Расчеты затрат и параметры журналов Azure Monitor
Самые значительные расходы для большинства реализаций Azure Monitor обычно являются приемом и хранением данных в рабочих областях Log Analytics. Некоторые функции в Azure Monitor не имеют прямых затрат, но добавляются в собранные данные рабочей области. В этой статье описывается, как вычисляются расходы на данные для рабочих областей Log Analytics и различные параметры конфигурации, влияющие на затраты.
Совет
Стратегии снижения затрат Azure Monitor см. в статье "Оптимизация затрат" и Azure Monitor.
Модель ценообразования
Цены по умолчанию для Log Analytics — это модель оплаты по мере использования, основанная на приеме объема данных и хранения данных. Каждая рабочая область Log Analytics оплачивается как отдельная служба и включается в счет за подписку Azure. Цены на журналы Azure Monitor задаются по регионам. Объем приема данных может быть значительным в зависимости от:
- Набор решений управления, включенных и их конфигурация.
- Количество и тип отслеживаемых ресурсов.
- Типы данных, собранные из каждого отслеживаемого ресурса.
Список имен счетчиков выставления счетов Azure Monitor доступен здесь.
Вычисление размера данных
Счета за журналы Azure Monitor за объем данных, отправляемых в рабочую область Log Analytics в ГБ (10^9 байт).
Журналы Azure Monitor вычисляют оплачиваемый размер одной записи на основе:
Строковое представление записей столбцов, которые необходимо добавить в рабочую область Log Analytics для этой записи в журнале Azure Monitor.
Если вы отправляете записи столбцов, которые не соответствуют схеме целевой таблицы, Azure Monitor регистрирует счета за эти записи столбцов, даже если целевая таблица не может хранить данные. Убедитесь, что правила сбора данных соответствуют схеме целевой таблицы, чтобы избежать оплаты за данные, которые не могут храниться в целевой таблице.
Примечание.
Оплачиваемый объем данных будет, как правило, значительно меньше общего размера события, упакованного в формат JSON. В среднем по всем типам событий выставленный счет составляет около 25 процентов меньше размера входящих данных. Это может быть до 50 процентов для небольших событий. Процент включает эффект стандартных столбцов, исключенных из выставления счетов. Важно понимать этот расчет выставленного размера данных при оценке затрат и сравнении других моделей ценообразования.
Все данные в записи независимо от того, собираются ли данные из источника данных или добавляются во время приема. Это вычисление включает любые настраиваемые столбцы, добавленные API приема журналов, преобразования и настраиваемые поля.
Исключенные столбцы
Следующие стандартные столбцы являются общими для всех таблиц и исключаются в расчете размера записи. Все остальные столбцы, хранящиеся в Log Analytics, включаются в расчет размера записи. Стандартные столбцы:
_ResourceId
_SubscriptionId
_ItemId
_IsBillable
_BilledSize
Type
Исключенные таблицы
Некоторые таблицы являются бесплатными от расходов на прием данных, включая, например, AzureActivity, Heartbeat, Usage и Operation. Эти сведения всегда указываются в столбце _IsBillable , который показывает, была ли запись исключена из выставления счетов за прием данных и хранение.
Плата за другие решения и службы
Некоторые решения имеют более конкретные политики по поводу бесплатного приема данных. Например, служба "Миграция Azure" освобождает данные визуализации зависимостей в течение первых 180 дней оценки сервера. Такие службы, как Microsoft Defender для облака, Microsoft Sentinel и управление конфигурацией, имеют собственные модели ценообразования.
Ознакомьтесь с документацией по различным службам и решениям для любых уникальных вычислений выставления счетов.
