Kostenberechnungen und Optionen für Azure Monitor-Protokolle
Bei den wichtigsten Gebühren für die meisten Azure Monitor-Implementierungen handelt es sich in der Regel um die Erfassung und Aufbewahrung von Daten in Ihren Log Analytics-Arbeitsbereichen. Mehrere Features in Azure Monitor sind nicht mit direkten Kosten verbunden, tragen aber zu den gesammelten Arbeitsbereichsdaten bei. In diesem Artikel wird beschrieben, wie Datengebühren für Ihre Log Analytics-Arbeitsbereiche berechnet werden und welche verschiedenen Konfigurationsoptionen sich auf Ihre Kosten auswirken.
Tipp
Strategien zum Reduzieren Ihrer Azure Monitor-Kosten finden Sie unter Kostenoptimierung und Azure Monitor.
Preismodell
Log Analytics nutzt standardmäßig ein nutzungsbasiertes Zahlungsmodell auf Grundlage des erfassten Datenvolumens und der Datenaufbewahrung. Jeder Log Analytics-Arbeitsbereich wird als separater Dienst abgerechnet und auf der Rechnung für Ihr Azure-Abonnement aufgeführt. Preise für Azure Monitor-Protokolle werden regional festgelegt. Die bei der Erfassung anfallende Datenmenge kann erheblich sein und hängt von Folgendem ab:
- Den aktivierten Verwaltungslösungen und deren Konfiguration
- Anzahl und Typ der überwachten Ressourcen
- Den Typen von Daten, die von jeder überwachten Ressource gesammelt wurden
Hier finden Sie eine Liste der Namen der Azure Monitor-Abrechnungszähler.
Berechnung der Datengröße
Bei Azure Monitor-Protokollen wird die Datenmenge berechnet, die Sie an einen Log Analytics-Arbeitsbereich senden, und zwar in GB (10^9 Byte).
Für Azure Monitor-Protokolle wird die abgerechnete Größe eines einzelnen Datensatzes basierend auf berechnet:
Eine Zeichenfolgendarstellung der Spalteneinträge, die Azure Monitor-Protokolle im Log Analytics-Arbeitsbereich für diesen Datensatz hinzufügen müssen.
Wenn Sie Spalteneinträge senden, die nicht mit dem Zieltabellenschema übereinstimmen, werden Ihnen für Azure Monitor-Protokolle diese Spalteneinträge berechnet, auch wenn die Zieltabelle die Daten nicht speichern kann. Stellen Sie sicher, dass Ihre Datensammlungsregeln mit dem Zieltabellenschema übereinstimmen, um zu vermeiden, dass Daten in Rechnung gestellt werden, die Ihre Zieltabelle nicht speichern kann.
Hinweis
Die Berechnung des abrechenbaren Datenvolumens ist allgemein wesentlich kleiner als die Größe des gesamten eingehenden in JSON enthaltenen Ereignisses. Im Durchschnitt aller Ereignistypen ist die abgerechnete Größe etwa 25 % geringer als die Größe der eingehenden Daten. Sie kann bis zu 50 % für kleine Ereignisse betragen. Der Prozentsatz umfasst die Auswirkungen im Zusammenhang mit den Standardspalten, die von der Abrechnung ausgeschlossen sind. Sie sollten diese Berechnung der abgerechneten Datengröße kennen, wenn Sie Kosten schätzen und mit anderen Preismodellen vergleichen.
Alle Daten im Datensatz, unabhängig davon, ob die Daten aus der Datenquelle erfasst oder während der Erfassung hinzugefügt werden. Diese Berechnung umfasst alle benutzerdefinierten Spalten, die von der Protokollerfassungs-API, Transformationen und benutzerdefinierten Feldern hinzugefügt werden.
Ausgeschlossene Spalten
Die folgenden Standardspalten sind in allen Tabellen enthalten und werden bei der Berechnung der Datensatzgröße nicht berücksichtigt. Alle anderen Spalten, die in Log Analytics gespeichert werden, sind in der Berechnung der Datensatzgröße enthalten. Die Standardspalten sind:
_ResourceId
_SubscriptionId
_ItemId
_IsBillable
_BilledSize
Type
Ausgeschlossene Tabellen
Bei einigen Tabellen fallen keinerlei Gebühren für die Datenerfassung an. Dazu gehören unter anderem die Tabellen AzureActivity, Heartbeat, Nutzung und Vorgang. Diese Informationen werden immer durch die Spalte _IsBillable angezeigt, die angibt, ob ein Datensatz von der Abrechnung für die Datenerfassung und -aufbewahrung ausgeschlossen wurde.
Gebühren für andere Lösungen und Dienste
Einige Lösungen verfügen über spezifischere Richtlinien für die kostenlose Datenerfassung. So sind beispielsweise bei Azure Migrate Daten zur Visualisierung von Abhängigkeiten für die ersten 180 Tage einer Serverbewertung kostenlos. Dienste wie Microsoft Defender for Cloud, Microsoft Sentinel und Konfigurationsverwaltung weisen eigene Preismodelle auf.
In der Dokumentation zu den verschiedenen Diensten und Lösungen finden Sie Informationen zu den jeweiligen Abrechnungsberechnungen.
