Impostare il limite giornaliero per l'area di lavoro Log Analytics

Un limite giornaliero per un'area di lavoro Log Analytics consente di evitare aumenti imprevisti degli addebiti per l'inserimento dei dati arrestando la raccolta di dati fatturabili per il resto del giorno ogni volta che viene raggiunta una soglia specificata. Questo articolo descrive il funzionamento del limite massimo giornaliero e come configurare uno nell'area di lavoro.

Importante

È consigliabile prestare attenzione quando si imposta un limite massimo giornaliero perché quando la raccolta dati si arresta, la possibilità di osservare e ricevere avvisi quando le condizioni di integrità delle risorse saranno interessate. Può influire su altri servizi e soluzioni di Azure la cui funzionalità può dipendere da dati aggiornati disponibili nell'area di lavoro. L'obiettivo non deve essere raggiungere regolarmente il limite giornaliero, ma usarlo come metodo poco frequente per evitare addebiti non pianificati risultanti da un aumento imprevisto del volume di dati raccolti.

Per le strategie per ridurre i costi di Monitoraggio di Azure, vedere Ottimizzazione dei costi e Monitoraggio di Azure.

Autorizzazioni obbligatorie

Azione Autorizzazioni o ruoli necessari
Impostare il limite massimo giornaliero in un'area di lavoro di Log Analytics Le autorizzazioni Microsoft.OperationalInsights/workspaces/write per le aree di lavoro di Log Analytics in cui si ha stabilito il limite massimo giornaliero, come specificato dal ruolo predefinito Collaboratore Log Analytics, ad esempio.
Impostare il limite massimo giornaliero per una risorsa classica di Application Insights Le autorizzazioni microsoft.insights/components/CurrentBillingFeatures/write per le risorse classiche di Application Insights in cui si ha stabilito il limite massimo giornaliero, come specificato dal ruolo predefinito Collaboratore per i componenti di Application Insights, ad esempio.
Creare un avviso quando viene raggiunto il limite massimo giornaliero per un'area di lavoro di Log Analytics Le autorizzazioni microsoft.insights/scheduledqueryrules/write, come specificato dal ruolo predefinito Collaboratore per il monitoraggio, ad esempio
Creare un avviso quando viene raggiunto il limite massimo giornaliero per una risorsa classica di Application Insights Le autorizzazioni microsoft.insights/activitylogalerts/write, come specificato dal ruolo predefinito Collaboratore per il monitoraggio, ad esempio
Visualizzare l'effetto del limite massimo giornaliero Autorizzazioni Microsoft.OperationalInsights/workspaces/query/*/read per le aree di lavoro Log Analytics su cui si esegue la query, ad esempio le autorizzazioni fornite dal ruolo predefinito Lettore di Log Analytics.

Funzionamento del limite massimo giornaliero

Ogni area di lavoro ha un limite massimo giornaliero che definisce il proprio limite di volume di dati. Quando si raggiunge il limite massimo giornaliero, nella parte superiore della pagina per l'area di lavoro di Log Analytics selezionata nel portale di Azure viene visualizzato un banner di avviso e viene inviato un evento di tipo operazione alla tabella Operazione nella categoria LogManagement. Facoltativamente, è possibile creare una regola di avviso per inviare un avviso al momento della creazione di questo evento.

Le dimensioni dei dati usate per il limite massimo giornaliero sono le dimensioni dopo le trasformazioni dei dati definite dal cliente. (altre informazioni sulle trasformazioni dei dati nelle Regole di raccolta dati).

La raccolta dei dati viene ripresa all'ora di reimpostazione, ovvero un'ora differente del giorno per ogni area di lavoro. Non è possibile configurare questa ora di reimpostazione. Facoltativamente, è possibile creare una regola di avviso per inviare un avviso al momento della creazione di questo evento.

Nota

Il limite massimo giornaliero non può arrestare la raccolta dei dati esattamente a livello di limite specificato e alcuni dati in eccesso sono previsti. La raccolta di dati oltre il limite massimo giornaliero può essere particolarmente elevata se l'area di lavoro riceve frequenze elevate di dati. Se vengono raccolti dati oltre il limite, verranno comunque fatturati. Vedere Visualizzare l'effetto del limite massimo giornaliero per una query utile per studiare il comportamento del limite massimo giornaliero.

Quando usare un limite massimo giornaliero

I limiti giornalieri vengono in genere usati dalle organizzazioni particolarmente consapevoli dei costi. Non devono essere usati come metodo per ridurre i costi, ma piuttosto come misura preventiva per garantire che non si superi un determinato budget.

Quando la raccolta dei dati si arresta, non è effettivamente disponibile alcun monitoraggio delle funzionalità e delle risorse che si basano su tale area di lavoro. Invece di basarsi solo sul limite massimo giornaliero, è possibile creare una regola di avviso per notificare quando la raccolta dati raggiunge un certo livello prima del limite massimo giornaliero. La notifica consente di risolvere eventuali aumenti prima dell'arresto della raccolta dati o anche di disabilitare temporaneamente la raccolta per risorse meno critiche.