Уровни обязательств
В дополнение к модели оплаты по мере использования Log Analytics имеет уровни обязательств, которые могут сэкономить до 30 процентов по сравнению с оплатой по мере использования. С ценами на категории обязательств вы можете зафиксировать прием данных для рабочей области, начиная с 100 ГБ в день, по более низкой цене, чем цены по мере использования. Если объем использования превышает уровень обязательств, взимается плата по той же цене за ГБ, как указано для текущего уровня обязательств. (Плата за превышение счетов взимается с помощью одного и того же счетчика выставления счетов уровня обязательств. Например, если рабочая область находится на уровне обязательств в 200 ГБ/день и выполняет прием 300 ГБ в день, это использование взимается как 1,5 единиц уровня обязательств в 200 ГБ/день.) Уровни обязательств имеют 31-дневный период обязательств с момента выбора или изменения уровня обязательств.
- В течение периода обязательств вы можете переходить на более высокий уровень обязательств, который перезапускает 31-дневный период обязательств. Вы не можете вернуться на оплату по мере использования или на более низкий уровень обязательств до тех пор, пока не завершите период обязательств.
- В конце периода обязательств рабочая область сохраняет выбранный уровень обязательств, и рабочая область может быть перемещена на оплату по мере использования или на более низкий уровень обязательств в любое время.
- Если рабочая область непреднамеренно перемещается на уровень обязательств, обратитесь к служба поддержки Майкрософт, чтобы сбросить период обязательств, чтобы вернуться к ценовой категории с оплатой по мере использования.
Выставление счетов за уровни обязательств выполняется для рабочей области ежедневно. Если рабочая область является частью выделенного кластера, выставление счетов выполняется для кластера. См. следующий раздел "Выделенные кластеры". Список уровней обязательств и их цен см. в статье о ценах На Azure Monitor.
Скидки на обязательства Azure, такие как скидки, полученные от microsoft Соглашение Enterprise, применяются к ценовой категории обязательств Azure Monitor так же, как и для оплаты по мере использования. Скидки применяются, выставляются ли счета за использование на рабочую область или на выделенный кластер.
Совет
Пункт меню "Использование" и "Предполагаемые затраты " для каждой рабочей области Log Analytics показывает оценку затрат на прием данных на каждом уровне обязательств, чтобы помочь выбрать оптимальный уровень обязательств для шаблонов приема данных. Периодически просматривайте эти сведения, чтобы определить, можно ли сократить расходы, перейдя на другой уровень. Дополнительные сведения об этом представлении см. в разделе "Использование" и предполагаемые затраты. Чтобы проверить фактические расходы, используйте службу "Управление затратами Azure" = выставление счетов.
Кластеры категории "Выделенный"
Выделенный кластер журналов Azure Monitor — это коллекция рабочих областей в одном управляемом кластере Azure Data Explorer. Выделенные кластеры поддерживают расширенные функции, такие как ключи, управляемые клиентом, и используют ту же модель ценообразования на уровне обязательств, что и рабочие области, хотя они должны иметь уровень обязательств не менее 100 ГБ в день. Если объем использования превышает уровень обязательств, взимается плата по той же цене за ГБ, как указано для текущего уровня обязательств. Для кластеров нет варианта оплаты по мере использования.
После увеличения уровня обязательств для уровня обязательств кластера действует обязательный 31-дневный период. В течение обязательного периода уровень обязательств невозможно уменьшить, но его можно увеличить в любое время. Когда рабочие области связаны с кластером, выставление счетов за прием данных для этих рабочих областей выполняется на уровне кластера с помощью настроенного уровня обязательств.
Существует два режима выставления счетов для кластера, который указывается при создании кластера:
Cluster (по умолчанию): выставление счетов за принимаемые данные выполняется на уровне кластера. Принятые объемы данных из каждой рабочей области, связанной с кластером, суммируются для вычисления ежедневного счета за кластер. Распределения по отдельным узлам из Microsoft Defender для облака применяются на уровне рабочей области, и лишь затем выполняется суммирование данных во всех рабочих областях в кластере.
Рабочие области. Затраты на уровни обязательств для кластера пропорционально относятся к рабочим областям в кластере по тому приема данных каждой рабочей области (после учета выделения на один узел из Microsoft Defender для облака для каждой рабочей области).
