Delen via


Gebruik analyseren in een Log Analytics-werkruimte

Azure Monitor-kosten kunnen aanzienlijk variëren op basis van het aantal gegevens dat wordt verzameld in uw Log Analytics-werkruimte. Dit volume wordt beïnvloed door de set oplossingen die gebruikmaken van de werkruimte en de hoeveelheid gegevens die elke oplossing verzamelt. Dit artikel bevat richtlijnen voor het analyseren van uw verzamelde gegevens om u te helpen bij het beheren van de kosten voor gegevensopname. Hiermee kunt u bepalen wat de oorzaak is van een hoger dan verwacht gebruik. Het helpt u ook om uw kosten te voorspellen wanneer u meer resources bewaakt en verschillende Azure Monitor-functies configureert.

Tip

Zie Kostenoptimalisatie en Azure Monitor voor strategieën om uw Azure Monitor-kosten te verlagen.

Oorzaken voor hoger dan verwacht gebruik

Elke Log Analytics-werkruimte wordt in rekening gebracht als een afzonderlijke service en draagt bij aan de factuur voor uw Azure-abonnement. De hoeveelheid gegevensopname kan aanzienlijk zijn, afhankelijk van het volgende:

  • Set inzichten en services ingeschakeld en hun configuratie.
    • Het aantal en het type bewaakte resources.
    • Het volume van de gegevens die worden verzameld van elke bewaakte resource.

Een onverwachte toename van een van deze factoren kan leiden tot hogere kosten voor gegevensretentie. De rest van dit artikel bevat methoden voor het detecteren van een dergelijke situatie en vervolgens het analyseren van verzamelde gegevens om de bron van het toegenomen gebruik te identificeren en te beperken.

Waarschuwing verzenden wanneer het verzamelen van gegevens hoog is

Als u onverwachte facturen wilt voorkomen, moet u proactief op de hoogte worden gesteld wanneer u overmatig gebruik ondervindt. Met een melding kunt u mogelijke afwijkingen vóór het einde van uw factureringsperiode aanpakken.

Het volgende voorbeeld is een waarschuwingsregel voor zoeken in logboeken waarmee een waarschuwing wordt verzonden als het factureerbare gegevensvolume dat in de afgelopen 24 uur is opgenomen, groter is dan 50 GB. Wijzig de instelling Waarschuwingslogica om een andere drempelwaarde te gebruiken op basis van het verwachte gebruik in uw omgeving. U kunt ook de frequentie verhogen om het gebruik meerdere keren per dag te controleren, maar deze optie leidt tot hogere kosten voor de waarschuwingsregel.

Instelling Weergegeven als
Scope
Doelbereik Selecteer uw Log Analytics-werkruimte.
Condition
Query Usage | where IsBillable | summarize DataGB = sum(Quantity / 1000)
Meting Meting: DataGB
Aggregatietype: Totaal
Aggregatiegranulariteit: 1 dag
Waarschuwingslogica Operator: groter dan
Drempelwaarde: 50
Frequentie van evaluatie: 1 dag
Acties Selecteer of voeg een actiegroep toe om u op de hoogte te stellen wanneer de drempelwaarde wordt overschreden.
DETAILS
Ernst Waarschuwing
Naam van waarschuwingsregel Factureerbare gegevensvolume groter dan 50 GB in 24 uur.

Gebruiksanalyse in Azure Monitor

Start uw analyse met bestaande hulpprogramma's in Azure Monitor. Deze hulpprogramma's vereisen geen configuratie en kunnen vaak de informatie bieden die u nodig hebt met minimale inspanning. Als u meer analyse nodig hebt van uw verzamelde gegevens dan bestaande Azure Monitor-functies, gebruikt u een van de volgende logboekquery's in Log Analytics.

Azure Log Analytics-werkruimte-inzichten

Log Analytics Workspace Insights biedt u snel inzicht in de gegevens in uw werkruimte. U kunt bijvoorbeeld het volgende bepalen:

  • Gegevenstabellen die het meeste gegevensvolume opnemen in de hoofdtabel.
  • Belangrijkste resources die gegevens bijdragen.
  • Trend van gegevensopname.

Zie het tabblad Gebruik voor een uitsplitsing van opname per oplossing en tabel. Met deze informatie kunt u snel de tabellen identificeren die bijdragen aan het grootste deel van uw gegevensvolume. Het tabblad toont ook trending van gegevensverzameling in de loop van de tijd. U kunt bepalen of het verzamelen van gegevens in de loop van de tijd geleidelijk is toegenomen of plotseling is toegenomen als reactie op een configuratiewijziging.