Application Insights

È consigliabile configurare l'impostazione del limite massimo giornaliero per Application Insights e Log Analytics per limitare la quantità di dati di telemetria inseriti dal servizio. Per le risorse di Application Insights basate sull'area di lavoro, il limite massimo giornaliero effettivo è il minimo delle due impostazioni. Per le risorse classiche di Application Insights, si applica solo il limite massimo giornaliero di Application Insights perché i dati non si trovano in un'area di lavoro di Log Analytics.

Suggerimento

Se si è preoccupati della quantità di dati fatturabili raccolti da Application Insights, è consigliabile configurare il campionamento per ottimizzare il volume dei dati al livello desiderato. Usare il limite giornaliero come misura di sicurezza nel caso in cui l'applicazione inizi a inviare volumi più elevati di dati di telemetria in modo imprevisto.

Il limite massimo per una risorsa classica di Application Insights è di 1.000 GB al giorno, a meno che non si richieda un massimo più alto per un'applicazione ad alto traffico. Quando si crea una risorsa nel portale di Azure, il limite massimo giornaliero viene impostato su 100 GB al giorno. Quando si crea una risorsa in Visual Studio, l'impostazione predefinita è piccola (solo 32,3 MB/giorno). Il valore predefinito del limite di utilizzo giornaliero è impostato per semplificare le operazioni di test. È opportuno che l'utente aumenti il limite di utilizzo giornaliero prima di distribuire l'app nell'ambiente di produzione.

Nota

Se si usano stringhe di connessione per inviare dati ad Application Insights usando endpoint di inserimento a livello di area, le impostazioni relative al limite massimo giornaliero di Application Insights e Log Analytics sono valide per ogni area. Se si usa solo la chiave di strumentazione (ikey) per inviare dati ad Application Insights usando l'endpoint di inserimento globale, l'impostazione del limite massimo giornaliero di Application Insights potrebbe non essere efficace in più aree; tuttavia, l'impostazione del limite massimo giornaliero di Log Analytics verrà comunque applicata.

La restrizione è stata rimossa per alcuni tipi di sottoscrizione con un credito che non poteva essere usato per Application Insights. In precedenza, se alla sottoscrizione era associato un limite di spesa, nella finestra di dialogo relativa al limite di utilizzo giornaliero erano presenti istruzioni per rimuoverlo e abilitare l'aumento del limite di utilizzo giornaliero oltre 32,3 MB al giorno.

Determinare il limite massimo giornaliero

Per determinare un limite massimo giornaliero appropriato per l'area di lavoro, vedere Costi e utilizzo di Monitoraggio di Azure per comprendere le tendenze di inserimento dei dati. È anche possibile esaminare Analizzare l'utilizzo nell'area di lavoro di Log Analytics che fornisce metodi per analizzare in modo più dettagliato l'utilizzo dell'area di lavoro.

Aree di lavoro Microsoft Defender per il cloud

Importante

A partire dal 18 settembre 2023, Monitoraggio di Azure raggiunge tutti i tipi di dati fatturabili
quando viene raggiunto il limite massimo giornaliero. Non esiste alcun comportamento speciale per i tipi di dati quando Microsoft Defender per server è abilitato nell'area di lavoro. Questa modifica migliora la capacità di contenere completamente i costi derivanti dall'inserimento dei dati superiore al previsto. Se è impostato un limite massimo giornaliero in un'area di lavoro in cui è abilitato Microsoft Defender per server, assicurarsi che il limite sia sufficientemente elevato per supportare questa modifica. Assicurarsi inoltre di impostare un avviso (vedere di seguito) in modo da ricevere una notifica non appena viene soddisfatto il limite massimo giornaliero.

Fino al 18 settembre 2023, se un'area di lavoro ha abilitato la soluzione Microsoft Defenders per i server dopo il 19 giugno 2017, alcuni tipi di dati correlati alla sicurezza vengono raccolti per Microsoft Defender per il cloud o Microsoft Sentinel nonostante qualsiasi limite massimo giornaliero configurato. I tipi di dati seguenti saranno soggetti a questa eccezione speciale dal limite massimo giornaliero WindowsEvent, SecurityAlert, SecurityBaseline, SecurityBaselineSummary, SecurityDetection, SecurityEvent, WindowsFirewall, MaliciousIPCommunication, LinuxAuditLog, SysmonEvent, ProtectionStatus, Update, UpdateSummary, CommonSecurityLog e Syslog

Impostare il limite giornaliero

area di lavoro Log Analytics

Per impostare o modificare il limite giornaliero per un'area di lavoro Log Analytics nel portale di Azure:

  1. Nel menu Aree di lavoro di Log Analytics selezionare l'area di lavoro e successivamente Utilizzo e costi stimati.
  2. Nella parte superiore della pagina, selezionare Limite giornaliero.
  3. Fare clic su ON per abilitarlo e impostare il limite di volume di dati in GB/giorno.