Mindestabnahmen
Zusätzlich zum Modell der nutzungsbasierten Bezahlung bietet Log Analytics Mindestabnahme-Tarife. Mit diesen Tarifen können Sie Einsparungen von bis zu 30 Prozent gegenüber der nutzungsbasierten Zahlung erzielen. Bei der Mindestabnahme verpflichten Sie sich dazu, eine Datenerfassung für einen Arbeitsbereich ab 100 GB pro Tag zu einem niedrigeren Preis als bei der nutzungsbasierten Zahlung zu erwerben. Jegliche Nutzung über die Mindestabnahme hinaus (Überschreitung) wird zu demselben Preis pro GB wie bei der aktuellen Mindestabnahme abgerechnet. (Die Überschreitung wird mit der gleichen Verbrauchseinheit wie für die Mindestabnahme abgerechnet. Wenn beispielsweise für einen Arbeitsbereich eine Mindestabnahme von 200 GB/Tag festgelegt sind und 300 GB pro Tag verbraucht werden, wird diese Nutzung als 1,5 Einheiten der Mindestabnahme von 200 GB/Tag in Rechnung gestellt.) Die Mindestabnahmen haben einen Verpflichtungszeitraum von 31 Tagen ab dem Zeitpunkt, zu dem eine Mindestabnahme ausgewählt oder geändert wird.
- Während des Verpflichtungszeitraums können Sie zu einem höheren Mindestabnahme-Tarif wechseln, der den 31-tägigen Verpflichtungszeitraum neu startet. Sie können erst nach Abschluss des Verpflichtungszeitraums zurück zur nutzungsbasierten Bezahlung oder zu einem niedrigeren Mindestabnahme-Tarif wechseln.
- Am Ende des Verpflichtungszeitraums behält der Arbeitsbereich den ausgewählten Mindestabnahme-Tarif bei, und der Arbeitsbereich kann jederzeit in die nutzungsbasierte Bezahlung oder in einen niedrigeren Mindestabnahme-Tarif geändert werden.
- Wenn ein Arbeitsbereich versehentlich in einen Mindestabnahme-Tarif verschoben wurde, wenden Sie sich an den Microsoft-Support, um den Verpflichtungszeitraum zurückzusetzen, sodass Sie wieder in den Tarif mit nutzungsbasierter Bezahlung wechseln können.
Die Abrechnung für Mindestabnahmen erfolgt pro Arbeitsbereich und täglich. Wenn der Arbeitsbereich Teil eines dedizierten Clusters ist, erfolgt die Abrechnung für den Cluster. Weitere Informationen erhalten Sie im Abschnitt „Dedizierte Cluster“ (siehe unten). Eine Liste der Mindestabnahme-Tarife und deren Preise finden Sie unter Azure Monitor – Preise.
Azure-Rabatte bei Mindestabnahme wie beispielsweise Rabatte im Rahmen von Microsoft Enterprise Agreements gelten für die Mindestabnahmepreise für Azure Monitor-Protokolle ebenso wie für die Preise bei nutzungsbasierter Zahlung. Rabatte gelten unabhängig davon, ob die Nutzung pro Arbeitsbereich oder dediziertem Cluster in Rechnung gestellt wird.
Tipp
Das Menüelement Nutzung und geschätzte Kosten für jeden Log Analytics-Arbeitsbereich zeigt eine Schätzung der Gebühren für die Datenerfassung auf den einzelnen Verpflichtungsebenen an, damit Sie die optimale Verpflichtungsebene für Ihre Datenerfassungsmuster auswählen können. Überprüfen Sie diese Informationen regelmäßig, um festzustellen, ob Sie Ihre Gebühren durch den Wechsel zu einer anderen Stufe reduzieren können. Informationen zu dieser Ansicht finden Sie unter Nutzung und geschätzte Kosten. Verwenden Sie Azure Cost Management = Abrechnung, um Ihre tatsächlichen Gebühren zu überprüfen.
Dedicated-Cluster
Ein dedizierter Cluster für Azure Monitor-Protokolle ist eine Sammlung von Arbeitsbereichen in einem einzigen verwalteten Azure Data Explorer-Cluster. Dedizierte Cluster unterstützen erweiterte Features wie kundenseitig verwaltete Schlüssel und verwenden dasselbe Preismodell mit Mindestabnahme wie Arbeitsbereiche, müssen jedoch eine Mindestabnahme von mindestens 100 GB pro Tag aufweisen. Jegliche Nutzung über die Mindestabnahme hinaus (Überschreitung) wird zu demselben Preis pro GB wie bei der aktuellen Mindestabnahme abgerechnet. Für Cluster gibt es keine nutzungsbasierte Bezahlung.
Die Mindestabnahme für Cluster weist einen Verpflichtungszeitraum von 31 Tagen nach Erhöhung der Mindestabnahme auf. Während des Verpflichtungszeitraums kann die Mindestabnahme nicht herabgesetzt, aber jederzeit erhöht werden. Wenn Arbeitsbereiche einem Cluster zugeordnet sind, erfolgt die Abrechnung der Datenerfassung für diese Arbeitsbereiche auf Clusterebene anhand der konfigurierten Mindestabnahme.
