Ausführen von Suchaufträgen in Azure Monitor
Suchaufträge sind asynchrone Abfragen, die Datensätze zur weiteren Analyse in eine neue Suchtabelle in Ihrem Arbeitsbereich abrufen. Der Suchauftrag arbeitet mit Parallelverarbeitung und kann für große Datasets über Stunden ausgeführt werden. In diesem Artikel wird beschrieben, wie Sie einen Suchauftrag erstellen und die resultierenden Daten abfragen.
Erforderliche Berechtigungen
Aktion | Erforderliche Berechtigungen |
---|---|
Ausführen eines Suchauftrags | Die Berechtigungen Microsoft.OperationalInsights/workspaces/tables/write und Microsoft.OperationalInsights/workspaces/searchJobs/write für den Log Analytics-Arbeitsbereich, wie sie beispielsweise von der integrierten Rolle „Log Analytics-Mitwirkender“ bereitgestellt werden |
Verwendung von Suchaufträgen
Verwenden Sie einen Suchauftrag, wenn das Timeout der Protokollabfrage von 10 Minuten nicht ausreicht, um große Datenmengen zu durchsuchen, oder wenn Sie eine langsame Abfrage ausführen.
Mit Suchaufträgen können Sie auch Datensätze aus den Tabellen Archivierte Protokolle und Basisprotokolle in eine neue Protokolltabelle abrufen, die Sie dann für Abfragen verwenden können. Auf diese Weise kann die Ausführung eines Suchauftrags eine Alternative für Folgendes sein:
Wiederherstellen von Daten aus archivierten Protokollen für einen bestimmten Zeitraum.
Verwenden Sie die Wiederherstellung, wenn Sie vorübergehend viele Abfragen für eine große Datenmenge ausführen müssen.Direktes Abfragen von Basisprotokollen und Bezahlen für jede Abfrage.
Um die kostengünstigere Alternative zu ermitteln, vergleichen Sie die Kosten für die Abfrage von Basisprotokollen mit den Kosten für die Ausführung eines Suchauftrags und für das Speichern der Auftragsergebnisse.
Funktionsweise eines Suchauftrags
Ein Suchauftrag sendet seine Ergebnisse an eine neue Tabelle im gleichen Arbeitsbereich wie die Quelldaten. Die Ergebnistabelle ist verfügbar, sobald der Suchauftrag beginnt, es kann aber einige Zeit dauern, bis Ergebnisse angezeigt werden.
Die Ergebnistabelle des Suchauftrags ist eine Analytics-Tabelle, die für Protokollabfragen und andere Azure Monitor-Features verfügbar ist, die Tabellen in einem Arbeitsbereich verwenden. Die Tabelle verwendet den für den Arbeitsbereich festgelegten Aufbewahrungswert. Sie können diesen Wert jedoch nach der Tabellenerstellung ändern.
Das Tabellenschema für Suchergebnisse basiert auf dem Quelltabellenschema und der angegebenen Abfrage. Mithilfe der folgenden zusätzlichen Spalten können Sie die Quelldatensätze nachverfolgen:
Spalte | Wert |
---|---|
_OriginalType | Type-Wert aus der Quelltabelle. |
_OriginalItemId | _ItemID-Wert aus der Quelltabelle. |
_OriginalTimeGenerated | TimeGenerated-Wert aus der Quelltabelle. |
TimeGenerated | Zeitpunkt, zu dem der Suchauftrag ausgeführt wurde. |
Abfragen für die Ergebnistabelle werden in der Protokollabfrageüberwachung, aber nicht im anfänglichen Suchauftrag angezeigt.
Ausführen eines Suchauftrags
Führen Sie einen Suchauftrag aus, um Datensätze aus großen Datasets in eine neue Suchergebnistabelle in Ihrem Arbeitsbereich abzurufen.
Tipp
Für die Ausführung eines Suchauftrags fallen Gebühren an. Schreiben und optimieren Sie daher Ihre Abfrage im interaktiven Abfragemodus, bevor Sie den Suchauftrag ausführen.
So führen Sie einen Suchauftrag im Azure-Portal aus:
Wählen Sie im Menü Log Analytics-Arbeitsbereich die Option Protokolle aus.
Wählen Sie das Menü mit den Auslassungspunkten auf der rechten Seite des Bildschirms aus, und aktivieren Sie den Suchauftragsmodus.
Azure Monitor Logs Intellisense unterstützt KQL-Abfragebeschränkungen im Suchauftragsmodus, damit Sie Ihre Suchauftragsabfrage schreiben können.
