Definir um limite diário no workspace do Log Analytics

Um limite diário em um workspace do Log Analytics permite evitar aumentos inesperados nos encargos de ingestão de dados, interrompendo a coleta de dados faturáveis pelo resto do dia sempre que um limite especificado for atingido. Este artigo descreve como funciona o limite diário e como configurá-lo no workspace.

Importante

Você deve ter cuidado ao definir um limite diário porque, quando a coleta de dados for interrompida, sua capacidade de observar e receber alertas sobre as condições de integridade de seus recursos será afetada. Isso também pode afetar outros serviços e soluções do Azure cuja funcionalidade pode depender de dados atualizados no workspace. Sua meta não deve ser atingir regularmente o limite diário, mas usá-lo como um método pouco frequente para evitar encargos não planejados resultantes de um aumento inesperado no volume de dados coletados.

Para ver estratégias que reduzem os custos do Azure Monitor, confira Otimização de custos e o Azure Monitor.

Permissões necessárias

Ação Permissões ou função necessárias
Definir o limite diário em um workspace do Log Analytics Permissões Microsoft.OperationalInsights/workspaces/write para os espaços de trabalho do Log Analytics nos quais você definiu o limite diário, conforme fornecido pela função integrada Colaborador do Log Analytics, por exemplo.
Defina o limite diário de um recurso clássico do Application Insights Permissões microsoft.insights/components/CurrentBillingFeatures/write para os recursos clássicos do Application Insights nos quais você definiu o limite diário, conforme fornecido pela função integrada Colaborador do Componente do Application Insights, por exemplo.
Crie um alerta quando o limite diário de um workspace do Log Analytics for atingido As permissões microsoft.insights/scheduledqueryrules/write, conforme fornecidas pela função interna Colaborador de Monitoramento, por exemplo
Crie um alerta quando o limite diário para um recurso clássico do Application Insights é atingido As permissões microsoft.insights/activitylogalerts/write, conforme fornecidas pela função interna do Colaborador de Monitoramento, por exemplo
Exibir o efeito do limite diário Permissões Microsoft.OperationalInsights/workspaces/query/*/read para os workspaces do Log Analytics que você consulta, conforme fornecido pela função integrada Leitor do Log Analytics, por exemplo.

Como funciona o limite diário

Cada workspace tem um limite diário que define seu próprio limite de volume de dados. Quando um limite diário é afetado, uma faixa de aviso aparece na parte superior da página do workspace do Log Analytics selecionado no portal do Azure, e um evento de operação é enviado para a tabela Operação na categoria LogManagement. Opcionalmente, você pode criar uma regra de alerta para enviar um alerta quando esse evento for criado.

O tamanho dos dados usados para o limite diário é o tamanho após transformações de dados definidas pelo cliente. (Saiba mais sobre transformações de dados em Regras de Coleta de Dados.)

A coleta de dados é retomada no momento da redefinição, que é uma hora diferente do dia para cada workspace. Essa hora de redefinição não pode ser configurada. Opcionalmente, você pode criar uma regra de alerta para enviar um alerta quando esse evento for criado.

Observação

O limite diário não pode interromper a coleta de dados exatamente no nível de limite especificado, e alguns dados em excesso são esperados. A coleta de dados além do limite diário pode ser particularmente grande se o workspace estiver recebendo altas taxas de dados. Se os dados são coletados acima do limite, eles continuam sendo cobrados. Confira Exibir o efeito do limite diário para uma consulta útil para o estudo do comportamento do limite diário.

Quando usar um limite diário

Os limites diários são normalmente usados por organizações particularmente preocupadas com custos. Ele não deve ser usado como um método para reduzir custos, mas como uma medida preventiva que garante que você não exceda um determinado orçamento.

Quando a coleta de dados é interrompida, você não tem monitoramento efetivo dos recursos que dependem do workspace. Em vez de confiar apenas no limite diário, crie uma regra de alerta para receber uma notificação quando a coleta de dados atingir algum nível antes desse limite. As notificações permitem lidar com quaisquer aumentos antes que a coleta de dados seja encerrada ou até mesmo desabilitá-la temporariamente para recursos menos críticos.

Application Insights

Você deve definir a configuração de limite diário do Application Insights e o Log Analytics para limitar a quantidade de dados de telemetria ingeridos pelo seu serviço. Para os recursos do Application Insights baseados em espaço de trabalho, o limite diário efetivo é o mínimo das duas configurações. Para os recursos clássicos do Application Insights, apenas o limite diário do Application Insights se aplica, pois seus dados não residem em um workspace do Log Analytics.

