切换到 Microsoft Sentinel 的简化定价层

2025-08-15

重要

注意： 2026 年 8 月 18 日，根据世纪互联发布的公告，所有Microsoft Sentinel 功能将在中国 Azure 正式停用。

对于 2023 年 7 月之前创建的许多 Microsoft Sentinel 工作区，除了 Microsoft Sentinel 的经典定价层外，还有一个单独的 Azure Monitor Log Analytics 定价层。若要合并 Log Analytics 的数据引入成本和 Microsoft Sentinel 的数据分析成本，请在简化的定价层中注册工作区。

先决条件

在注册简化的定价层之前，Log Analytics 工作区定价层必须处于即用即付层或承诺层级。不支持 Log Analytics 的旧定价层。
Microsoft Sentinel 已于 2023 年 7 月之前在工作区上启用。从 2023 年 7 月起启用 Microsoft Sentinel 的工作区会自动默认设置简化的定价体验。
必须拥有 Microsoft Sentinel 工作区的参与者或所有者才能更改定价层。

将定价层更改为简化定价层

经典定价层是分别配置 Microsoft Sentinel 和 Log Analytics 定价层，并在发票上显示为不同的计量。若要转移到简化定价层，其中 Microsoft Sentinel 和 Log Analytics 计费合并用于同一计量，请切换到新定价。

Microsoft Sentinel
Azure 资源管理器

使用以下步骤，通过 Microsoft Sentinel 门户更改工作区的定价层。进行切换后，无法使用此接口还原回经典定价层。

从“设置”菜单中，选择“切换到新定价”。
查看当前层，并考虑层不匹配的推荐层。
根据典型引入情况，从“统一定价层”下拉菜单中选择一个选项。
选择“确定”以确认。

若要使用 Azure 资源管理器模板设置定价层，请设置以下值：

将名称设置为 Microsoft.OperationsManagement/solutionsskuUnified.
将 capacityReservationLevel 设置为定价层。

有关此模板格式的详细信息，请参阅 Microsoft.OperationalInsights 工作区。

以下示例模板对 Microsoft Sentinel 简化定价配置 300 GB/天承诺层级。若要将简化的定价层设置为“即用即付”，请省略 capacityReservationLevel 属性值，并将 capacityreservation 更改为 pergb2018。

{ 
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#", 
    "contentVersion": "1.0.0.0", 
    "resources": [ 
        { 
            "type": "Microsoft.OperationsManagement/solutions", 
            "apiVersion": "2015-11-01-preview", 
            "name": "SecurityInsights({YourWorkspaceName})", 
            "location": "{RegionName}", 
            "plan": { 
                "name": "SecurityInsights({YourWorkspaceName})", 
                "publisher": "Microsoft", 
                "promotionCode": "", 
                "product": "OMSGallery/SecurityInsights" 
            }, 
            "properties": { 
                "workspaceResourceId": "/subscriptions/{SubscriptionId}/resourcegroups/{ResourceGroup}/providers/microsoft.operationalinsights/workspaces/{YourWorkspaceName}", 
                "sku": { 
                    "name": "Unified" 
                } 
            } 
        }, 
        { 
            "name": "{YourWorkspaceName}", 
            "type": "Microsoft.OperationalInsights/workspaces", 
            "apiVersion": "2020-08-01", 
            "location": "{RegionName}", 
            "properties": { 
                "sku": { 
                "name": "capacityreservation", 
                 "capacityReservationLevel": 300 
                } 
            } 
        } 
    ] 
}

只有 2023 年 7 月之前启用了 Microsoft Sentinel 的租户才能还原到经典定价层。若要使切换恢复，请将 Microsoft.OperationsManagement/solutionssku 名称设置为 capacityreservation，并将这两个部分的 capacityReservationLevel 设置为相应的定价层。

以下示例模板将 Microsoft Sentinel 设置为经典的“即用即付”定价层，并将 Log Analytic 工作区设置为 100 GB/天承诺层级。

{ 
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#", 
    "contentVersion": "1.0.0.0", 
    "resources": [ 
        { 
            "type": "Microsoft.OperationsManagement/solutions", 
            "apiVersion": "2015-11-01-preview", 
            "name": "SecurityInsights({YourWorkspaceName})", 
            "location": "{RegionName}", 
            "plan": { 
                "name": "SecurityInsights({YourWorkspaceName})", 
                "publisher": "Microsoft", 
                "promotionCode": "", 
                "product": "OMSGallery/SecurityInsights" 
            }, 
            "properties": { 
                "workspaceResourceId": "/subscriptions/{SubscriptionId}/resourcegroups/{ResourceGroup}/providers/microsoft.operationalinsights/workspaces/{YourWorkspaceName}", 
                "sku": { 
                    "name": "PerGB", 
                    "capacityReservationLevel":
                } 
            } 
        }, 
        { 
            "name": "{YourWorkspaceName}", 
            "type": "Microsoft.OperationalInsights/workspaces", 
            "apiVersion": "2020-08-01", 
            "location": "{RegionName}", 
            "properties": { 
                "sku": { 
                "name": "capacityreservation", 
                 "capacityReservationLevel": 100 
                } 
            } 
        } 
    ] 
}

若要详细了解如何使用资源管理器模板，请参阅部署示例模板。

若要查看如何在 Terraform 或 Bicep 中实现此模板，请从此处开始。

专用群集的简化定价层

在经典定价层中，Microsoft Sentinel 始终作为辅助计量在工作区级别计费。 Microsoft Sentinel 的计量可能与工作区的总体计量不同。