Selecteer Aanvullende query's voor vooraf gemaakte query's waarmee u meer inzicht krijgt in uw gegevenspatronen.

Gebruik en geraamde kosten

In het diagram Gegevensopname per oplossing op de pagina Gebruik en geschatte kosten voor elke werkruimte ziet u het totale aantal verzonden gegevens en hoeveel er door elke oplossing in de afgelopen 31 dagen wordt verzonden. Deze informatie helpt u bij het bepalen van trends, zoals of een toename van het totale gegevensgebruik of gebruik door een bepaalde oplossing is.

Gegevensvolumes opvragen uit de tabel Gebruik

Analyseer de hoeveelheid factureerbare gegevens die zijn verzameld door een bepaalde service of oplossing. Deze query's maken gebruik van de tabel Gebruik die gebruiksgegevens verzamelt voor elke tabel in de werkruimte.

Notitie

De component met TimeGenerated is alleen om ervoor te zorgen dat de query-ervaring in Azure Portal na de standaard 24 uur terugkijkt. Wanneer u het gegevenstype StartTime Gebruik gebruikt en EndTime de tijdbuckets vertegenwoordigt waarvoor de resultaten worden weergegeven.

Factureerbare gegevensvolume per type in de afgelopen maand

Usage 
| where TimeGenerated > ago(32d)
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000. by bin(StartTime, 1d), DataType 
| render columnchart

Factureerbare gegevensvolume per oplossing en type in de afgelopen maand

Usage 
| where TimeGenerated > ago(32d)
| where StartTime >= startofday(ago(31d)) and EndTime < startofday(now())
| where IsBillable == true
| summarize BillableDataGB = sum(Quantity) / 1000 by Solution, DataType
| sort by Solution asc, DataType asc

Rechtstreeks query's uitvoeren op het gegevensvolume van de gebeurtenissen

U kunt logboekquery's in Log Analytics gebruiken als u dieper wilt analyseren in uw verzamelde gegevens. Elke tabel in een Log Analytics-werkruimte heeft de volgende standaardkolommen die u kunnen helpen bij het analyseren van factureerbare gegevens:

  • _IsBillable records identificeert waarvoor een opnamekosten in rekening worden gebracht. Gebruik deze kolom om niet-factureerbare gegevens te filteren.
  • _BilledSize biedt de grootte in bytes van de record.

Factureerbare gegevensvolume voor specifieke gebeurtenissen

Als u merkt dat een bepaald gegevenstype overmatige gegevens verzamelt, kunt u de gegevens in die tabel analyseren om bepaalde records te bepalen die toenemen. In dit voorbeeld worden specifieke gebeurtenis-id's in de Event tabel gefilterd en wordt vervolgens een telling voor elke id opgegeven. U kunt deze query wijzigen met behulp van de kolommen uit andere tabellen.

Event
| where TimeGenerated > startofday(ago(31d)) and TimeGenerated < startofday(now()) 
| where EventID == 5145 or EventID == 5156
| where _IsBillable == true
| summarize count(), Bytes=sum(_BilledSize) by EventID, bin(TimeGenerated, 1d)

Gegevensvolume per Azure-resource, resourcegroep of abonnement

U kunt de hoeveelheid factureerbare gegevens analyseren die zijn verzameld van een bepaalde resource of set resources. Deze query's maken gebruik van de kolommen _ResourceId en _SubscriptionId voor gegevens uit resources die worden gehost in Azure.

Waarschuwing

Gebruik zoekquery's spaarzaam omdat scans in verschillende gegevenstypen resource-intensief zijn om uit te voeren. Als u geen resultaten per abonnement, resourcegroep of resourcenaam nodig hebt, gebruikt u de tabel Gebruik zoals in de voorgaande query's.

Factureerbare gegevensvolume per resource-id voor de laatste volledige dag

find where TimeGenerated between(startofday(ago(1d))..startofday(now())) project _ResourceId, _BilledSize, _IsBillable
| where _IsBillable == true 
| summarize BillableDataBytes = sum(_BilledSize) by _ResourceId 
| sort by BillableDataBytes nulls last

Factureerbare gegevensvolume per resourcegroep voor de laatste volledige dag

find where TimeGenerated between(startofday(ago(1d))..startofday(now())) project _ResourceId, _BilledSize, _IsBillable
| where _IsBillable == true 
| summarize BillableDataBytes = sum(_BilledSize) by _ResourceId
| extend resourceGroup = tostring(split(_ResourceId, "/")[4] )
| summarize BillableDataBytes = sum(BillableDataBytes) by resourceGroup 
| sort by BillableDataBytes nulls last

