:5 分鐘 |
| 行動 | 選取或新增動作群組,以在超過閾值時通知您。 |
| 詳細資料 | |
| 嚴重性 | 警告 |
| 警示規則名稱 | 已達到每日資料限制 |
傳統 Application Insights 資源
當傳統 Application Insights 資源達到每日上限時,Azure 活動記錄就會使用下列訊號名稱建立事件。 您也可以選擇在達到上限和達到每日上限指定百分比時,傳送電子郵件給訂閱管理員。
- 已達到 Application Insights 元件每日上限警告閾值
- 已達到 Application Insights 元件每日上限
若要建立達到每日上限的警示,請使用下列詳細資料建立活動記錄警示規則。
| 設定 | 值 |
|---|---|
| 範圍 | |
| 目標範圍 | 選取您的應用程式。 |
| 條件 | |
| 訊號類型 | 活動記錄檔 |
| 訊號名稱 | 已達到 Application Insights 元件每日上限 或 已達到 Application Insights 元件每日上限警告閾值 |
| 嚴重性 | 警告 |
| 警示規則名稱 | 已達到每日資料限制 |
檢視每日上限的效果
您可以使用以下查詢來追蹤在每日上限重設期間,受到每日上限限制的 Log Analytics 工作區的資料量。 在此範例中,工作區的重設小時是 14:00。 變更 DailyCapResetHour 以符合您可以在 [每日上限] 設定頁面上看到的工作區的重設時數。
let DailyCapResetHour=14;
Usage
| where TimeGenerated > ago(32d)
| extend StartTime=datetime_add("hour",-1*DailyCapResetHour,StartTime)
| where StartTime > startofday(ago(31d))
| where IsBillable
| summarize IngestedGbBetweenDailyCapResets=sum(Quantity)/1000. by day=bin(StartTime , 1d) // Quantity in units of MB
| render areachart
下一步
- 請參閱 Azure 監視器記錄定價詳細資料,取得 Log Analytics 工作區資料費用計算及不同組態選項的詳細資料,以便降低費用。
- 請參閱 Azure 監視器記錄定價詳細資料,取得 Log Analytics 工作區資料費用計算及不同組態選項的詳細資料,以便降低費用。
- 如需了解分析工作區資料的詳細資料,請參閱分析 Log Analytics 工作區中的使用量,以便判斷高於預期使用量的來源,並找出減少收集資料量的機會。