Поделиться через

Расчеты затрат и возможности журналов Azure Monitor

  • Статья

Наиболее значительные расходы для большинства реализаций Azure Monitor обычно связаны с приемом и хранением данных в рабочих областях службы Log Analytics. Некоторые функции в Azure Monitor не имеют прямых затрат, но добавляются в собранные данные рабочей области. В этой статье описывается, как вычисляются расходы на данные для рабочих областей Log Analytics и различные параметры конфигурации, влияющие на затраты.

Совет

Стратегии снижения затрат Azure Monitor см. в статье "Оптимизация затрат" и Azure Monitor.

Модель ценообразования

Цены по умолчанию для Log Analytics — это модель оплаты по мере использования, основанная на приеме объема данных и хранения данных. Каждая рабочая область Log Analytics оплачивается как отдельная служба и включается в счет за подписку Azure. Цены на журналы Azure Monitor устанавливаются по регионам. Объем приема данных может быть значительным в зависимости от:

  • Набор решений управления, включенных и их конфигурация.
  • Количество и тип отслеживаемых ресурсов.
  • Типы данных, собранные из каждого отслеживаемого ресурса.

Список имен счетчиков выставления счетов Azure Monitor доступен здесь.

Вычисление размера данных

За использование журналов Azure Monitor оплачивается объем данных, отправленных в рабочую область Log Analytics, в гигабайтах (10^9 байт).

Журналы Azure Monitor вычисляют учитываемый размер одной записи на основе:

  • Строковое представление записей столбцов, которые Azure Monitor Logs необходимо добавить в рабочую область Log Analytics для данного журнала.

Примечание.

Объем данных, подлежащий оплате, как правило, значительно меньше объема всего поступающего события, упакованного в JSON. В среднем по всем типам событий размер выставляемых данных составляет около 25 процентов меньше размера исходящих данных. Это может быть до 50 процентов для небольших событий. Процент включает эффект стандартных столбцов, исключенных из выставления счетов. Важно понимать этот расчет выставленного размера данных при оценке затрат и сравнении других моделей ценообразования.

  • Размер для выставления счетов включает данные, которые собираются из источника данных или добавляются в процессе интеграции. Например, это вычисление включает любые настраиваемые столбцы, добавленные API приема журналов, преобразования и настраиваемые поля. Если вы отправляете записи столбцов, которые не соответствуют схеме целевой таблицы, Azure Monitor Logs выставляет счета за эти записи, даже если целевая таблица не может сохранить данные. Убедитесь, что правила сбора данных соответствуют схеме целевой таблицы, чтобы избежать оплаты за данные, которые не могут храниться в целевой таблице.

Исключенные столбцы

Следующие стандартные столбцы являются общими для всех таблиц и исключаются в расчете размера записи для аналитики и базовых журналов. Все остальные столбцы, хранящиеся в Log Analytics, включаются в расчет размера записи. Стандартные столбцы:

  • _ResourceId
  • _SubscriptionId
  • _ItemId
  • _IsBillable
  • _BilledSize
  • _TenantId
  • Type

Для вспомогательных журналов _ItemId_IsBillable и _BilledSize исключаются из вычисления размера.

Исключенные таблицы

Некоторые таблицы, например AzureActivity, Heartbeat, Usage и Operation, полностью освобождены от платы за прием данных. Эти сведения всегда указываются в столбце _IsBillable , который показывает, была ли запись исключена из выставления счетов за прием данных и хранение.

Плата за другие решения и службы

Некоторые решения имеют более конкретные политики по поводу бесплатного приема данных. Например, Azure Migrate предоставляет данные визуализации зависимостей бесплатно в первые 180 дней оценки сервера. Такие службы, как Microsoft Defender для облака, Microsoft Sentinel и управление конфигурацией, имеют собственные модели ценообразования.

Узнайте из документации о различных службах и решениях для любых уникальных расчетов по выставлению счетов.