Es gibt zwei Abrechnungsmodi für einen Cluster, die Sie beim Erstellen des Clusters angeben:
Cluster (Standardeinstellung) : Erfasste Daten werden auf Clusterebene abgerechnet. Die erfassten Datenmengen aus den einzelnen Arbeitsbereichen, die einem Cluster zugeordnet sind, werden aggregiert, um die tägliche Abrechnung für den Cluster zu berechnen. Zuordnungen pro Knoten von Microsoft Defender für Cloud gelten auf Arbeitsbereichsebene vor dieser Aggregation von Daten für alle Arbeitsbereiche im Cluster.
Arbeitsbereiche: Die Mindestabnahmekosten für Ihren Cluster werden anteilig auf die Arbeitsbereiche im Cluster umgelegt, und zwar nach dem Datenerfassungsvolumen jedes Arbeitsbereichs (nach Berücksichtigung der Zuweisungen pro Knoten von Microsoft Defender for Cloud für jeden Arbeitsbereich).
Wenn das gesamte Datenvolumen, das an einem Tag in einem Cluster erfasst wird, kleiner als die Mindestabnahme ist, wird für jeden Arbeitsbereich das jeweilige Datenerfassungsvolumen zum effektiven Mindestabnahmetarif pro GB abgerechnet. Hierzu wird jeweils ein Teil der Mindestabnahmemenge in Rechnung gestellt. Der nicht genutzte Teil der Mindestabnahmemenge wird dann für die Clusterressource in Rechnung gestellt.
Wenn das gesamte Datenvolumen, das an einem Tag in einem Cluster erfasst wird, über der Mindestabnahme liegt, wird für die einzelnen Arbeitsbereiche jeweils ein Teil der Mindestabnahme (basierend auf dem Anteil der an diesem Tag erfassten Daten) abgerechnet, und für jeden Arbeitsbereich wird jeweils ein Teil der erfassten Daten in Rechnung gestellt, die über die Mindestabnahme hinausgehen. Wenn das gesamte Datenvolumen, das an einem Tag in einem Arbeitsbereich erfasst wird, oberhalb der Mindestabnahme liegt, wird nichts für die Clusterressource abgerechnet.
Beispiele für die Funktionsweise der Abrechnung von Clustern in jedem dieser Modi finden Sie hier.
Die Datenaufbewahrung wird für jeden Arbeitsbereich in Rechnung gestellt. Dasselbe gilt für Arbeitsbereiche, die nicht mit einem Cluster verknüpft sind.
Die Clusterabrechnung beginnt mit der Clustererstellung, unabhängig davon, ob dem Cluster Arbeitsbereiche zugeordnet sind.
Wenn Sie Arbeitsbereiche mit einem Cluster verknüpfen, wird der Tarif in Cluster geändert, und die Datenerfassung wird basierend auf der Mindestabnahme des Clusters abgerechnet. Arbeitsbereiche, die einem Cluster zugeordnet sind, weisen keinen eigenen Tarif mehr auf. Die Verknüpfung von Arbeitsbereichen mit einem Cluster kann jederzeit aufgehoben werden, und der Tarif kann in die GB-basierte Zahlung geändert werden.
Wenn Ihr verknüpfter Arbeitsbereich den alten Tarif auf Knotenbasis verwendet, wird er nicht mehr pro Knoten, sondern basierend auf den erfassten Daten gemäß der Mindestabnahme des Clusters abgerechnet. Datenzuordnungen pro Knoten von Microsoft Defender für Cloud werden weiterhin angewendet.
Wenn ein Cluster gelöscht wird, wird die Abrechnung für den Cluster auch dann beendet, wenn sich der Cluster innerhalb der 31-tägigen Verpflichtungsperiode befindet.
Weitere Informationen zum Erstellen eines dedizierten Clusters und zum Angeben des Abrechnungstyps finden Sie unter Erstellen eines dedizierten Clusters.
Basic- und Hilfstabellenpläne
Sie können bestimmte Tabellen in einem Log Analytics-Arbeitsbereich so konfigurieren, dass Basic- und Hilfstabellenpläne verwendet werden. Daten in diesen Tabellen weisen eine deutlich reduzierte Erfassungsgebühr auf. Beim Abfragen von Daten in diesen Tabellen entstehen Gebühren.
Die Gebühr für die Abfrage von Daten in Basic- und Hilfstabellen basiert auf der Anzahl von GB an Daten, die bei der Suche überprüft werden.
Weitere Informationen zu den Basic- und Hilfstabellenplänen finden Sie unter Übersicht über Azure Monitor-Protokolle: Tabellenpläne.
Protokolldatenaufbewahrung
Zusätzlich zur Datenerfassung fällt eine Gebühr für die Aufbewahrung von Daten in jedem Log Analytics-Arbeitsbereich an. Sie können den Aufbewahrungszeitraum für den gesamten Arbeitsbereich oder für jede Tabelle festlegen. Nach diesem Zeitraum werden die Daten entweder entfernt oder langfristig aufbewahrt. Während des Langzeitaufbewahrungszeitraums zahlen Sie eine reduzierte Aufbewahrungsgebühr, und es fallen Gebühren an, wenn die Daten mithilfe eines Suchauftrags abgerufen werden. Verwenden Sie Langzeitaufbewahrung, um die Kosten für Daten zu verringern, die Sie für die Compliance oder zur gelegentlichen Untersuchung speichern müssen.