Если общий объем данных, принимаемый в кластер в течение дня, меньше уровня обязательств, то каждая рабочая область оплачивается по принятым данным в соответствии с коэффициентом уровня обязательств за ГБ и счет выставляется за долю уровня обязательств. Затем плата за неиспользуемую часть уровня обязательств выставляется для кластерного ресурса.
Если общий объем данных, принимаемый в рабочую область в течение дня, превышает уровень обязательств, то для каждой рабочей области оплачивается доля уровня обязательств на основе вклада области в полученные за день данные, а также для каждой рабочей области оплачивается ее вклад в превышение принятыми данными уровня обязательств. Если общий объем данных, принимаемый в рабочую область в течение дня, превышает уровень обязательств, плата за кластерный ресурс не взимается.
Примеры работы выставления счетов в кластере в каждом из этих режимов см . здесь.
Плата за хранение данных взимается для каждой рабочей области, так же, как и для рабочих областей, не присоединенных к кластеру.
Плата за кластер начисляется при его создании независимо от того, связаны ли рабочие области с кластером.
При связывании рабочих областей с кластером устанавливается ценовая категория "Кластер" и плата за прием взимается на основе уровня обязательств кластера. У рабочих областей, связанных с кластером, отсутствует ценовая категория. Рабочие области могут быть отключены от кластера в любое время, а ценовая категория может быть изменена на ГБ.
Если связанная рабочая область использует устаревшую ценовую категорию на узел, плата взимается на основе данных, которые используются на уровне обязательств кластера, и больше не на узел. Распределение данных для каждого узла из Microsoft Defender для облака будет по-прежнему применяться.
Если кластер удаляется, выставление счетов за кластер останавливается, даже если кластер находится в течение 31-дневного периода обязательств.
Дополнительные сведения о создании выделенного кластера и указании его типа выставления счетов см. в разделе "Создание выделенного кластера".
Базовые и вспомогательные планы таблиц
Вы можете настроить определенные таблицы в рабочей области Log Analytics для использования планов базовых и вспомогательных таблиц. Данные в этих таблицах значительно сократили расходы на прием. В этих таблицах взимается плата за запрос данных.
Плата за запрос данных в базовых и вспомогательных таблицах зависит от ГБ отсканированных данных при выполнении поиска.
Дополнительные сведения о планах базовых и вспомогательных таблиц см. в обзоре журналов Azure Monitor: планы таблиц.
Хранение данных журнала
Помимо приема данных, взимается плата за хранение данных в каждой рабочей области Log Analytics. Период хранения можно задать для всей рабочей области или для каждой таблицы. После этого периода данные удаляются или хранятся в долгосрочном хранении. В течение длительного периода хранения взимается сниженная плата за хранение, а также взимается плата за получение данных с помощью задания поиска. Используйте долгосрочное хранение, чтобы сократить затраты на данные, которые необходимо хранить для соответствия или случайного исследования.
Удаление пользовательской таблицы не удаляет данные, связанные с этой таблицей, поэтому интерактивные и долгосрочные расходы на хранение продолжают применяться.
Дополнительные сведения о хранении данных, включая настройку этих параметров и доступ к данным в долгосрочном хранении, см. в статье "Управление хранением данных в рабочей области Log Analytics".
Примечание.
Удаление данных из рабочей области Log Analytics с помощью функции очистки Log Analytics не влияет на затраты на хранение. Чтобы снизить затраты на хранение, сократите срок хранения для рабочей области или для конкретных таблиц.
Задания поиска
Получение данных из долгосрочного хранения путем выполнения заданий поиска. Задания поиска — это асинхронные запросы, которые извлекают записи в новую таблицу поиска в вашей рабочей области для дальнейшей аналитики. Задания поиска выставляются по количеству отсканированных в ГБ данных каждый день, к которому обращается доступ для выполнения поиска.
