Ausführen von Suchaufträgen in Azure Monitor

Ein Suchauftrag ist eine asynchrone Abfrage, die Sie sowohl bei interaktiver Aufbewahrung als auch bei Langzeitaufbewahrung für alle Daten in Ihrer Log Analytics-Instanz ausführen und die die Abfrageergebnisse für interaktive Abfragen in einer neuen Suchtabelle innerhalb Ihres Arbeitsbereichs verfügbar macht. Der Suchauftrag arbeitet mit Parallelverarbeitung und kann für große Datasets über Stunden ausgeführt werden. In diesem Artikel wird beschrieben, wie Sie einen Suchauftrag erstellen und die resultierenden Daten abfragen.

In diesem Video wird erläutert, wann und wie Sie Suchaufträge verwenden:

Erforderliche Berechtigungen

Aktion	Erforderliche Berechtigungen
Ausführen eines Suchauftrags	Die Berechtigungen Microsoft.OperationalInsights/workspaces/tables/write und Microsoft.OperationalInsights/workspaces/searchJobs/write für den Log Analytics-Arbeitsbereich, wie sie beispielsweise von der integrierten Rolle „Log Analytics-Mitwirkender“ bereitgestellt werden

Hinweis

Mandantenübergreifende Suchaufträge werden derzeit nicht unterstützt, obwohl Entra ID-Mandanten über Azure Lighthouse verwaltet werden.

Verwendung von Suchaufträgen

Verwendung Sie Suchaufträge für Folgendes:

• Rufen Sie Datensätze aus Langzeitaufbewahrung und Tabellen mit den Basic- und Hilfsplänen in einer neuen Analytics-Tabelle ab, in der Sie die vollständigen Analysefunktionen von Azure Monitor-Protokollen nutzen können.
• Scannen Sie große Datenmengen, wenn das Timeout der Protokollabfrage von 10 Minuten nicht ausreicht.

Funktionsweise eines Suchauftrags

Ein Suchauftrag sendet seine Ergebnisse an eine neue Tabelle im gleichen Arbeitsbereich wie die Quelldaten. Die Ergebnistabelle ist verfügbar, sobald der Suchauftrag beginnt, es kann aber einige Zeit dauern, bis Ergebnisse angezeigt werden.

Die Ergebnistabelle des Suchauftrags ist eine Analytics-Tabelle, die für Protokollabfragen und andere Azure Monitor-Features verfügbar ist, die Tabellen in einem Arbeitsbereich verwenden. Die Tabelle verwendet den für den Arbeitsbereich festgelegten Aufbewahrungswert. Sie können diesen Wert jedoch nach der Tabellenerstellung ändern.

Das Tabellenschema für Suchergebnisse basiert auf dem Quelltabellenschema und der angegebenen Abfrage. Mithilfe der folgenden zusätzlichen Spalten können Sie die Quelldatensätze nachverfolgen:

Spalte	Wert
_OriginalType	Type-Wert aus der Quelltabelle.
_OriginalItemId	_ItemID-Wert aus der Quelltabelle.
_OriginalTimeGenerated	TimeGenerated-Wert aus der Quelltabelle.
TimeGenerated	Zeitpunkt, zu dem der Suchauftrag ausgeführt wurde.

Abfragen für die Ergebnistabelle werden in der Protokollabfrageüberwachung, aber nicht im anfänglichen Suchauftrag angezeigt.

Ausführen eines Suchauftrags

Führen Sie einen Suchauftrag aus, um Datensätze aus großen Datasets in eine neue Suchergebnistabelle in Ihrem Arbeitsbereich abzurufen.

Tipp

Für die Ausführung eines Suchauftrags fallen Gebühren an. Schreiben und optimieren Sie daher Ihre Abfrage im interaktiven Abfragemodus, bevor Sie den Suchauftrag ausführen.

Portal

So führen Sie einen Suchauftrag im Azure-Portal aus:

1. Wählen Sie im Menü Log Analytics-Arbeitsbereich die Option Protokolle aus.

2. Wählen Sie das Menü mit den Auslassungspunkten auf der rechten Seite des Bildschirms aus, und aktivieren Sie den Suchauftragsmodus.

   

   Azure Monitor Logs Intellisense unterstützt KQL-Abfragebeschränkungen im Suchauftragsmodus, damit Sie Ihre Suchauftragsabfrage schreiben können.

3. Geben Sie den Datumsbereich für den Suchauftrag mithilfe der Uhrzeitauswahl an.

4. Geben Sie die Suchauftragsabfrage ein, und wählen Sie die Schaltfläche Suchauftrag aus.

   Azure Monitor Logs fordert Sie auf, einen Namen für die Ergebnistabelle bereitzustellen, und informiert Sie darüber, dass der Suchauftrag abrechnungspflichtig ist.

   

5. Geben Sie einen Namen für die Suchauftragsergebnistabelle ein, und wählen Sie einen Suchauftrag aus.

   Azure Monitor-Protokolle führen den Suchauftrag aus und erstellen eine neue Tabelle in Ihrem Arbeitsbereich für Ihre Suchauftragsergebnisse.

   

6. Wenn die neue Tabelle bereit ist, wählen Sie tablename_SRCH anzeigen aus, um die Tabelle in der Protokollanalyse anzuzeigen.

   

   Sie können die Suchergebnisse des Suchauftrags sehen, während sie beginnen, in die neu erstellte Suchergebnistabelle fließen.

   

   Azure Monitor-Protokolle zeigen die Meldung Suchauftrag abgeschlossen am Ende des Suchauftrags. Die Ergebnistabelle ist jetzt bereit mit allen Datensätzen, die der Suchabfrage entsprechen.