Durch das Löschen einer benutzerdefinierten Tabelle werden keine Daten entfernt, die dieser Tabelle zugeordnet sind, sodass Gebühren für interaktive und Langzeitaufbewahrung weiterhin gelten.
Weitere Informationen zur Datenaufbewahrung, einschließlich der Konfiguration dieser Einstellungen und des Zugriffs auf Daten in Langzeitaufbewahrung, finden Sie unter Verwalten der Datenaufbewahrung in einem Log Analytics-Arbeitsbereich.
Hinweis
Das Löschen von Daten aus Ihrem Log Analytics-Arbeitsbereich mithilfe des Features zum Löschen von Log Analytics wirkt sich nicht auf Ihre Aufbewahrungskosten aus. Um die Aufbewahrungskosten zu senken, verringern Sie den Aufbewahrungszeitraum für den Arbeitsbereich oder für bestimmte Tabellen.
Suchaufträge
Rufen Sie Daten aus einer Langzeitaufbewahrung ab, indem Sie Suchaufträge ausführen. Suchaufträge sind asynchrone Abfragen, die Datensätze zur weiteren Analyse in eine neue Suchtabelle in Ihrem Arbeitsbereich abrufen. Suchaufträge werden anhand der Anzahl von GB an Daten berechnet, die jeden Tag überprüft werden und auf die für die Durchführung der Suche zugegriffen wird.
Protokolldatenwiederherstellung
Wenn Sie große Datenmengen oder Daten in Langzeitaufbewahrung mit vollständigen Analyseabfragefunktionen intensiv abfragen müssen, stellt die Datenwiederherstellung ein leistungsfähiges Tool dar. Mit dem Wiederherstellungsvorgang wird ein bestimmter Zeitbereich von Daten in einer Tabelle im Cache für heiße Daten für Hochleistungsabfragen bereitgestellt. Sie können die Daten später verwerfen, wenn Sie fertig sind. Die Protokolldatenwiederherstellung wird nach Menge der wiederhergestellten Daten berechnet, und nach dem Zeitraum, über den die Wiederherstellung aktiv bleibt. Die für eine Datenwiederherstellung berechneten Mindestwerte sind 2 TB und 12 Stunden. Wiederhergestellte Daten, die 2 TB und/oder eine Dauer von 12 Stunden überschreiten, werden anteilig in Rechnung gestellt.
Protokolldatenexport
Der Datenexport in einem Log Analytics-Arbeitsbereich ermöglicht es Ihnen, Daten nach ausgewählten Tabellen in Ihrem Arbeitsbereich fortlaufend in ein Azure Storage-Konto oder in Azure Event Hubs zu exportieren, sobald sie in einer Azure Monitor-Pipeline eintreffen. Die Gebühren für die Verwendung des Datenexports basieren auf der Menge der exportierten Daten. Die Größe der exportierten Daten ist die Anzahl an Bytes in den exportierten Daten im JSON-Format.
Abrechnung für Application Insights
Da arbeitsbereichsbasierte Application Insights-Ressourcen ihre Daten in einem Log Analytics-Arbeitsbereich speichern, erfolgt die Abrechnung für die Datenerfassung und -aufbewahrung über den Arbeitsbereich, in dem sich die Application Insights-Daten befinden. Aus diesem Grund können Sie alle Optionen des Log Analytics-Preismodells verwenden, einschließlich Mindestabnahmen sowie nutzungsbasierte Bezahlung.
Tipp
Möchten Sie die Aufbewahrungseinstellungen für Ihre Application Insights-Tabellen anpassen? Die Tabellennamen für arbeitsbereichsbasierte Komponenten wurden geändert. Weitere Informationen finden Sie unter Application Insights-Tabellenstruktur
Für die Datenerfassung und Datenaufbewahrung bei einer klassischen Application Insights-Ressource gelten dieselben nutzungsbasierten Preise wie bei arbeitsbereichsbasierten Ressourcen, doch können keine Mindestabnahmen genutzt werden.
Telemetriedaten aus Pingtests und mehrstufigen Tests werden ebenso wie die Nutzung anderer Telemetriedaten aus Ihrer App in Rechnung gestellt. Die Nutzung von Webtests und die Aktivierung von Warnungen für benutzerdefinierte Metrikdimensionen wird weiterhin über Application Insights gemeldet. Für die Verwendung von Live Metrics Stream fällt keine Gebühr für das Datenvolumen an.
Ausführliche Informationen zu Legacytarifen, die für Early Adopters von Application Insights verfügbar sind, finden Sie unter Application Insights: Legacy-Enterprise-Tarif (pro Knoten).
Arbeitsbereiche mit Microsoft Sentinel
Wenn Microsoft Sentinel in einem Log Analytics-Arbeitsbereich aktiviert ist, unterliegen alle in diesem Arbeitsbereich gesammelten Daten zusätzlich zu Log Analytics-Gebühren auch Microsoft Sentinel-Gebühren. Aus diesem Grund trennen Sie häufig die Sicherheits- und Betriebsdaten in verschiedenen Arbeitsbereichen, sodass keine Microsoft Sentinel-Gebühren für Betriebsdaten anfallen.