Уровни обязательств

В дополнение к модели оплаты по мере использования, Log Analytics предлагает уровни обязательств, которые могут сократить расходы до 30 процентов по сравнению с ценами модели оплаты по мере использования для журналов Аналитики. С ценовой моделью с фиксированными обязательствами вы можете заключить соглашение на обработку данных для рабочего пространства, начиная с 100 ГБ в день, по более низкой цене, чем при оплате по мере использования. Если объем использования превышает уровень обязательств, взимается плата по той же цене за ГБ, как указано для текущего уровня обязательств. Излишек взимается с помощью одного и того же счетчика выставления счетов уровня обязательств. Например, если рабочая область имеет обязательства на уровне 200 ГБ/день и обрабатывает 300 ГБ в течение дня, то данное использование учитывается как 1,5 единицы на уровне обязательств 200 ГБ/день. Уровни обязательств имеют 31-дневный период обязательств с момента выбора или изменения уровня обязательств.

  • В течение периода обязательств вы можете переходить на более высокий уровень обязательств, который перезапускает 31-дневный период обязательств. Вы не можете вернуться на оплату по мере использования или на более низкий уровень обязательств до тех пор, пока не завершите период обязательств.
  • В конце периода обязательств рабочая область сохраняет выбранный уровень обязательств, и рабочая область может быть перемещена на оплату по мере использования или на более низкий уровень обязательств в любое время.
  • Если рабочая область непреднамеренно перемещается на уровень обязательств, обратитесь в службу поддержки Майкрософт, чтобы обнулить период обязательств и вернуться назад к ценовой категории с оплатой по мере использования.

Выставление счетов за уровни обязательств выполняется по рабочей области ежедневно. Если рабочая область является частью выделенного кластера, выставление счетов выполняется для кластера. См. следующий раздел "Выделенные кластеры". Список уровней обязательств и их цен см. в разделе цен на Azure Monitor.

Скидки на обязательства Azure, такие как скидки, полученные от Соглашения Microsoft Enterprise, применяются к обязательствам уровня тарифов для Azure Monitor так же, как и для тарифов оплаты по мере использования. Скидки применяются, выставляются ли счета за использование на рабочую область или на выделенный кластер.

Совет

Пункт меню "Использование" и "Предполагаемые затраты " для каждой рабочей области Log Analytics показывает оценку затрат на прием данных на каждом уровне обязательств, чтобы помочь выбрать оптимальный уровень обязательств для шаблонов приема данных. Периодически просматривайте эти сведения, чтобы определить, можно ли сократить расходы, перейдя на другой уровень. Дополнительные сведения об этом представлении см. в разделе "Использование" и предполагаемые затраты. Чтобы проверить фактические расходы, используйте службу "Управление затратами Azure" = выставление счетов.

Выделенные кластеры

Выделенный кластер журналов Azure Monitor — это коллекция рабочих областей в одном управляемом кластере Azure Data Explorer. Выделенные кластеры поддерживают расширенные функции, такие как ключи, управляемые пользователем, и используют ту же модель ценообразования по обязательствам, что и рабочие области; при этом обязательный объем должен составлять не менее 100 ГБ в день. Если объем использования превышает уровень обязательств, взимается плата по той же цене за ГБ, как указано для текущего уровня обязательств. Для кластеров нет варианта оплаты по мере использования.

После увеличения уровня обязательств для уровня обязательств кластера действует обязательный 31-дневный период. В течение обязательного периода уровень обязательств невозможно уменьшить, но его можно увеличить в любое время. Когда рабочие области связаны с кластером, выставление счетов за прием данных для этих рабочих областей выполняется на уровне кластера с помощью настроенного уровня обязательств.

Существует два режима выставления счетов для кластера, который указывается при создании кластера:

  • Cluster (по умолчанию): выставление счетов за принимаемые данные выполняется на уровне кластера. Принятые объемы данных из каждой рабочей области, связанной с кластером, суммируются для вычисления ежедневного счета за кластер. Распределения по отдельным узлам из Microsoft Defender для облака применяются на уровне рабочей области, и лишь затем выполняется суммирование данных во всех рабочих областях в кластере.