Восстановление данных журналов
Если требуется интенсивно запрашивать большие объемы данных или данные в долгосрочном хранении с полными возможностями аналитических запросов, функция восстановления данных — это мощный инструмент. Операция восстановления выводит в таблице данные за определенный диапазон времени в оперативном кэше для высокопроизводительных запросов. После завершения можно закрыть данные. Плата за восстановление данных журнала взимается по объему восстановленных данных и по времени, в течение которого восстановление остается активным. Минимум, оплачиваемый в случае любого восстановления данных, составляет 2 ТБ и 12 часов. Данные, восстановленные более 2 ТБ и/или более 12 часов в течение длительности, выставляются на основе оценки.
Экспорт данных журналов
Экспорт данных в рабочую область Log Analytics позволяет непрерывно экспортировать данные на выбранные таблицы в учетную запись служба хранилища Azure или Центры событий Azure по мере поступления в конвейер Azure Monitor. Плата за использование экспорта данных зависит от объема экспортируемых данных. Размер экспортируемых данных — это количество байтов в экспортированных данных в формате JSON.
Выставление счетов Application Insights
Так как ресурсы Application Insights на основе рабочей области хранят свои данные в рабочей области Log Analytics, выставление счетов за прием данных и хранение выполняется рабочей областью, в которой находятся данные Application Insights. По этой причине вы можете использовать все варианты модели ценообразования Log Analytics, включая уровни обязательств, а также оплату по мере использования.
Совет
Хотите настроить параметры хранения в таблицах Application Insights? Имена таблиц изменились для компонентов на основе рабочей области, см. в статье "Структура таблиц Application Insights"
Прием данных и хранение данных для классического ресурса Application Insights соответствуют тем же ценам на оплату по мере использования, что и ресурсы на основе рабочих областей, но они не могут использовать уровни обязательств.
Данные телеметрии из теста по проверке связи или многошагового теста оплачиваются так же, как и потребление данных для другой телеметрии из вашего приложения. Использование веб-тестов и включение оповещений по пользовательским измерениям метрик по-прежнему выполняется через Application Insights. Плата за использование потока динамических метрик не взимается.
Дополнительные сведения о устаревших уровнях, доступных для ранних пользователей Application Insights, см. в ценовой категории "Устаревшая корпоративная" Application Insights (на узел).
Рабочие области с Microsoft Sentinel
Если Microsoft Sentinel включена в рабочей области Log Analytics, все данные, собранные в этой рабочей области, подлежат оплате Microsoft Sentinel вместе с платами Log Analytics. По этой причине вы часто отделяете данные системы безопасности и эксплуатации в разных рабочих областях, чтобы не взиматься плата за операционные данные Microsoft Sentinel.
В некоторых сценариях объединение этих данных может привести к экономии затрат. Как правило, эта ситуация возникает, когда вы не собираете достаточно данных безопасности и операционных данных для каждого уровня обязательств, но объединенные данные достаточно для достижения уровня обязательств. Дополнительные сведения см. в разделе:
- Проектирование архитектуры рабочей области Log Analytics
- Примеры проектов рабочих областей Log Analytics для Microsoft Sentinel
Рабочие области с Microsoft Defender для облака
Счета microsoft Defender для серверов (часть Defender для облака) по количеству отслеживаемых служб. Он предоставляет 500 МБ на сервер в день выделения данных, применяемых к следующему подмножество типов данных безопасности:
- SecurityAlert
- SecurityBaseline
- SecurityBaselineSummary
- SecurityDetection
- SecurityEvent
- WindowsFirewall
- SysmonEvent
- ProtectionStatus
- Update и UpdateSummary, если в рабочей области не выполняется решение "Управление обновлениями" или включено целевое решение.
- MDCFileIntegrityMonitoringEvents
Если для рабочей области используется устаревшая ценовая категория "За узел", выделения Defender для облака и Log Analytics объединяются и совместно применяются ко всем подлежащим оплате принимаемым данным. Если рабочая область включена в Microsoft Sentinel, если Sentinel использует классическую ценовую категорию, выделение данных Defender применяется только для выставления счетов за прием данных Log Analytics, но не для классического выставления счетов Sentinel. Если Sentinel использует упрощенную ценовую категорию, выделение данных Defender применяется к единому выставлению счетов Sentinel. Дополнительные сведения о том, как клиенты Microsoft Sentinel могут воспользоваться преимуществами, см. на странице цен Microsoft Sentinel.