Configurazione della soglia dei dati in Log Analytics

Nota

L'ora di reimpostazione per l'area di lavoro viene visualizzata, ma non può essere configurata.

Per configurare il limite massimo giornaliero con Azure Resource Manager, impostare il parametro dailyQuotaGb in WorkspaceCapping come descritto in Aree di lavoro - Creare o aggiornare.

Risorsa di Application Insights classica

Per impostare o modificare il limite massimo giornaliero per una risorsa classica di Application Insights nel portale di Azure:

  1. Nel menu Monitoraggio selezionare Applicazioni, l'applicazione desiderata e Utilizzo e costi stimati.
  2. Nella parte superiore della pagina selezionare Limite dati.
  3. Impostare il limite del volume di dati in GB/giorno.
  4. Se si desidera inviare un messaggio di posta elettronica all'amministratore della sottoscrizione quando viene raggiunto il limite giornaliero, selezionare tale opzione.
  5. Impostare il livello di avviso limite massimo giornaliero in percentuale del limite di volume di dati.
  6. Se si desidera inviare un messaggio di posta elettronica all'amministratore della sottoscrizione quando viene raggiunto il livello di avviso limite massimo giornaliero, selezionare tale opzione.

Application Insights configura il limite di dati

Per configurare il limite massimo giornaliero con Azure Resource Manager, impostare i parametri dailyQuota, dailyQuotaResetTime e warningThreshold come descritto in Aree di lavoro - Creare o aggiornare.

Avvisa al raggiungimento del limite massimo giornaliero

Quando viene raggiunto il limite massimo giornaliero per un'area di lavoro di Log Analytics, viene visualizzato un banner nel portale di Azure e viene scritto un evento nella tabella Operations nell'area di lavoro. È consigliabile creare una regola di avviso per notificare in modo proattivo quando si verifica questa situazione.

Per ricevere un avviso quando viene raggiunto il limite massimo giornaliero, creare una regola di avviso di ricerca log con i dettagli seguenti.

Impostazione Valore
Scope
Ambito target Selezionare l'area di lavoro Log Analytics.
Condizione
Tipo di segnale Log
Nome segnale Ricerca log personalizzata
Query _LogOperation | where Category =~ "Ingestion" | where Detail contains "OverQuota"
Misura Misura: righe di tabella
Tipo di aggregazione: Conteggio
Granularità aggregazione: 5 minuti
Logica avvisi Operatore: Maggiore di
Valore soglia: 0
Frequenza della valutazione: 5 minuti
Azioni Selezionare o aggiungere un gruppo di azioni per notificare quando viene superata la soglia.
Dettagli
Gravità Avviso
Nome regola di avviso Soglia dei dati giornaliera raggiunta

Risorsa di Application Insights classica

Quando il limite massimo giornaliero è raggiunto per una risorsa classica di Application Insights, viene creato un evento nel log attività di Azure con i nomi di segnale seguenti. È anche possibile inviare un messaggio di posta elettronica all'amministratore della sottoscrizione quando viene raggiunto il limite massimo e quando è stata raggiunta una percentuale specificata del limite massimo giornaliero.

  • È stata raggiunta la soglia di avviso del limite giornaliero per il componente Application Insights
  • È stato raggiunto il limite giornaliero per il componente Application Insights

Per creare un avviso quando viene raggiunto il limite massimo giornaliero, creare una regola di avviso del log attività con i dettagli seguenti.

Impostazione Valore
Scope
Ambito target Selezionare l'applicazione.
Condizione
Tipo di segnale Log attività
Nome segnale È stato raggiunto il limite giornaliero per il componente Application Insights
O
È stata raggiunta la soglia di avviso del limite giornaliero per il componente Application Insights
Gravità Avviso
Nome regola di avviso Soglia dei dati giornaliera raggiunta

Visualizzare l'effetto del limite massimo giornaliero

È possibile usare la query seguente per tenere traccia dei volumi di dati soggetti al limite massimo giornaliero per un'area di lavoro di Log Analytics tra la reimpostazione del limite massimo giornaliero. In questo esempio l'ora di reimpostazione dell'area di lavoro è 14:00. Modificare DailyCapResetHour in modo che corrisponda all'ora di reimpostazione dell'area di lavoro che è possibile visualizzare nella pagina di configurazione del limite giornaliero.

let DailyCapResetHour=14;
Usage
| where TimeGenerated > ago(32d)
| extend StartTime=datetime_add("hour",-1*DailyCapResetHour,StartTime)
| where StartTime > startofday(ago(31d))
| where IsBillable
| summarize IngestedGbBetweenDailyCapResets=sum(Quantity)/1000. by day=bin(StartTime , 1d) // Quantity in units of MB
| render areachart  

Aggiungere i tipi di dati Update e UpdateSummary alla riga where Datatype quando la soluzione Gestione aggiornamenti non è in esecuzione nell'area di lavoro o nella destinazione della soluzione è abilitata (altre informazioni).

Passaggi successivi