  • Рабочие области: Затраты на уровни обязательств для вашего кластера пропорционально распределяются между рабочими областями в кластере, в зависимости от объема приема данных каждой рабочей области (с учетом выделений на каждый узел из Microsoft Defender для облака для каждой рабочей области).

    Если общий объем данных, полученный в кластер в течение дня, меньше уровня обязательств, то каждая рабочая область оплачивается за полученные данные по эффективной ставке за ГБ в соответствии с уровнем обязательств, при этом счет выставляется с учетом доли ставки уровня обязательств. Затем за неиспользуемую часть уровня обязательства выставляется плата кластерному ресурсу.

    Если общий объем данных, принимаемый в кластер в течение дня, превышает уровень обязательств, для каждой рабочей области оплачивается доля уровня обязательств, основанная на доле данных, принятых за день, и дополнительно оплачивается доля данных, превышающих уровень обязательств. Если общий объем данных, поступающий в рабочую область в течение дня, превышает уровень обязательств, с кластерного ресурса не взимается плата.

Примеры того, как работает выставление счетов по кластерам в каждом из этих режимов, можно найти здесь.

Прием данных для журналов основного и вспомогательного уровня и хранение данных тарифицируются для каждой рабочей области так же, как и для рабочих областей, не подключённых к кластеру.

Плата за кластер начисляется при его создании независимо от того, связаны ли рабочие области с кластером.

При связывании рабочих пространств с кластером устанавливается кластерная ценовая категория, и плата за прием данных взимается на основе уровня обязательств кластера. У рабочих областей, связанных с кластером, больше нет собственной ценовой категории. Рабочие области могут быть отключены от кластера в любое время, а ценовой уровень может быть изменен на оплату за ГБ.

Если связанная рабочая область использует устаревшую ценовую категорию Per Node, плата взимается на основе данных, поступающих в пределах уровня обязательств кластера, а не по узлам. Распределение данных для каждого узла в Microsoft Defender for Cloud будет и дальше применяться.

Если кластер удаляется, выставление счетов за кластер останавливается, даже если кластер находится в течение 31-дневного периода обязательств.

Дополнительные сведения о создании выделенного кластера и указании его типа выставления счетов см. в разделе "Создание выделенного кластера".

Базовые и вспомогательные планы таблиц

Вы можете настроить определенные таблицы в рабочей области Log Analytics для использования планов базовых и вспомогательных таблиц. Информация в этих таблицах характеризуется значительно уменьшенной стоимостью загрузки. В этих таблицах взимается плата за интерактивный запрос данных (в отличие от таблиц, которые находятся в плане таблицы Аналитики).

Плата за запрос данных в базовых и вспомогательных таблицах зависит от ГБ отсканированных данных при выполнении поиска. Сканируемые данные определяются как объем данных, которые были приняты в пределах диапазона времени, указанного запросом для таблицы, которая запрашивается.

Плата за другие функции, такие как долгосрочное хранение данных и задания поиска, одинаковы для всех планов таблиц (аналитика, базовый и вспомогательный).

См. обзор журналов Azure Monitor: планы таблиц для получения дополнительной информации о базовых и вспомогательных планах таблиц.

Хранение данных журнала

Помимо приема данных, взимается плата за хранение данных в каждой рабочей области Log Analytics. Период хранения можно задать для всей рабочей области или для каждой таблицы. После этого периода данные удаляются или хранятся в долгосрочном хранении. В течение длительного периода хранения взимается сниженная плата за хранение, а также взимается плата за получение данных с помощью задания поиска. Используйте долгосрочное хранение, чтобы сократить затраты на данные, которые необходимо хранить для соответствия или случайного исследования.

Удаление пользовательской таблицы не удаляет данные, связанные с этой таблицей, поэтому интерактивные и долгосрочные расходы на хранение продолжают применяться.

Дополнительные сведения о хранении данных, включая настройку этих параметров и доступ к данным в долгосрочном хранении, см. в статье "Управление хранением данных в рабочей области Log Analytics".