通过简化的定价层，为 Microsoft Sentinel 工作区设置了群集所使用的承诺层级。 Microsoft Sentinel 使用量按该层计量的有效每 GB 价格计费，所有使用量都计入专用群集的总分配。根据群集的计费模式，此分配要么在群集级别，要么在工作区级别按比例进行。有关详细信息，请参阅成本详细信息 - 专用群集。

专用群集计费示例

比较以下群集方案，以便更好地了解将已启用 Microsoft Sentinel 的工作区添加到专用群集时的简化定价。

框图显示了一个包含三个工作区的彩色编码群集。其中一个工作区标记为“Microsoft Sentinel”。

示例 1： 专用群集摄取的数据超过基础提交层级，但处于下一个较高层级之下（理想情况）。

此表显示了两种情况：一个由三个工作区组成的专用群集摄取的数据量超出了每日承诺等级的 5,000 GB。在这两种情况下，前两个标记为 A 和 B 的工作区未启用 Microsoft Sentinel。工作区 A 引入了 1 TB 数据，而工作区 B 引入了 2 TB 数据。工作区 C 是启用了 Microsoft Sentinel 的工作区，它引入了 3 TB 数据。

第一种方案使用群集计费模式，第二种方案使用工作区计费模式。

在群集计费模式下，总共 3 TB 的 Log Analytics 使用量将计入群集资源费用。承诺层级详细信息显示价格等于 3 TB 乘以承诺层级实行的 Log Analytics 每 GB（每日）价格。该价格也表示为承诺层级每日 0.6 个单位的费率。工作区 C 是启用了 Microsoft Sentinel 的工作区，它引入了 3 TB 数据。其承诺层级详细信息显示价格等于 3 TB 乘以承诺层级实行的 Microsoft Sentinel 每 GB（每日）价格。该价格也表示为承诺层级每日 0.6 个单位的费率。

在工作区计费模式下，引入数据的每个部分都会向各个工作区计费。总数与群集计费相同 - 每天承诺层费率的 1.2 个单位。

示例 2： 专用群集引入的数据 量低于 承诺层级别。请考虑向群集添加更多工作区。

下表显示了两种情况：三-工作区专用群集每天引入的数据量低于 5,000 GB 承诺等级。在这两种情况下，前两个标记为 A 和 B 的工作区未启用 Microsoft Sentinel。工作区 A 和 B 分别引入了 1 TB 的数据，而启用了 Microsoft Sentinel 的工作区 C 引入了 2 TB 的数据（总共 4 TB）。

由于承诺层为 5 TB，因此未使用的引入量为 1 TB。

重要

无论群集中的工作区是否已启用 Microsoft Sentinel，任何未使用的承诺都会将计费至 Log Analytics 的承诺层。

第一种情况采用群集计费模式，第二种情况采用工作区计费模式。

在群集计费模式下，总共 2 TB 的 Log Analytics 使用量额外增加了 1 TB 的未使用量，该使用量将计入群集资源费用。承诺层级详细信息显示价格等于 3 TB 乘以承诺层级实行的 Log Analytics 每 GB（每日）价格。该价格也表示为承诺层级每日 0.6 个单位的费率。工作区 C 是启用了 Microsoft Sentinel 的工作区，它引入了 2 TB 数据。其承诺层详细信息显示，价格等于 2 TB 乘以 Microsoft Sentinel 每 GB（每天）的承诺层有效价格。该价格也表示为承诺层级每日 0.4 个单位的费率。

在工作区计费模式下，引入数据的每个部分将计费给各个工作区，未使用的 1 TB 部分将计费给群集资源。总数与群集计费相同 - 每天承诺层费率的 1.0 个单位。

请记住，启用 Microsoft Sentinel 的工作区的简化的有效每 GB 价格现在包括日志分析数据摄入成本。有关定价的详细信息，请参阅以下文章：

登出行为

如果在启用简化的定价时从工作区中删除了 Microsoft Sentinel，Log Analytics 工作区会自动配置其定价层，以匹配简化的定价层。例如，如果在 Microsoft Sentinel 中为简化定价配置了 100 GB/天承诺层级，则从工作区中删除 Microsoft Sentinel 后，Log Analytics 工作区的定价层将更改为 100 GB/天承诺层级。

切换会降低我的成本吗？

尽管该体验的目标是在不影响实际成本的情况下简化定价和成本管理体验，但在切换到简化定价层时，存在两种降低成本的主要方案。

如果工作区利用 Defender for Servers 组合权益，则会节省总体成本。
如果 Log Analytics 或 Microsoft Sentinel 的单独定价层之一不适当地不匹配，则简化定价层可能会节省成本。

有没有理由不切换？

有可能你的 Microsoft 帐户团队就 Log Analytics 或 Microsoft Sentinel 费用在经典层级上达成折扣价。单从 Microsoft Sentinel 定价接口看不出这一点。在Microsoft成本管理中，可以计算预期成本与实际费用，以查看是否包含折扣。在这种情况下，如果想要切换到简化定价层或有任何疑问，建议联系 Microsoft 帐户团队。

了解详细信息

有关减少 Log Analytics 数据量的更多提示，请参阅 Azure Monitor 最佳做法 - 成本管理。
了解如何通过 Azure 成本管理优化云投资。
详细了解如何通过成本分析来管理成本。
了解如何防止意外成本。

通过