In einigen Szenarien kann die Kombination dieser Daten zu Kosteneinsparungen führen. Dies ist in der Regel der Fall, wenn Sie nicht genügend Sicherheits- und Betriebsdaten sammeln, um jeweils eine Mindestabnahmestufe zu erreichen, die kombinierten Daten aber für eine Mindestabnahme ausreichend sind. Weitere Informationen finden Sie unter:
- Entwerfen einer Log Analytics-Arbeitsbereichsarchitektur
- Beispieldesigns von Log Analytics-Arbeitsbereichen für Microsoft Sentinel
Arbeitsbereiche mit Microsoft Defender für Cloud
Microsoft Defender for Servers (Teil von Defender for Cloud) berechnet die Anzahl der überwachten Dienste. Ihnen stehen 500 MB pro Server und Tag der Datenzuordnung zur Verfügung, die auf die folgende Teilmenge von Sicherheitsdatentypen angewendet wird:
- SecurityAlert
- SecurityBaseline
- SecurityBaselineSummary
- SecurityDetection
- SecurityEvent
- WindowsFirewall
- SysmonEvent
- ProtectionStatus
- Update und UpdateSummary, wenn im Arbeitsbereich die Lösung für die Updateverwaltung nicht ausgeführt wird oder die Zielgruppenadressierung aktiviert ist.
- MDCFileIntegrityMonitoringEvents
Wenn sich der Arbeitsbereich in der alten Preisstufe "Pro Knoten" befindet, werden die Zuweisungen für Defender für Cloud und Log Analytics kombiniert und gemeinsam auf alle abrechenbaren erfassten Daten angewendet. Wenn Microsoft Sentinel für den Arbeitsbereich aktiviert ist und Sentinel einen klassischen Tarif verwendet, gilt die Defender-Datenzuweisung nur für die Abrechnung von erfassten Log Analytics-Daten, aber nicht für die klassische Sentinel-Abrechnung. Wenn Sentinel einen vereinfachten Tarif verwendet, gilt die Defender-Datenzuweisung für die einheitliche Sentinel-Abrechnung. Weitere Informationen dazu, wie Microsoft Sentinel-Kund*innen profitieren können, finden Sie auf der Preisgestaltungsseite für Microsoft Sentinel.
Die Anzahl der überwachten Server wird pro Stunde berechnet. Die täglichen Datenzuordnungsbeiträge von jedem überwachten Server werden auf Arbeitsbereichsebene aggregiert. Wenn sich der Arbeitsbereich in der alten Preisstufe "Pro Knoten" befindet, werden die Zuweisungen für Microsoft Defender für Cloud und Log Analytics kombiniert und gemeinsam auf alle abrechenbaren erfassten Daten angewendet.
Legacytarife
Abonnements, die am 2. April 2018 einen Log Analytics-Arbeitsbereich oder eine Application Insights Ressource enthielten oder mit einem Enterprise Agreement verknüpft sind, das vor dem 1. Februar 2019 begann und noch immer aktiv ist, haben weiterhin Zugriff auf die folgenden Legacytarife:
- Eigenständig (pro GB)
- Pro Knoten (Operations Management Suite (OMS))
Der Zugriff auf den Legacy-Tarif „Kostenlose Testversion“ wurde am 1. Juli 2022 eingeschränkt. Preisinformationen für die Tarife „Eigenständig“ und „Pro Knoten“ finden Sie hier.
Eine Liste der Namen der Azure Monitor-Abrechnungsmesser, einschließlich dieser älteren Ebenen, ist hier verfügbar.
Wichtig
Die älteren Tarife unterstützen den Zugriff auf einige der neuesten Features in Log Analytics nicht, z. B. das Erfassen von Daten in Tabellen mit den kostengünstigen Basic- und Hilfstabellenplänen.
Tarif „Kostenlose Testversion“
Für Arbeitsbereiche im Tarif „Kostenlose Testversion“ ist die tägliche Datenerfassung auf 500 MB beschränkt (mit Ausnahme von Sicherheitsdatentypen, die von Microsoft Defender for Cloud gesammelt werden). Darüber hinaus ist die Datenaufbewahrung auf sieben Tage beschränkt. Der Tarif „Kostenlose Testversion“ dient nur zu Evaluierungszwecken. Für den Tarif „Kostenlose Testversion“ wird keine SLA bereitgestellt.
Hinweis
Das Erstellen neuer Arbeitsbereiche innerhalb des Tarifs „Kostenlose Testversion“ oder die Einstufung vorhandener Arbeitsbereiche in diesen Tarif war bis zum 1. Juli 2022 möglich.
Tarif „Eigenständig“
Die Nutzung des Tarifs „Eigenständig“ wird anhand des erfassten Datenvolumens abgerechnet. Es wird im Log Analytics-Dienst gemeldet, und die Verbrauchseinheit wird als „Analysierte Daten“ bezeichnet. Bei Arbeitsbereichen im Tarif „Eigenständig“ können Sie aus einer vom Benutzer konfigurierbaren Aufbewahrungsdauer zwischen 30 und 730 Tagen wählen. Arbeitsbereiche im Tarif „Eigenständig“ unterstützen nicht die Verwendung von Basic- und Hilfstabellenplänen.