Примечание.

Удаление данных из рабочей области Log Analytics с помощью функции очистки Log Analytics не влияет на затраты на хранение. Чтобы снизить затраты на хранение, сократите срок хранения для рабочей области или для конкретных таблиц.

Поиск работы

Извлеките данные из долгосрочного хранения, выполняя поисковые задания. Задания поиска — это асинхронные запросы, которые извлекают записи в новую таблицу поиска в вашей рабочей области для дальнейшей аналитики. Поиск оплачивается за каждый день, когда для выполнения поиска осуществляется доступ к определенному количеству данных в ГБ. Сканируемые данные определяются как объем данных, которые были приняты в пределах диапазона времени, указанного запросом для таблицы, которая запрашивается.

Восстановление данных журналов

Если требуется интенсивно запрашивать большие объемы данных или данные в долгосрочном хранении с полными возможностями аналитических запросов, функция восстановления данных — это мощный инструмент. Операция восстановления выводит в таблице данные за определенный диапазон времени в оперативном кэше для высокопроизводительных запросов. После завершения вы можете удалить данные. Плата за восстановление данных журнала взимается по объему восстановленных данных и по времени, в течение которого восстановление остается активным. Минимум, оплачиваемый в случае любого восстановления данных, составляет 2 ТБ и 12 часов. Данные, восстановленные в объеме более 2 ТБ и/или продолжительностью более 12 часов, оплачиваются пропорционально.

Экспорт данных журналов

Экспорт данных в рабочую область Log Analytics позволяет непрерывно экспортировать данные по выбранным таблицам в учетную запись Azure Storage или Azure Event Hubs по мере их поступления в конвейер Azure Monitor. Плата за использование экспорта данных зависит от объема экспортируемых данных. Размер экспортируемых данных — это количество байтов в экспортированных данных в формате JSON.

Выставление счетов за «Application Insights»

Поскольку ресурсы Application Insights, основанные на рабочей области хранят свои данные в рабочей области Log Analytics, выставление счетов за прием и хранение данных выполняется рабочей областью, где находятся данные Application Insights. По этой причине вы можете использовать все варианты модели ценообразования Log Analytics, включая уровни обязательств, а также оплату по мере использования.

Совет

Хотите настроить параметры хранения в таблицах Application Insights? Имена таблиц изменились для компонентов на основе рабочей области, см. в статье "Структура таблиц Application Insights"

Прием и хранение данных для ресурса Application Insights классического типа осуществляются по тем же расценкам платы за использование, что и для ресурсов на основе рабочих областей, но они не могут использовать уровни обязательств.

Данные телеметрии из тестов проверки пинга и многошаговых тестов тарифицируются так же, как и использование данных для другой телеметрии из вашего приложения. Использование веб-тестов и включение оповещений по пользовательским измерениям метрик по-прежнему выполняется через Application Insights. За использование Live Metrics Stream плата не взимается.

Дополнительные сведения об устаревших уровнях, доступных для ранних пользователей Application Insights, см. в разделе Устаревшие корпоративные уровни (на узел) ценообразования для Application Insights.

Рабочие пространства с Microsoft Sentinel

Если в рабочей области Log Analytics включен Microsoft Sentinel, все данные, собранные в этой рабочей области, подлежат начислению Microsoft Sentinel вместе с начислением Log Analytics. По этой причине вы часто разделяете данные безопасности и эксплуатационные данные в разных рабочих областях, чтобы избежать затрат Microsoft Sentinel за эксплуатационные данные.

В некоторых сценариях объединение этих данных может привести к экономии затрат. Как правило, эта ситуация возникает, когда вы не собираете достаточно данных безопасности и операционных данных для каждого уровня обязательств, но объединенные данные достаточно для достижения уровня обязательств. Дополнительные сведения см. в разделе:

Рабочие пространства с Microsoft Defender для облака

Microsoft Defender для серверов (часть Defender для облака)выставляет счета по количеству отслеживаемых служб. Он предоставляет 500 МБ на сервер в день для выделения данных, применяемых к следующему подмножеству типов данных безопасности.