Количество серверов мониторинга рассчитывается с почасовой степенью детализации. Ежедневные распределения данных с каждого сервера мониторинга агрегируются на уровне рабочей области. Если для рабочей области используется устаревшая ценовая категория "За узел", доли распределения Microsoft Defender для облака и Log Analytics объединяются и совместно применяются ко всем подлежащим оплате принимаемым данным.
Устаревшие ценовые категории
Подписки, содержащие рабочую область Log Analytics или ресурс Application Insights 2 апреля 2018 г. или связанные с Соглашение Enterprise, которая началась до 1 февраля 2019 г. и по-прежнему активна, будет иметь доступ к использованию следующих устаревших ценовых категорий:
- Автономный (за ГБ).
- На узел (Operations Management Suite [OMS])
Доступ к устаревшей ценовой категории "Бесплатная пробная версия" был ограничен 1 июля 2022 года. Сведения о ценах для автономных и ценовых категорий для каждого узла доступны здесь.
Список имен счетчиков выставления счетов Azure Monitor, включая устаревшие уровни, доступен здесь.
Внимание
Устаревшие ценовые категории не поддерживают доступ к некоторым из самых новых функций в Log Analytics, таких как прием данных в таблицы с помощью экономичных планов базовых и вспомогательных таблиц.
Ценовая категория бесплатной пробной версии
Рабочие области в ценовой категории "Бесплатная пробная версия" имеют ежедневное прием данных размером до 500 МБ (за исключением типов данных безопасности, собранных Microsoft Defender для облака). Срок хранения данных ограничен семь дней. Ценовая категория "Бесплатная пробная версия" предназначена только для целей оценки, а не рабочих нагрузок рабочей среды. Соглашение об уровне обслуживания не предоставляется для уровня "Бесплатная пробная версия".
Примечание.
Создание новых рабочих областей или перемещение существующих рабочих областей в устаревшую ценовую категорию "Бесплатная пробная версия" возможно только до 1 июля 2022 г.
Автономная ценовая категория
Использование в ценовой категории Автономный оплачивается по объему полученных данных. Сообщается в службе Log Analytics , а счетчик называется "Анализ данных". Рабочие области в автономной ценовой категории имеют настраиваемое пользователем хранение от 30 до 730 дней. Рабочие области в автономной ценовой категории не поддерживают использование планов базовых и вспомогательных таблиц.
Ценовая категория "За узел"
Плата в ценовой категории За узел взимается за каждую отслеживаемую виртуальную машину (узел) с почасовой степенью детализации. Рабочей области для каждого отслеживаемого узла выделяется 500 МБ данных в день, за которые плата не взимается. Это выделение вычисляется с почасовой детализацией и суммируется на уровне рабочей области каждый день. За полученные данные, превышающие агрегированное ежедневное распределение данных, плата взимается за ГБ как за избыточный объем данных. Ценовая категория на узел — это устаревшая категория, которая доступна только существующим подпискам, выполняющим требование для устаревших ценовых категорий.
В счете служба — аналитика и аналитика для Log Analytics , если рабочая область находится на ценовой категории "На узел". Для рабочих областей с ценовой категорией "За узел" предусмотрен настраиваемый период хранения данных от 30 до 730 дней. Рабочие области в ценовой категории "На узел" не поддерживают использование планов базовых и вспомогательных таблиц. Сведения об использовании отображаются для трех счетчиков:
- Узел: использование количества отслеживаемых узлов (виртуальных машин) в единицах месяцев узла.
- Превышение объемов данных на узел: количество ГБ данных, прием которых превышает агрегированное выделение данных.