Dica

Se você estiver preocupado com a quantidade de dados faturáveis coletados pelo Application Insights, configure a amostragem para ajustar seu volume de dados para o nível desejado. Use o limite diário como método de segurança, caso seu aplicativo comece a enviar inesperadamente volumes muito mais altos de telemetria.

O limite máximo para um recurso clássico do Application Insights é 1.000 GB/dia, a menos que você solicite um número máximo maior para um aplicativo com alto tráfego. Quando você cria um recurso no portal do Microsoft Azure, o limite diário é definido como 100 GB/dia. Quando você cria um recurso no Visual Studio, o padrão é pequeno (somente 32,3 MB/dia). O padrão de limite diário é definido para facilitar o teste. O propósito dele é que o usuário irá gerar o limite diário antes de colocar o aplicativo em produção.

Observação

Se estiver usando cadeias de conexão para enviar dados para o Application Insights usando pontos de extremidade regionais de ingestão, as configurações diárias de limite do Application Insights e do Log Analytics entrarão em vigor por região. Se você estiver usando apenas a chave de instrumentação (ikey) para enviar dados para o Application Insights usando o ponto de extremidade de ingestão global, a configuração de limite diário do Application Insights pode não ser eficaz em todas as regiões, mas a configuração de limite diário do Log Analytics ainda será aplicada.

Removemos a restrição de alguns tipos de assinatura com crédito que não pôde ser usado no Application Insights. Anteriormente, se a assinatura tivesse um limite de gastos, a caixa de diálogo de limite diário teria instruções sobre como remover esse limite e permitir que ele fosse aumentado para mais de 32,3 MB/dia.

Determinar seu limite diário

Para ajudá-lo a determinar um limite diário apropriado para o workspace, consulte Custo e o uso do Azure Monitor para entender suas tendências de ingestão de dados. Você também pode rever Analisar o uso no workspace do Log Analytics, que fornece métodos para analisar o uso do workspace com mais detalhes.

Workspaces com o Microsoft Defender para Nuvem

Importante

A partir de 18 de setembro de 2023, o Azure Monitor limitará todos os tipos de dados faturáveis
quando o limite diário for atendido. Não há nenhum comportamento especial para tipos de dados quando Microsoft Defender para servidores estiver habilitado em seu workspace. Essa mudança melhora sua capacidade de conter totalmente os custos da ingestão de dados acima do esperado. Se você tiver um limite diário definido em um espaço de trabalho que tenha o Microsoft Defender para servidores habilitado, certifique-se de que o limite seja alto o suficiente para acomodar essa alteração. Além disso, certifique-se de definir um alerta (veja abaixo) para que você seja notificado assim que seu limite diário for atingido.

Até 18 de setembro de 2023, se um workspace habilitou a solução Microsoft Defender para servidores após 19 de junho de 2017, alguns tipos de dados relacionados à segurança são coletados pelo Microsoft Defender para Nuvem ou Microsoft Sentinel, independentemente de qualquer limite diário configurado. Os seguintes tipos de dados estarão sujeitos a esta exceção especial de limite diário: WindowsEvent, SecurityAlert, SecurityBaseline, SecurityBaselineSummary, SecurityDetection, SecurityEvent, WindowsFirewall, MaliciousIPCommunication, LinuxAuditLog, SysmonEvent, ProtectionStatus, Update, UpdateSummary, CommonSecurityLog e Syslog

Definir o limite diário

Espaço de trabalho do Log Analytics

Para definir ou alterar o limite diário de um workspace do Log Analytics no portal do Azure:

  1. No menu Workspaces do Log Analytics, selecione o workspace e, em seguida, Uso e custos estimados.
  2. Selecione Limite Diário no topo da página.
  3. Selecione ATIVADO e defina o limite de volume de dados em GB/dia.

Configuração do limite de dados do Log Analytics

Observação

A hora de redefinição do workspace é exibida, mas não pode ser configurada.

Para configurar o limite diário com o Resource Manager do Azure, defina o parâmetro dailyQuotaGb em WorkspaceCapping conforme descrito em Workspaces - Criar ou Atualizar.