Если для рабочей области используется устаревшая ценовая категория "За узел", выделения Defender для облака и Log Analytics объединяются и совместно применяются ко всем подлежащим оплате принимаемым данным. Если в рабочей области включен Microsoft Sentinel и Sentinel использует классическую ценовую категорию, то выделение данных Defender применяется только к поглощению данных Log Analytics для выставления счетов, но не к классическому выставлению счетов Sentinel. Если Sentinel использует упрощенную ценовую категорию, выделение данных Defender применяется к единому выставлению счетов Sentinel. Дополнительные сведения о том, как клиенты Microsoft Sentinel могут воспользоваться преимуществами, см. на странице цен Microsoft Sentinel.

Количество серверов мониторинга рассчитывается с почасовой степенью детализации. Ежедневные распределения данных с каждого сервера мониторинга агрегируются на уровне рабочей области. Если для рабочей области используется ценовая категория "За узел" устаревшего типа, лимиты Microsoft Defender для облака и Log Analytics объединены и применяются совместно ко всем подлежащим оплате поступающим данным.

Примечание.

Чтобы получить лимит данных Defender для серверов в рабочей области Log Analytics, решение «Безопасность» должно быть создано в рабочей области.

Устаревшие ценовые категории

Подписки, содержащие рабочую область Log Analytics или ресурс Application Insights на 2 апреля 2018 г. или связанные с Соглашением Enterprise, которое началось до 1 февраля 2019 г. и по-прежнему активно, будут иметь доступ к использованию следующих устаревших ценовых категорий:

  • Автономный режим (за ГБ).
  • На каждый узел (Operations Management Suite [OMS])

Доступ к устаревшей ценовой категории "Бесплатная пробная версия" был ограничен 1 июля 2022 года. Сведения о ценах для автономного и узлового уровней цен доступны здесь.

Список имен счетчиков выставления счетов Azure Monitor, включая устаревшие уровни, доступен здесь.

Внимание

Устаревшие ценовые категории не поддерживают доступ к некоторым из самых новых функций в Log Analytics, таким как загрузка данных в таблицы с использованием экономически эффективных планов базовых и вспомогательных таблиц.

Ценовая категория бесплатной пробной версии

Рабочие области в категории цен "Бесплатная пробная версия" имеют ограничение на ежедневный объем принимаемых данных до 500 МБ (за исключением типов данных безопасности, собранных Microsoft Defender для Cloud). Срок хранения данных ограничен семь дней. Ценовая категория "Бесплатная пробная версия" предназначена только для целей оценки, а не для реальных производственных задач. Соглашение об уровне обслуживания не предоставляется для уровня "Бесплатная пробная версия".

Примечание.

Создание новых рабочих областей или перемещение существующих рабочих областей в устаревшую ценовую категорию "Бесплатная пробная версия" возможно только до 1 июля 2022 г.

Автономная ценовая категория

Использование в тарифном плане "Автономный" оплачивается по объему обрабатываемых данных. Отчет предоставляется в службе Log Analytics, и счётчик называется «Проанализированные данные». Рабочие области в ценовой категории Standalone имеют настраиваемое пользователем хранение с длительностью от 30 до 730 дней. Рабочие области в ценовой категории Standalone не поддерживают использование планов базовых и вспомогательных таблиц.

Ценовая категория по узлу

Плата в тарифе 'За узел' взимается за каждую отслеживаемую виртуальную машину (узел) на почасовой основе. Для рабочей области каждого отслеживаемого узла ежедневно выделяется 500 МБ данных без взимания платы. Это выделение вычисляется с почасовой детализацией и суммируется на уровне рабочей области каждый день. За полученные данные, превышающие агрегированное ежедневное распределение данных, плата взимается за ГБ как за избыточный объем данных. Ценовая категория на уровне узла является устаревшей категорией, которая доступна только существующим подпискам, соответствующим требованиям для устаревших ценовых категорий.