- Данные, включенные на узел: объем принятых данных, охватываемых агрегированным выделением данных. Этот счетчик также используется, если рабочая область находится во всех ценовых категориях для отображения объема данных, охватываемых Microsoft Defender для облака.
Совет
Если у вашей рабочей области есть доступ к ценовой категории "На узел ", но вы задаетесь вопросом, будет ли она стоить меньше на уровне оплаты по мере использования, используйте следующий запрос для рекомендации.
Ценовые категории: "Стандартный" и "Премиум"
Рабочие области нельзя создавать или перемещать в ценовые категории "Стандартный " или "Премиум " с 1 октября 2016 года. Рабочие области, уже в этих ценовых категориях, могут продолжать использовать их, но если рабочая область перемещается из этих уровней, ее нельзя переместить обратно. Ценовые категории "Стандартный" и "Премиум" имеют фиксированный срок хранения данных в 30 дней и 365 дней соответственно. Рабочие области в этих ценовых категориях не поддерживают использование планов базовых и вспомогательных таблиц и долгосрочного хранения данных. Счетчики приема данных в счете Azure для этих устаревших уровней называются "Анализ данных".
Microsoft Defender для облака с устаревшими ценовыми категориями
Следующие рекомендации относятся к устаревшим уровням Log Analytics и выставлению счетов за использование для Microsoft Defender для облака:
- Если рабочая область относится к категории "Стандартный" или "Премиум", то для Microsoft Defender для облака счет выставляется только за прием данных Log Analytics, а не за узел.
- Если рабочая область относится к устаревшей категории "За узел", плата за Microsoft Defender для облака взимается с применением текущей модели ценообразования на основе узла Microsoft Defender для облака.
- В других ценовых категориях (включая уровни обязательств), если Microsoft Defender для облака был включен до 19 июня 2017 г., плата взимается только за прием данных Log Analytics. В противном случае плата за Microsoft Defender для облака взимается с применением текущей модели ценообразования на основе узла Microsoft Defender для облака.
Дополнительные сведения об ограничениях ценовой категории доступны в подписке Azure и ограничениях служб, квотах и ограничениях.
Ни одна из устаревших ценовых категорий не использует ценообразование на основе региона.
Примечание.
Чтобы использовать права, полученные при покупке подписки OMS E1, OMS E2 или настройки OMS для System Center, выберите ценовой уровень Log Analytics за узле.
Оценка устаревшей ценовой категории "За узел"
Часто трудно определить, лучше ли рабочие области с доступом к устаревшей ценовой категории на узел лучше использовать на этом уровне или в текущем уровне оплаты по мере использования или на уровне обязательств. Необходимо понять компромисс между фиксированными затратами на отслеживаемый узел в ценовой категории "На узел" и включенным распределением данных 500 МБ на узел в день и стоимостью оплаты за прием данных на уровне оплаты по мере использования (за ГБ).
Используйте следующий запрос, чтобы сделать рекомендацию для оптимальной ценовой категории на основе шаблонов использования рабочей области. Этот запрос смотрит на отслеживаемые узлы и данные, которые будут приема в рабочую область за последние семь дней. На каждый день оценивается, какая ценовая категория была бы оптимальной. Чтобы использовать запрос, необходимо указать следующее:
- Используется ли рабочая область Microsoft Defender для облака, задав
workspaceHasSecurityCenter
илиtrue
false
. - Обновить цены, если у вас есть определенные скидки.
- Укажите количество дней для просмотра и анализа по параметру
daysToEvaluate
. Этот параметр полезен, если запрос занимает слишком много времени, пытаясь просмотреть семь дней данных.
// Set these parameters before running query
// For pay-as-you-go (per-GB) and commitment tier pricing details, see https://azure.microsoft.com/pricing/details/monitor/.