Tarif „Pro Knoten“
Der Tarif „Pro Knoten“ wird pro überwachter VM (Knoten) mit einer Granularität von einer Stunde berechnet. Für jeden überwachten Knoten werden dem Arbeitsbereich 500 MB Daten pro Tag zugeteilt, die nicht berechnet werden. Diese Zuteilung wird auf Stundenbasis berechnet und täglich auf Arbeitsbereichsebene aggregiert. Daten, die über die aggregierte tägliche Datenzuteilung hinaus erfasst werden, werden pro GB als Datenüberschreitung berechnet. Der Tarif pro Knoten ist ein Legacytarif, der nur für vorhandene Abonnements verfügbar ist, die die Anforderung für Legacytarife erfüllen.
Der Dienst wird auf Ihrer Rechnung als Insight & Analytics für die Log Analytics-Nutzung ausgewiesen, wenn für den Arbeitsbereich der Tarif „Pro Knoten“ festgelegt ist. Für Arbeitsbereiche im Tarif „Pro Knoten“ gilt eine vom Benutzer festlegbare Datenaufbewahrungsfrist von 30 bis 730 Tagen. Arbeitsbereiche im Tarif „Pro Knoten“ unterstützen nicht die Verwendung von Basic- und Hilfstabellenplänen. Die Nutzung wird mit drei Verbrauchseinheiten gemeldet:
- Knoten: Der Verbrauch für die Anzahl der überwachten Knoten (VMs) in Einheiten von Knotenmonaten.
- Datenüberschreitung pro Knoten: Die Anzahl von GB an Daten, die über die aggregierte Datenzuordnung hinaus erfasst wurden.
- Pro Knoten enthaltene Daten: Die Menge der erfassten Daten, die durch die aggregierte Datenzuordnung abgedeckt wurden. Diese Verbrauchseinheit wird auch verwendet, wenn der Arbeitsbereich in allen Tarifen verfügbar ist, um die Menge der von Microsoft Defender for Cloud abgedeckten Daten anzuzeigen.
Tipp
Falls für Ihren Arbeitsbereich Zugriff auf den Tarif Pro Knoten besteht und Sie sich fragen, ob die Kosten beim Tarif mit nutzungsbasierter Zahlung niedriger wären, können Sie die unten angegebene Abfrage für eine Empfehlung nutzen.
Tarif „Standard“ und „Premium“
Arbeitsbereiche können seit dem 1. Oktober 2016 nicht mehr in den Tarifen Standard oder Premium erstellt oder verschoben werden. Arbeitsbereiche, die bereits in diesen Tarifen enthalten sind, können sie weiterhin verwenden, aber wenn ein Arbeitsbereich aus diesen Tarifen verschoben wird, kann er nicht dahin zurück verschoben werden. Die Tarife „Standard“ und „Premium“ haben eine feste Datenaufbewahrung von 30 Tagen bzw. 365 Tagen. Arbeitsbereiche in diesen Tarifen unterstützen nicht die Verwendung von Basic- und Hilfstabellenplänen und langfristiger Datenaufbewahrung. Die Verbrauchseinheiten für die Datenerfassung werden bei diesen Legacytarifen auf Ihrer Azure-Rechnung als „Analysierte Daten“ bezeichnet.
Microsoft Defender für Cloud mit Legacytarifen
Nachfolgend werden Überlegungen zu den verschiedenen Log Analytics-Legacytarifen und der Berechnung der Nutzung für Microsoft Defender for Cloud aufgeführt:
- Wenn für den Arbeitsbereich der Legacy-Tarif „Standard“ oder „Premium“ gilt, wird Microsoft Defender für Cloud nur für die Log Analytics-Datenerfassung und nicht pro Knoten berechnet.
- Wenn sich der Arbeitsbereich im Legacy-Tarif „Pro Knoten“ befindet, wird Microsoft Defender für Cloud mithilfe des aktuellen knotenbasierten Microsoft Defender für Cloud-Preismodells abgerechnet.
- Wenn Microsoft Defender für Cloud vor dem 19. Juni 2017 aktiviert wurde, wird Microsoft Defender für Cloud in anderen Tarifen (einschließlich Mindestabnahmetarifen) nur die Log Analytics-Datenerfassung in Rechnung gestellt. Andernfalls wird Microsoft Defender für Cloud mit dem aktuellen knotenbasierten Preismodell von Microsoft Defender für Cloud abgerechnet.
Weitere Informationen zu den Einschränkungen der Tarife finden Sie unter Azure-Abonnement- und -Dienstgrenzen, Kontingente und Einschränkungen.
Keiner der Legacytarife bietet regionsbezogene Preise.
Hinweis
Wenn Sie die Berechtigungen nutzen möchten, die Sie durch den Kauf der OMS E1-Suite, OMS E2-Suite oder des OMS-Add-Ons für System Center erwerben, wählen Sie den Tarif Pro Knoten für Log Analytics aus.