В вашем счете услуга — Insight and Analytics для использования Log Analytics, если рабочая область находится в ценовой категории "На узел". Для рабочих пространств на уровне ценообразования "За узел" предусмотрен настраиваемый срок хранения от 30 до 730 дней. Рабочие области в ценовом уровне "За узел" не поддерживают использование планов базовых и вспомогательных таблиц. Сведения об использовании отображаются для трех счетчиков:

  • Узел: использование для количества отслеживаемых узлов (виртуальных машин) в пересчёте на месяцы работы узлов.
  • Превышение объемов данных на узел: количество ГБ данных, объемы которых превышают суммарно выделенное количество данных.
  • Данные, включенные в узел: объем принятых данных, охваченный суммарным выделением данных. Этот счетчик также используется, если рабочая область находится во всех ценовых категориях для отображения объема данных, охватываемых Microsoft Defender для облака.

Примечание.

Чтобы использовать право на использование, полученное при покупке пакета OMS E1 Suite, OMS E2 Suite или OMS Add-On для System Center, выберите ценовой уровень Log Analytics на узел. Если вы не владеете лицензиями OMS, вам не следует использовать ценовую категорию 'На узел'.

Ценовые категории: "Стандартный" и "Премиум"

Начиная с 1 октября 2016 года, рабочие области нельзя создавать или перемещать в тарифные планы «Стандартный» или «Премиум». Рабочие области, уже находящиеся в этих ценовых уровнях, могут продолжать их использовать, но если рабочая область перемещается из этих уровней, её нельзя переместить обратно. Ценовые категории "Стандартный" и "Премиум" имеют фиксированный срок хранения данных в 30 дней и 365 дней соответственно. Рабочие области в этих ценовых категориях не поддерживают использование планов базовых и вспомогательных таблиц и долгосрочного хранения данных. Показатели загрузки данных в вашем счете Azure для этих устаревших уровней называются "Проанализированные данные".

Microsoft Defender для облака с устаревшими ценовыми уровнями

Следующие рекомендации относятся к устаревшим уровням Log Analytics и выставлению счетов за использование для Microsoft Defender для облака:

  • Если рабочая область относится к уровню «Стандартный» или «Премиум», то Microsoft Defender for Cloud выставляет счета только за прием данных Log Analytics, а не за каждый узел.
  • Если рабочая область относится к старому тарифу "За узел", плата за Microsoft Defender для облака взимается с применением текущей модели ценообразования на основе узла Microsoft Defender для облака.
  • В других ценовых категориях (включая уровни обязательств), если Microsoft Defender для облака был включен до 19 июня 2017 г., плата взимается только за прием данных Log Analytics. В противном случае плата за Microsoft Defender для облака взимается с применением текущей модели ценообразования на основе узла Microsoft Defender для облака.

Дополнительные сведения об ограничениях ценовой категории доступны в подписке Azure и ограничениях служб, квотах и ограничениях.

Ни одна из устаревших ценовых категорий не использует ценообразование на основе региона.

Оценка устаревшей ценовой категории "За узел"

Устаревшая система 'Per Node' имеет очень сложные расчеты цен. Рекомендуется использовать одну из современных моделей ценообразования (оплата по факту использования или модель обязательств), если у вас нет лицензий OMS.

Если у вас есть рабочая область в устаревшем тарифе «Per Node», вы можете сравнить затраты на этот ценовой уровень, экспортировав подробные данные об использовании вместе с ежемесячными оценками затрат, предоставляемыми для тарифов «Оплата по мере использования» или «Уровни обязательств», на странице использования и предполагаемой стоимости вашей рабочей области.

Обратите внимание, что если рабочая область находится в устаревшей ценовой категории 'На узел', срок хранения взимается по счетчику Стандартное хранение данных (см. счетчики выставления счетов Azure Monitor). Этот счетчик имеет одну мировую цену, а не региональные варианты ценообразования текущего счетчика сохранения данных, используемого для оплаты по мере использования и выставления счетов на уровне обязательств.

Следующие шаги