Het kan handig zijn om het volgende te parseren _ResourceId:

| parse tolower(_ResourceId) with "/subscriptions/" subscriptionId "/resourcegroups/" 
    resourceGroup "/providers/" provider "/" resourceType "/" resourceName   

Factureerbare gegevensvolume per abonnement voor de laatste volledige dag

find where TimeGenerated between(startofday(ago(1d))..startofday(now())) project _BilledSize, _IsBillable, _SubscriptionId
| where _IsBillable == true 
| summarize BillableDataBytes = sum(_BilledSize) by _SubscriptionId 
| sort by BillableDataBytes nulls last

Tip

Voor werkruimten met grote gegevensvolumes moet het uitvoeren van query's, zoals de query's in deze sectie, die grote hoeveelheden onbewerkte gegevens opvragen, mogelijk worden beperkt tot één dag. Als u trends in de loop van de tijd wilt bijhouden, kunt u een Power BI-rapport instellen en incrementeel vernieuwen gebruiken om gegevensvolumes één keer per dag per resource te verzamelen.

Gegevensvolume per computer

U kunt de hoeveelheid factureerbare gegevens analyseren die zijn verzameld van een virtuele machine of een set virtuele machines. De tabel Gebruik heeft niet de granulariteit om gegevensvolumes voor specifieke virtuele machines weer te geven, dus deze query's gebruiken de zoekoperator om alle tabellen te doorzoeken die een computernaam bevatten. Het gebruikstype wordt weggelaten omdat deze query alleen is bedoeld voor analyse van gegevenstrends.

Waarschuwing

Gebruik zoekquery's spaarzaam omdat scans in verschillende gegevenstypen resource-intensief zijn om uit te voeren. Als u geen resultaten per abonnement, resourcegroep of resourcenaam nodig hebt, gebruikt u de tabel Gebruik zoals in de voorgaande query's.

Factureerbare gegevensvolume per computer voor de laatste volledige dag

find where TimeGenerated between(startofday(ago(1d))..startofday(now())) project _BilledSize, _IsBillable, Computer, Type
| where _IsBillable == true and Type != "Usage"
| extend computerName = tolower(tostring(split(Computer, '.')[0]))
| summarize BillableDataBytes = sum(_BilledSize) by  computerName 
| sort by BillableDataBytes desc nulls last

Aantal factureerbare gebeurtenissen per computer voor de laatste volledige dag

find where TimeGenerated between(startofday(ago(1d))..startofday(now())) project _IsBillable, Computer, Type
| where _IsBillable == true and Type != "Usage"
| extend computerName = tolower(tostring(split(Computer, '.')[0]))
| summarize eventCount = count() by computerName  
| sort by eventCount desc nulls last

Query's uitvoeren op algemene gegevenstypen

Als u merkt dat u overmatige factureerbare gegevens hebt voor een bepaald gegevenstype, moet u mogelijk een query uitvoeren om gegevens in die tabel te analyseren. De volgende query's bevatten voorbeelden voor enkele veelvoorkomende gegevenstypen:

Beveiligingsoplossing

SecurityEvent 
| summarize AggregatedValue = count() by EventID
| order by AggregatedValue desc nulls last

Logboekbeheeroplossing

Usage 
| where Solution == "LogManagement" and iff(isnotnull(toint(IsBillable)), IsBillable == true, IsBillable == "true") == true 
| summarize AggregatedValue = count() by DataType
| order by AggregatedValue desc nulls last

Perf-gegevenstype

Perf 
| summarize AggregatedValue = count() by CounterPath
Perf 
| summarize AggregatedValue = count() by CounterName

Gebeurtenisgegevenstype

Event 
| summarize AggregatedValue = count() by EventID
Event 
| summarize AggregatedValue = count() by EventLog, EventLevelName

Syslog-gegevenstype

Syslog 
| summarize AggregatedValue = count() by Facility, SeverityLevel
Syslog 
| summarize AggregatedValue = count() by ProcessName

AzureDiagnostics-gegevenstype

AzureDiagnostics 
| summarize AggregatedValue = count() by ResourceProvider, ResourceId

Application Insights-gegevens

Er zijn twee benaderingen voor het onderzoeken van de hoeveelheid gegevens die worden verzameld voor Application Insights, afhankelijk van of u een klassieke of op werkruimte gebaseerde toepassing hebt. Gebruik de _BilledSize eigenschap die beschikbaar is voor elke opgenomen gebeurtenis voor zowel werkruimte- als klassieke resources. U kunt ook geaggregeerde informatie gebruiken in de tabel systemEvents voor klassieke resources.