Geben Sie den Datumsbereich für den Suchauftrag mithilfe der Uhrzeitauswahl an.
Geben Sie die Suchauftragsabfrage ein, und wählen Sie die Schaltfläche Suchauftrag aus.
Azure Monitor Logs fordert Sie auf, einen Namen für die Ergebnistabelle bereitzustellen, und informiert Sie darüber, dass der Suchauftrag abrechnungspflichtig ist.
Geben Sie einen Namen für die Suchauftragsergebnistabelle ein, und wählen Sie einen Suchauftrag aus.
Azure Monitor-Protokolle führen den Suchauftrag aus und erstellen eine neue Tabelle in Ihrem Arbeitsbereich für Ihre Suchauftragsergebnisse.
Wenn die neue Tabelle bereit ist, wählen Sie tablename_SRCH anzeigen aus, um die Tabelle in der Protokollanalyse anzuzeigen.
Sie können die Suchergebnisse des Suchauftrags sehen, während sie beginnen, in die neu erstellte Suchergebnistabelle fließen.
Azure Monitor-Protokolle zeigen die Meldung Suchauftrag abgeschlossen am Ende des Suchauftrags. Die Ergebnistabelle ist jetzt bereit mit allen Datensätzen, die der Suchabfrage entsprechen.
Abrufen von Status und Details des Suchauftrags
Wählen Sie im Menü Log Analytics-Arbeitsbereich die Option Protokolle aus.
Wählen Sie auf der Registerkarte „Tabellen“ Suchergebnisse aus, um alle Ergebnistabellen von Suchaufträgen anzuzeigen.
Das Symbol in der Ergebnistabelle des Suchauftrags zeigt eine Aktualisierungsanzeige an, bis der Suchauftrag abgeschlossen ist.
Löschen einer Suchauftragstabelle
Es wird empfohlen, die Suchauftragstabelle zu löschen, nachdem Sie die Tabelle abgefragt haben. Dadurch wird der Arbeitsbereich übersichtlicher, und Sie vermeiden zusätzliche Gebühren für die Datenaufbewahrung.
Einschränkungen
Suchaufträge unterliegen den folgenden Einschränkungen:
- Optimiert zum Abfragen einer Tabelle nach der anderen.
- Der Suchdatumsbereich kann bis zu einem Jahr sein.
- Unterstützt zeitintensive Suchvorgänge mit einem Timeout von bis zu 24 Stunden.
- Die Ergebnisse sind auf eine Million Datensätze im Recordset beschränkt.
- Die gleichzeitige Ausführung ist auf fünf Suchaufträge pro Arbeitsbereich beschränkt.
- Beschränkt auf 100 Suchergebnistabellen pro Arbeitsbereich.
- Beschränkt auf 100 Suchauftragsausführungen pro Tag und Arbeitsbereich.
Wenn Sie das Datensatzlimit erreichen, bricht Azure den Auftrag mit dem Status teilweise erfolgreich ab, und die Tabelle enthält nur Datensätze, die bis zu diesem Zeitpunkt erfasst wurden.
KQL-Abfrageeinschränkungen
Suchaufträge sollen große Datenmengen in einer bestimmten Tabelle scannen. Daher müssen Suchauftragsabfragen immer mit einem Tabellennamen beginnen. Um eine asynchrone Ausführung mithilfe von Verteilung und Segmentierung zu aktivieren, unterstützt die Abfrage eine Teilmenge von KQL, einschließlich der Operatoren:
Sie können alle Funktionen und binären Operatoren innerhalb dieser Operatoren verwenden.
Preismodell
Die Gebühr für einen Suchauftrag basiert auf Folgendem:
- Suchauftragsausführung – die Menge der Daten, die der Suchauftrag überprüft.
- Suchauftragsergebnisse – die Menge der Daten, die der Suchauftrag findet und in die Ergebnistabelle aufgenommen wird, basierend auf den regulären Preisen für die Erfassung von Protokolldaten.
Wenn Ihre Tabelle beispielsweise 500 GB pro Tag enthält, werden Ihnen für eine Suche über 30 Tage 15.000 GB überprüfter Daten in Rechnung gestellt. Wenn der Suchauftrag 1.000 Datensätze findet, die der Suchabfrage entsprechen, werden Ihnen die Erfassung dieser 1.000 Datensätze in der Ergebnistabelle in Rechnung gestellt.
Weitere Informationen finden Sie unter Azure Monitor-Preise.
Nächste Schritte
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter:Einreichen und Feedback anzeigen für