// You can see your per-node costs in your Azure usage and charge data. For more information, see https://learn.microsoft.com/azure/cost-management-billing/understand/download-azure-daily-usage.
let workspaceHasSecurityCenter = true;
let daysToEvaluate = 7;
let PerNodePrice = 15.; // Monthly price per monitored node
let PerNodeOveragePrice = 2.30; // Price per GB for data overage in the Per Node pricing tier
let PerGBPrice = 2.30; // Enter the pay-as-you-go price for your workspace's region (from https://azure.microsoft.com/pricing/details/monitor/)
let CommitmentTier100Price = 196.; // Enter your price for the 100 GB/day commitment tier
let CommitmentTier200Price = 368.; // Enter your price for the 200 GB/day commitment tier
let CommitmentTier300Price = 540.; // Enter your price for the 300 GB/day commitment tier
let CommitmentTier400Price = 704.; // Enter your price for the 400 GB/day commitment tier
let CommitmentTier500Price = 865.; // Enter your price for the 500 GB/day commitment tier
let CommitmentTier1000Price = 1700.; // Enter your price for the 1000 GB/day commitment tier
let CommitmentTier2000Price = 3320.; // Enter your price for the 2000 GB/day commitment tier
let CommitmentTier5000Price = 8050.; // Enter your price for the 5000 GB/day commitment tier
// ---------------------------------------
let SecurityDataTypes=dynamic(["SecurityAlert", "SecurityBaseline", "SecurityBaselineSummary", "SecurityDetection", "SecurityEvent", "WindowsFirewall", "MaliciousIPCommunication", "LinuxAuditLog", "SysmonEvent", "ProtectionStatus", "WindowsEvent", "Update", "UpdateSummary"]);
let StartDate = startofday(datetime_add("Day",-1*daysToEvaluate,now()));
let EndDate = startofday(now());
union *
| where TimeGenerated >= StartDate and TimeGenerated < EndDate
| extend computerName = tolower(tostring(split(Computer, '.')[0]))
| where computerName != ""
| summarize nodesPerHour = dcount(computerName) by bin(TimeGenerated, 1h)
| summarize nodesPerDay = sum(nodesPerHour)/24. by day=bin(TimeGenerated, 1d)
| join kind=leftouter (
Heartbeat
| where TimeGenerated >= StartDate and TimeGenerated < EndDate
| where Computer != ""
| summarize ASCnodesPerHour = dcount(Computer) by bin(TimeGenerated, 1h)
| extend ASCnodesPerHour = iff(workspaceHasSecurityCenter, ASCnodesPerHour, 0)
| summarize ASCnodesPerDay = sum(ASCnodesPerHour)/24. by day=bin(TimeGenerated, 1d)
) on day
| join (
Usage
| where TimeGenerated >= StartDate and TimeGenerated < EndDate
| where IsBillable == true
| extend NonSecurityData = iff(DataType !in (SecurityDataTypes), Quantity, 0.)
| extend SecurityData = iff(DataType in (SecurityDataTypes), Quantity, 0.)
| summarize DataGB=sum(Quantity)/1000., NonSecurityDataGB=sum(NonSecurityData)/1000., SecurityDataGB=sum(SecurityData)/1000. by day=bin(StartTime, 1d)
) on day
| extend AvgGbPerNode = NonSecurityDataGB / nodesPerDay
| extend OverageGB = iff(workspaceHasSecurityCenter,
max_of(DataGB - 0.5*nodesPerDay - 0.5*ASCnodesPerDay, 0.),
max_of(DataGB - 0.5*nodesPerDay, 0.))
| extend PerNodeDailyCost = nodesPerDay * PerNodePrice / 31. + OverageGB * PerNodeOveragePrice
| extend billableGB = iff(workspaceHasSecurityCenter,
(NonSecurityDataGB + max_of(SecurityDataGB - 0.5*ASCnodesPerDay, 0.)), DataGB )
| extend PerGBDailyCost = billableGB * PerGBPrice
| extend CommitmentTier100DailyCost = CommitmentTier100Price + max_of(billableGB - 100, 0.)* CommitmentTier100Price/100.
| extend CommitmentTier200DailyCost = CommitmentTier200Price + max_of(billableGB - 200, 0.)* CommitmentTier200Price/200.