Notitie

Query's voor Application Insights-tabellen, met uitzondering SystemEventsvan, werken voor zowel een op een werkruimte gebaseerde als een klassieke Application Insights-resource. Met compatibiliteit met eerdere versies kunt u verouderde tabelnamen blijven gebruiken. Open Logboeken in het menu van de Log Analytics-werkruimte voor een resource op basis van een werkruimte . Open logboeken in het application insights-menu voor een klassieke resource.

Afhankelijkheidsbewerkingen genereren het meeste gegevensvolume in de afgelopen 30 dagen (op werkruimte gebaseerd of klassiek)

dependencies
| where timestamp >= startofday(ago(30d))
| summarize sum(_BilledSize) by operation_Name
| render barchart  

Dagelijks gegevensvolume per type voor deze Application Insights-resource voor de afgelopen 7 dagen (alleen klassiek)

systemEvents
| where timestamp >= startofday(ago(7d)) and timestamp < startofday(now())
| where type == "Billing"
| extend BillingTelemetryType = tostring(dimensions["BillingTelemetryType"])
| extend BillingTelemetrySizeInBytes = todouble(measurements["BillingTelemetrySize"])
| summarize sum(BillingTelemetrySizeInBytes) by BillingTelemetryType, bin(timestamp, 1d)  

Als u de trends voor gegevensvolumes voor Application Insights-resources op basis van een werkruimte wilt bekijken, gebruikt u een query die alle Application Insights-tabellen bevat. In de volgende query's worden de tabelnamen gebruikt die specifiek zijn voor resources op basis van een werkruimte.

Dagelijks gegevensvolume per type voor alle Application Insights-resources in een werkruimte gedurende 7 dagen

union AppAvailabilityResults,
      AppBrowserTimings,
      AppDependencies,
      AppExceptions,
      AppEvents,
      AppMetrics,
      AppPageViews,
      AppPerformanceCounters,
      AppRequests,
      AppSystemEvents,
      AppTraces
| where TimeGenerated >= startofday(ago(7d)) and TimeGenerated < startofday(now())
| summarize sum(_BilledSize) by _ResourceId, bin(TimeGenerated, 1d)

Als u de trends voor gegevensvolumes voor slechts één Application Insights-resource wilt bekijken, voegt u de volgende regel toe vóór summarize in de voorgaande query:

| where _ResourceId contains "<myAppInsightsResourceName>"

Tip

Voor werkruimten met grote gegevensvolumes moet het uitvoeren van query's zoals de voorgaande query's op grote hoeveelheden onbewerkte gegevens mogelijk één dag duren. Als u trends in de loop van de tijd wilt bijhouden, kunt u een Power BI-rapport instellen en incrementeel vernieuwen gebruiken om gegevensvolumes één keer per dag per resource te verzamelen.

Meer informatie over knooppunten die gegevens verzenden

Als u geen overmatige gegevens uit een bepaalde bron hebt, hebt u mogelijk een overmatig aantal agents die gegevens verzenden.

Aantal agentknooppunten die elke dag een heartbeat verzenden in de afgelopen maand

Heartbeat 
| where TimeGenerated > startofday(ago(31d))
| summarize nodes = dcount(Computer) by bin(TimeGenerated, 1d)    
| render timechart

Waarschuwing

Gebruik zoekquery's spaarzaam omdat scans in verschillende gegevenstypen resource-intensief zijn om uit te voeren. Als u geen resultaten per abonnement, resourcegroep of resourcenaam nodig hebt, gebruikt u de tabel Gebruik zoals in de voorgaande query's.

Aantal knooppunten dat gegevens verzendt in de afgelopen 24 uur

find where TimeGenerated > ago(24h) project Computer
| extend computerName = tolower(tostring(split(Computer, '.')[0]))
| where computerName != ""
| summarize nodes = dcount(computerName)

Gegevensvolume verzonden door elk knooppunt in de afgelopen 24 uur

find where TimeGenerated > ago(24h) project _BilledSize, Computer
| extend computerName = tolower(tostring(split(Computer, '.')[0]))
| where computerName != ""
| summarize TotalVolumeBytes=sum(_BilledSize) by computerName

Knooppunten gefactureerd door de verouderde prijscategorie per knooppunt

De verouderde prijscategorie Per Node factureert voor knooppunten met granulariteit per uur. Er worden ook geen knooppunten geteld die alleen een set beveiligingsgegevenstypen verzenden. Als u een lijst met computers wilt ophalen die worden gefactureerd als knooppunten als de werkruimte zich in de verouderde prijscategorie Per Node bevindt, zoekt u naar knooppunten die gefactureerde gegevenstypen verzenden, omdat sommige gegevenstypen gratis zijn. In dit geval gebruikt u het meest linkse veld van de volledig gekwalificeerde domeinnaam.

