如何在 OMS Log Analytics 使用量高於預期時收到通知

摘要：此篇將說明如何在您  Log Analytics 使用量超出預期額度時收到通知。

新的Usage View

2016年9月中旬，我們更新了 Log Analytics 中的 Usage view，以便讓您可以更深入地了解發送到 Log Analytics 的數據量，並且知道哪一個解決方案和計算機傳送的數據最多。使用數據按小時計算，可從search 中獲得，這讓您可以更容易地執行 analysis 和 correlations。

畫面中提供您的信息包含：

• 有多少數據發送到 Log Analytics，且是由那些計算機發送的
• 每個解決方案發送多少數據
• 有多少數據量與計算機無關
• 哪些計算機正在發送數據，和哪些計算機最近未發送數據
• 每個 OMS offers (Insight & Analytics、Automation & Control、和 Security & Compliance) 中，有多少節點在發送數據
• Log Analytics 需要多長時間讓數據變成可被搜尋到

這些圖讓使用者可以輕鬆理解發送到 Log Analytics 的數據，但若您想預測您的使用量，該如何做呢?

查詢以便顯示使用率

以下指令的查詢結果將告訴我過去24小時內發送了多少 GB 的數據：

Type=Usage QuantityUnit=MBytes IsBillable=true TimeGenerated > NOW-24HOURS | measure sum(div(Quantity,1024)) as DataGB by Type

那如果我根據過去3小時內發送的數據預測一天的數據量呢?以下指令加總了近3小時內發送的數據，乘以8(估計當天的使用量)，然後除以1024(將 MB 轉換為 GB)

Type=Usage QuantityUnit=MBytes IsBillable=true TimeGenerated > NOW-3HOURS | measure sum(div(mul(Quantity,8),1024)) as EstimatedGB by Type

這兩個查詢指令讓您可以知道：

• 我過去24小時實際的使用情形
• 估計我接下來24小時的使用情形

建立警報

我們假設您希望每天向 Log Analytics 發送100GB的數據，並且您想知道是否發送了超過100GB，或者您期望在一天內發送超過100GB的數據。

因為我們要建立警報，所以我們可以稍微修改上述查詢指令：刪除 TimeGenerated 部分，以便我們可以用 alert 的 alert time window 來控制時間範圍。接著，添加 where 指令以便在我們有超過100GB數據量時返回結果，修改後的查詢指令如下：

Type=Usage QuantityUnit=MBytes IsBillable=true | measure sum(div(Quantity,1024)) as DataGB by Type | where DataGB > 100

Type=Usage QuantityUnit=MBytes IsBillable=true | measure sum(div(mul(Quantity,8),1024)) as EstimatedGB by Type | where EstimatedGB > 100

若想在達到其他數據量時發出警示訊息，請將上述指令中的100更改為欲設置提醒的GB量。

以下屏幕截圖是建立警報規則的畫面，圖中新建的警報規則設置在第一段指令上，它告訴我24小時內我的數據量何時超過100GB。

我已經將 time window 設為24小時，因此我會查看過去24小時的數據，且我每小時只檢查一次警示訊息，因為數據使用量每小時才更新一次。

注意：我並未使用 metric measurement alert，因為我只是在計算一個值。若我移除 where 指令，並添加間隔到我的查詢指令中，以使得它可以返回多個值，那麼此時便可以使用 metric alert。 

我可以用同樣的程序來為第二段指令建立新的警報規則。第二段指令中，我將 time window 設為3小時，頻率為每小時一次。

現在，當我的數據量在24小時內超過，或即將超過100GB，我會收到通知。收到通知後，我可以深入了解是什麼造成使用尖峰，並進行必要的調整。

關於建立警報規則的詳細訊息可以在 Log Analytics 文件中獲得。

若您還沒有自己的 Log Analytics 工作區，且想要試用新的usage view，您可以由此進入我們的 demo 工作區。