| extend CommitmentTier300DailyCost = CommitmentTier300Price + max_of(billableGB - 300, 0.)* CommitmentTier300Price/300.
| extend CommitmentTier400DailyCost = CommitmentTier400Price + max_of(billableGB - 400, 0.)* CommitmentTier400Price/400.
| extend CommitmentTier500DailyCost = CommitmentTier500Price + max_of(billableGB - 500, 0.)* CommitmentTier500Price/500.
| extend CommitmentTier1000DailyCost = CommitmentTier1000Price + max_of(billableGB - 1000, 0.)* CommitmentTier1000Price/1000.
| extend CommitmentTier2000DailyCost = CommitmentTier2000Price + max_of(billableGB - 2000, 0.)* CommitmentTier2000Price/2000.
| extend CommitmentTier5000DailyCost = CommitmentTier5000Price + max_of(billableGB - 5000, 0.)* CommitmentTier5000Price/5000.
| extend MinCost = min_of(
PerNodeDailyCost,PerGBDailyCost,CommitmentTier100DailyCost,CommitmentTier200DailyCost,
CommitmentTier300DailyCost, CommitmentTier400DailyCost, CommitmentTier500DailyCost, CommitmentTier1000DailyCost, CommitmentTier2000DailyCost, CommitmentTier5000DailyCost)
| extend Recommendation = case(
MinCost == PerNodeDailyCost, "Per node tier",
MinCost == PerGBDailyCost, "Pay-as-you-go tier",
MinCost == CommitmentTier100DailyCost, "Commitment tier (100 GB/day)",
MinCost == CommitmentTier200DailyCost, "Commitment tier (200 GB/day)",
MinCost == CommitmentTier300DailyCost, "Commitment tier (300 GB/day)",
MinCost == CommitmentTier400DailyCost, "Commitment tier (400 GB/day)",
MinCost == CommitmentTier500DailyCost, "Commitment tier (500 GB/day)",
MinCost == CommitmentTier1000DailyCost, "Commitment tier (1000 GB/day)",
MinCost == CommitmentTier2000DailyCost, "Commitment tier (2000 GB/day)",
MinCost == CommitmentTier5000DailyCost, "Commitment tier (5000 GB/day)",
"Error"
)
| project day, nodesPerDay, ASCnodesPerDay, NonSecurityDataGB, SecurityDataGB, OverageGB, AvgGbPerNode, PerGBDailyCost, PerNodeDailyCost,
CommitmentTier100DailyCost, CommitmentTier200DailyCost, CommitmentTier300DailyCost, CommitmentTier400DailyCost, CommitmentTier500DailyCost, CommitmentTier1000DailyCost, CommitmentTier2000DailyCost, CommitmentTier5000DailyCost, Recommendation
| sort by day asc
//| project day, Recommendation // Comment this line to see details
| sort by day asc
Этот запрос не является точной репликацией того, как вычисляются данные об использовании, но он подойдет для предоставления рекомендаций по ценовым категориям в большинстве случаев.
Примечание.
Чтобы использовать права, полученные при покупке подписки OMS E1, OMS E2 или настройки OMS для System Center, выберите ценовой уровень Log Analytics за узле.
Следующие шаги
- Сведения о различных типах расходов и способах их анализа в счете Azure Monitor приведены в статье Расходы и сведения об использовании в Azure Monitor.
- Дополнительные сведения об анализе данных в рабочей области Log Analytics см. в статье "Анализ использования в рабочей области ", чтобы определить источник любого более высокого уровня использования и возможностей для уменьшения объема собранных данных.
- Сведения о том, как настроить ежедневное ограничение в рабочей области Log Analytics, чтобы управлять затратами, настраивая максимальный объем, который может быть приемлен в рабочей области каждый день.
- Рекомендации по настройке затрат в Azure Monitor и управлению ими в целях минимизации расходов см. в статье "Рекомендации по управлению затратами в Azure Monitor".