Recurso clássico do Application Insights

Para definir ou alterar o limite diário de um recurso clássico do Application Insights no portal do Azure:

  1. No menu Monitorar, selecione Aplicativos, seu aplicativo e, em seguida, Uso e custos estimados.
  2. Selecione o Limite de Dados na parte superior da página.
  3. Defina o limite de volume de dados em GB/dia.
  4. Se quiser enviar um email para o administrador da assinatura quando o limite diário for atingido, selecione essa opção.
  5. Defina o nível de aviso do limite diário em um percentual do limite do volume de dados.
  6. Se quiser enviar um email para o administrador da assinatura quando o nível de aviso do limite diário for atingido, selecione essa opção.

Configuração do limite de dados no Application Insights

Para configurar o limite diário com o Azure Resource Manager, defina os parâmetros dailyQuota, dailyQuotaResetTime e warningThreshold conforme descrito em Workspaces - Criar ou Atualizar.

Alertar quando o limite diário for alcançado

Quando o limite diário é atingido para um workspace do Log Analytics, uma faixa é exibida no portal do Azure e um evento é gravado na tabela Operações no workspace. Você deve criar uma regra de alerta para notificá-lo proativamente quando isso ocorrer.

Para receber um alerta quando o limite diário for atingido, crie uma regra de alerta de pesquisa de log com os detalhes a seguir.

Configuração Valor
Escopo
Escopo de destino Selecione seu espaço de trabalho do Log Analytics.
Condição
Tipo de sinal Registro
Nome do sinal Pesquisa de logs personalizada
Consulta _LogOperation | where Category =~ "Ingestion" | where Detail contains "OverQuota"
Medida Medida: Linhas da tabela
Tipo de agregação: contagem
Granularidade de agregação: 5 minutos
Lógica de alerta Operador: Maior que
Valor do limite: 0
Frequência de avaliação: cinco minutos
Ações Selecione ou adicione um grupo de ações para receber notificações quando o limite for excedido.
Detalhes
Severidade Aviso
Nome da regra de alerta Limite diário de dados atingido

Recurso clássico do Application Insights

Quando o limite diário é acessado para um recurso clássico do Application Insights, um evento é criado no log de atividades do Azure com os seguintes nomes de sinal. Opcionalmente, você também pode enviar um email para o administrador da assinatura quando o limite for atingido e quando um percentual especificado do limite diário for atingido.

  • Foi atingido o limite de aviso de limite diário do componente do Application Insights
  • Foi atingido o limite diário do componente do Application Insights

Para criar um alerta quando o limite diário for atingido, crie uma regra de alerta do log de atividades com os detalhes a seguir.

Configuração Valor
Escopo
Escopo de destino Selecione seu aplicativo.
Condição
Tipo de sinal Log de Atividade
Nome do sinal Foi atingido o limite diário do componente do Application Insights
Ou
Foi atingido o limite de aviso de limite diário do componente do Application Insights
Severidade Aviso
Nome da regra de alerta Limite diário de dados atingido

Exibir o efeito do limite diário

A consulta a seguir pode ser usada para acompanhar os volumes de dados sujeitos ao limite diário para um workspace do Log Analytics entre as redefinições de limite diário. Neste exemplo, a hora de redefinição do workspace é 14:00. Altere DailyCapResetHour para corresponder à hora de redefinição do workspace que você pode ver na página de configuração do Limite Diário.

let DailyCapResetHour=14;
Usage
| where TimeGenerated > ago(32d)
| extend StartTime=datetime_add("hour",-1*DailyCapResetHour,StartTime)
| where StartTime > startofday(ago(31d))
| where IsBillable
| summarize IngestedGbBetweenDailyCapResets=sum(Quantity)/1000. by day=bin(StartTime , 1d) // Quantity in units of MB
| render areachart  

Adicione os tipos de dados Update e UpdateSummary à linha where Datatype quando a solução Gerenciamento de Atualizações não estiver em execução no workspace ou quando o direcionamento da solução estiver habilitado (saiba mais).

Próximas etapas

  • Consulte Detalhes de preços dos logs do Azure Monitor para obter detalhes sobre como os encargos são calculados para dados em um workspace do Log Analytics e diferentes opções de configuração para reduzir seus encargos.
  • Consulte Detalhes de preços dos logs do Azure Monitor para obter detalhes sobre como os encargos são calculados para dados em um workspace do Log Analytics e diferentes opções de configuração para reduzir seus encargos.
  • Consulte Analisar o uso no workspace do Log Analytics para obter detalhes sobre como analisar os dados no workspace a fim de determinar a origem de qualquer uso maior do que o esperado e oportunidades para reduzir a quantidade de dados coletados.