De volgende query's retourneren het aantal computers met gefactureerde gegevens per uur. Het aantal eenheden op uw factuur is in eenheden van knooppuntmaanden, die worden weergegeven in billableNodeMonthsPerDay de query. Als de werkruimte de updatebeheeroplossing heeft geïnstalleerd, voegt u de gegevenstypen Update en UpdateSummary toe aan de lijst in de where component.

find where TimeGenerated >= startofday(ago(7d)) and TimeGenerated < startofday(now()) project Computer, _IsBillable, Type, TimeGenerated
| where Type !in ("SecurityAlert", "SecurityBaseline", "SecurityBaselineSummary", "SecurityDetection", "SecurityEvent", "WindowsFirewall", "MaliciousIPCommunication", "LinuxAuditLog", "SysmonEvent", "ProtectionStatus", "WindowsEvent")
| extend computerName = tolower(tostring(split(Computer, '.')[0]))
| where computerName != ""
| where _IsBillable == true
| summarize billableNodesPerHour=dcount(computerName) by bin(TimeGenerated, 1h)
| summarize billableNodesPerDay = sum(billableNodesPerHour)/24., billableNodeMonthsPerDay = sum(billableNodesPerHour)/24./31.  by day=bin(TimeGenerated, 1d)
| sort by day asc

Notitie

Enige complexiteit in het werkelijke factureringsalgoritme wanneer het doel van de oplossing wordt gebruikt, wordt niet weergegeven in de voorgaande query.

Gegevens die te laat binnenkomen

Als u hoge gegevensopname bekijkt die wordt gerapporteerd met behulp van Usage records, maar u niet dezelfde resultaten ziet die rechtstreeks op het gegevenstype worden opgeteld _BilledSize , is het mogelijk dat u gegevens hebt die te laat binnenkomen. Deze situatie treedt op wanneer gegevens worden opgenomen met oude tijdstempels.

Een agent kan bijvoorbeeld een verbindingsprobleem hebben en samengevoegde gegevens verzenden wanneer deze opnieuw verbinding maakt. Of een host heeft mogelijk een onjuiste tijd. Beide voorbeelden kunnen leiden tot een duidelijke discrepantie tussen de opgenomen gegevens die zijn gerapporteerd door het gegevenstype Gebruik en een query die _BilledSize optelt voor de onbewerkte gegevens voor een bepaalde dag die is opgegeven door TimeGenerated, de tijdstempel toen de gebeurtenis werd gegenereerd.

Gebruik de _TimeReceived-kolom en de kolom TimeGenerated om late binnenkomende gegevensproblemen vast te stellen. De _TimeReceived eigenschap is het tijdstip waarop de record is ontvangen door het Azure Monitor-opnamepunt in de Azure-cloud.

Het volgende voorbeeld is in reactie op hoge opgenomen gegevensvolumes van W3CIISLog-gegevens op 2 mei 2021 om de tijdstempels voor deze opgenomen gegevens te identificeren. De where TimeGenerated > datetime(1970-01-01) instructie is opgenomen om de aanwijzing te geven voor de Log Analytics-gebruikersinterface om alle gegevens te bekijken.

W3CIISLog
| where TimeGenerated > datetime(1970-01-01)
| where _TimeReceived >= datetime(2021-05-02) and _TimeReceived < datetime(2021-05-03) 
| where _IsBillable == true
| summarize BillableDataMB = sum(_BilledSize)/1.E6 by bin(TimeGenerated, 1d)
| sort by TimeGenerated asc 

Volgende stappen

  • Zie prijzen van Azure Monitor-logboeken voor informatie over hoe kosten worden berekend voor gegevens in een Log Analytics-werkruimte en verschillende configuratieopties om uw kosten te verlagen.
  • Zie Azure Monitor-kosten en -gebruik voor een beschrijving van de verschillende typen Azure Monitor-kosten en hoe u deze kunt analyseren op uw Azure-factuur.
  • Zie best practices voor Azure Monitor: kostenbeheer voor aanbevolen procedures voor het configureren en beheren van Azure Monitor om uw kosten te minimaliseren.
  • Zie Transformaties voor gegevensverzameling in Azure Monitor (preview) voor informatie over het gebruik van transformaties om de hoeveelheid gegevens te verminderen die u in een Log Analytics-werkruimte hebt verzameld door ongewenste records en kolommen te filteren.