Bewerten des Legacytarifs „Pro Knoten“
Es ist häufig schwer festzustellen, ob für Arbeitsbereiche mit Zugriff auf den Legacytarif „Pro Knoten“ anstelle des derzeitigen Tarifs ein aktueller Tarif wie „Nutzungsbasierte Zahlung“ oder „Mindestabnahme“ besser geeignet ist. Sie müssen einerseits mit den Fixkosten pro überwachtem Knoten im Tarif „Pro Knoten“ und der enthaltenen Datenzuordnung von 500 MB pro Knoten und Tag vertraut sein und andererseits auch wissen, welche Kosten für die erfassten Daten im Tarif mit nutzungsbasierter Zahlung (pro GB) anfallen.
Mithilfe der folgenden Abfrage können Sie eine Empfehlung zum optimalen Tarif erhalten, die auf den Nutzungsmustern des Arbeitsbereichs basiert. Bei dieser Abfrage werden die überwachten Knoten und Daten untersucht, die in den letzten sieben Tagen in einem Arbeitsbereich erfasst wurden. Für jeden Tag wird ausgewertet, welcher Tarif optimal wäre. Um die Abfrage zu verwenden, ist Folgendes erforderlich:
- angeben, ob der Arbeitsbereich Microsoft Defender für Cloud verwendet, indem Sie
workspaceHasSecurityCenter
auftrue
oderfalse
festlegen. - die Preise aktualisieren, wenn Sie über bestimmte Rabatte verfügen.
- die Anzahl der Tage angeben, die rückwirkend ermittelt und analysiert werden sollen, indem Sie
daysToEvaluate
festlegen. Diese Option ist hilfreich, wenn die Abfrage bei Berücksichtigung der Daten von sieben Tagen zu lange dauert.
// Set these parameters before running query
// For pay-as-you-go (per-GB) and commitment tier pricing details, see https://azure.microsoft.com/pricing/details/monitor/.
// You can see your per-node costs in your Azure usage and charge data. For more information, see https://video2.skills-academy.com/azure/cost-management-billing/understand/download-azure-daily-usage.
let workspaceHasSecurityCenter = true;
let daysToEvaluate = 7;
let PerNodePrice = 15.; // Monthly price per monitored node
let PerNodeOveragePrice = 2.30; // Price per GB for data overage in the Per Node pricing tier
let PerGBPrice = 2.30; // Enter the pay-as-you-go price for your workspace's region (from https://azure.microsoft.com/pricing/details/monitor/)
let CommitmentTier100Price = 196.; // Enter your price for the 100 GB/day commitment tier
let CommitmentTier200Price = 368.; // Enter your price for the 200 GB/day commitment tier
let CommitmentTier300Price = 540.; // Enter your price for the 300 GB/day commitment tier
let CommitmentTier400Price = 704.; // Enter your price for the 400 GB/day commitment tier
let CommitmentTier500Price = 865.; // Enter your price for the 500 GB/day commitment tier
let CommitmentTier1000Price = 1700.; // Enter your price for the 1000 GB/day commitment tier
let CommitmentTier2000Price = 3320.; // Enter your price for the 2000 GB/day commitment tier
let CommitmentTier5000Price = 8050.; // Enter your price for the 5000 GB/day commitment tier
// ---------------------------------------
let SecurityDataTypes=dynamic(["SecurityAlert", "SecurityBaseline", "SecurityBaselineSummary", "SecurityDetection", "SecurityEvent", "WindowsFirewall", "MaliciousIPCommunication", "LinuxAuditLog", "SysmonEvent", "ProtectionStatus", "WindowsEvent", "Update", "UpdateSummary"]);
let StartDate = startofday(datetime_add("Day",-1*daysToEvaluate,now()));
let EndDate = startofday(now());
union *
| where TimeGenerated >= StartDate and TimeGenerated < EndDate
| extend computerName = tolower(tostring(split(Computer, '.')[0]))
| where computerName != ""
| summarize nodesPerHour = dcount(computerName) by bin(TimeGenerated, 1h)
| summarize nodesPerDay = sum(nodesPerHour)/24. by day=bin(TimeGenerated, 1d)
| join kind=leftouter (
Heartbeat
| where TimeGenerated >= StartDate and TimeGenerated < EndDate
| where Computer != ""
| summarize ASCnodesPerHour = dcount(Computer) by bin(TimeGenerated, 1h)
| extend ASCnodesPerHour = iff(workspaceHasSecurityCenter, ASCnodesPerHour, 0)
| summarize ASCnodesPerDay = sum(ASCnodesPerHour)/24. by day=bin(TimeGenerated, 1d)
) on day
| join (
Usage
| where TimeGenerated >= StartDate and TimeGenerated < EndDate
| where IsBillable == true
| extend NonSecurityData = iff(DataType !in (SecurityDataTypes), Quantity, 0.)
| extend SecurityData = iff(DataType in (SecurityDataTypes), Quantity, 0.)
| summarize DataGB=sum(Quantity)/1000., NonSecurityDataGB=sum(NonSecurityData)/1000., SecurityDataGB=sum(SecurityData)/1000. by day=bin(StartTime, 1d)
) on day
| extend AvgGbPerNode = NonSecurityDataGB / nodesPerDay
| extend OverageGB = iff(workspaceHasSecurityCenter,
max_of(DataGB - 0.5*nodesPerDay - 0.5*ASCnodesPerDay, 0.),
max_of(DataGB - 0.5*nodesPerDay, 0.))
| extend PerNodeDailyCost = nodesPerDay * PerNodePrice / 31. + OverageGB * PerNodeOveragePrice
| extend billableGB = iff(workspaceHasSecurityCenter,
(NonSecurityDataGB + max_of(SecurityDataGB - 0.5*ASCnodesPerDay, 0.)), DataGB )
| extend PerGBDailyCost = billableGB * PerGBPrice
| extend CommitmentTier100DailyCost = CommitmentTier100Price + max_of(billableGB - 100, 0.)* CommitmentTier100Price/100.
| extend CommitmentTier200DailyCost = CommitmentTier200Price + max_of(billableGB - 200, 0.)* CommitmentTier200Price/200.
| extend CommitmentTier300DailyCost = CommitmentTier300Price + max_of(billableGB - 300, 0.)* CommitmentTier300Price/300.
| extend CommitmentTier400DailyCost = CommitmentTier400Price + max_of(billableGB - 400, 0.)* CommitmentTier400Price/400.
| extend CommitmentTier500DailyCost = CommitmentTier500Price + max_of(billableGB - 500, 0.)* CommitmentTier500Price/500.
| extend CommitmentTier1000DailyCost = CommitmentTier1000Price + max_of(billableGB - 1000, 0.)* CommitmentTier1000Price/1000.
| extend CommitmentTier2000DailyCost = CommitmentTier2000Price + max_of(billableGB - 2000, 0.)* CommitmentTier2000Price/2000.
| extend CommitmentTier5000DailyCost = CommitmentTier5000Price + max_of(billableGB - 5000, 0.)* CommitmentTier5000Price/5000.
| extend MinCost = min_of(
PerNodeDailyCost,PerGBDailyCost,CommitmentTier100DailyCost,CommitmentTier200DailyCost,
CommitmentTier300DailyCost, CommitmentTier400DailyCost, CommitmentTier500DailyCost, CommitmentTier1000DailyCost, CommitmentTier2000DailyCost, CommitmentTier5000DailyCost)
| extend Recommendation = case(
MinCost == PerNodeDailyCost, "Per node tier",
MinCost == PerGBDailyCost, "Pay-as-you-go tier",
MinCost == CommitmentTier100DailyCost, "Commitment tier (100 GB/day)",
MinCost == CommitmentTier200DailyCost, "Commitment tier (200 GB/day)",
MinCost == CommitmentTier300DailyCost, "Commitment tier (300 GB/day)",
MinCost == CommitmentTier400DailyCost, "Commitment tier (400 GB/day)",
MinCost == CommitmentTier500DailyCost, "Commitment tier (500 GB/day)",
MinCost == CommitmentTier1000DailyCost, "Commitment tier (1000 GB/day)",
MinCost == CommitmentTier2000DailyCost, "Commitment tier (2000 GB/day)",
MinCost == CommitmentTier5000DailyCost, "Commitment tier (5000 GB/day)",
"Error"
)
| project day, nodesPerDay, ASCnodesPerDay, NonSecurityDataGB, SecurityDataGB, OverageGB, AvgGbPerNode, PerGBDailyCost, PerNodeDailyCost,
CommitmentTier100DailyCost, CommitmentTier200DailyCost, CommitmentTier300DailyCost, CommitmentTier400DailyCost, CommitmentTier500DailyCost, CommitmentTier1000DailyCost, CommitmentTier2000DailyCost, CommitmentTier5000DailyCost, Recommendation
| sort by day asc
//| project day, Recommendation // Comment this line to see details
| sort by day asc
Diese Abfrage spiegelt nicht exakt wider, wie der Verbrauch berechnet wird, bietet aber in den meisten Fällen Empfehlungen für einen Tarif.
Hinweis
Wenn Sie die Berechtigungen nutzen möchten, die Sie durch den Kauf der OMS E1-Suite, OMS E2-Suite oder des OMS-Add-Ons für System Center erwerben, wählen Sie den Tarif Pro Knoten für Log Analytics aus.
Nächste Schritte
- Eine Beschreibung der verschiedenen Arten von Azure Monitor-Gebühren und deren Analyse auf Ihrer Azure-Rechnung finden Sie unter Azure Monitor: Kosten und Nutzung.
- Unter Analysieren der Nutzung im Log Analytics-Arbeitsbereich finden Sie Einzelheiten zur Analyse der Daten in Ihrem Arbeitsbereich, um die Ursache für eine unerwartet hohe Nutzung zu ermitteln und Möglichkeiten zur Reduzierung der erfassten Datenmenge zu nutzen.
- Informationen zum Steuern Ihrer Kosten durch Konfigurieren eines maximalen Volumens, das jeden Tag in einem Arbeitsbereich erfasst werden kann, finden Sie unter Festlegen einer täglichen Obergrenze im Log Analytics-Arbeitsbereich.
- Bewährte Methoden zum Konfigurieren und Verwalten von Azure Monitor, um Ihre Kosten zu minimieren, finden Sie unter Bewährte Azure Monitor-Methoden: Kostenmanagement.