   

API

Rufen Sie zum Ausführen eines Suchauftrags die API Tabellen – Erstellen oder Aktualisieren auf. Der Aufruf enthält den Namen der zu erstellenden Ergebnistabelle. Der Name der Ergebnistabelle muss mit _SRCH enden.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/<TableName>_SRCH?api-version=2021-12-01-preview

Anforderungstext

Fügen Sie die folgenden Werte in den Text der Anforderung ein:

Name	Typ	BESCHREIBUNG
properties.searchResults.query	Zeichenfolge	In KQL geschriebene Protokollabfrage zum Abrufen von Daten.
properties.searchResults.limit	integer	Maximale Anzahl von Datensätzen im Resultset (bis zu einer Million Datensätze). (Optional)
properties.searchResults.startSearchTime	Zeichenfolge	Start des zu durchsuchenden Zeitbereichs.
properties.searchResults.endSearchTime	Zeichenfolge	Ende des zu durchsuchenden Zeitbereichs.

Beispielanforderung

In diesem Beispiel wird eine Tabelle namens Syslog_suspected_SRCH mit den Ergebnissen einer Abfrage erstellt, die nach bestimmten Datensätzen in der Tabelle Syslog sucht.

Anforderung

PUT https://management.azure.com/subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/Syslog_suspected_SRCH?api-version=2021-12-01-preview

Anforderungstext

{
    "properties": { 
        "searchResults": {
                "query": "Syslog | where * has 'suspected.exe'",
                "limit": 1000,
                "startSearchTime": "2020-01-01T00:00:00Z",
                "endSearchTime": "2020-01-31T00:00:00Z"
            }
    }
}

Antwort

Statuscode: 202 (akzeptiert).

BEFEHLSZEILENSCHNITTSTELLE (CLI)

Führen Sie zum Ausführen eines Suchauftrags den Befehl az monitor log-analytics workspace table search-job create aus. Der mit dem Parameter --name festgelegte Name der Ergebnistabelle muss mit _SRCH enden.

Beispiel

az monitor log-analytics workspace table search-job create --subscription ContosoSID --resource-group ContosoRG  --workspace-name ContosoWorkspace --name HeartbeatByIp_SRCH --search-query 'Heartbeat | where ComputerIP has "00.000.00.000"' --limit 1500 --start-search-time "2022-01-01T00:00:00.000Z" --end-search-time "2022-01-08T00:00:00.000Z" --no-wait

PowerShell

Um einen Suchauftrag auszuführen, führen Sie den Befehl New-AzOperationalInsightsSearchTable aus. Der mit dem Parameter TableName festgelegte Name der Ergebnistabelle muss mit _SRCH enden.

Beispiel

New-AzOperationalInsightsSearchTable -ResourceGroupName ContosoRG -WorkspaceName ContosoWorkspace -TableName HeartbeatByIp_SRCH -SearchQuery "Heartbeat" -StartSearchTime "01-01-2022 00:00:00" -EndSearchTime "01-01-2022 00:00:00"

Abrufen von Status und Details des Suchauftrags

Portal

1. Wählen Sie im Menü Log Analytics-Arbeitsbereich die Option Protokolle aus.

2. Wählen Sie auf der Registerkarte „Tabellen“ Suchergebnisse aus, um alle Ergebnistabellen von Suchaufträgen anzuzeigen.

   Das Symbol in der Ergebnistabelle des Suchauftrags zeigt eine Aktualisierungsanzeige an, bis der Suchauftrag abgeschlossen ist.

   

API

Rufen Sie die API Tabellen – Abrufen auf, um den Status und die Details eines Suchauftrags abzurufen:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/<TableName>_SRCH?api-version=2021-12-01-preview

Status der Tabelle

Jede Suchauftragstabelle weist eine Eigenschaft namens provisioningState auf, die einen der folgenden Werte aufweisen kann:

Status	BESCHREIBUNG
Wird aktualisiert	Die Tabelle und ihr Schema werden aufgefüllt.
InProgress	Der Suchauftrag wird ausgeführt und ruft Daten ab.
Erfolgreich	Der Suchauftrag ist abgeschlossen.
Wird gelöscht	Die Suchauftragstabelle wird gelöscht.

Beispielanforderung

In diesem Beispiel wird der Tabellenstatus für den Suchauftrag im vorherigen Beispiel abgerufen.

Anforderung

GET https://management.azure.com/subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/Syslog_SRCH?api-version=2021-12-01-preview

Antwort

{
        "properties": {
        "retentionInDays": 30,
        "totalRetentionInDays": 30,
        "archiveRetentionInDays": 0,
        "plan": "Analytics",
        "lastPlanModifiedDate": "Mon, 01 Nov 2021 16:38:01 GMT",
        "schema": {
            "name": "Syslog_SRCH",
            "tableType": "SearchResults",
            "description": "This table was created using a Search Job with the following query: 'Syslog | where * has 'suspected.exe'.'",
            "columns": [...],
            "standardColumns": [...],
            "solutions": [
                "LogManagement"
            ],
            "searchResults": {
                "query": "Syslog | where * has 'suspected.exe'",
                "limit": 1000,
                "startSearchTime": "Wed, 01 Jan 2020 00:00:00 GMT",
                "endSearchTime": "Fri, 31 Jan 2020 00:00:00 GMT",
                "sourceTable": "Syslog"
            }
        },
        "provisioningState": "Succeeded"
    },
    "id": "subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/Syslog_SRCH",
    "name": "Syslog_SRCH"
}

BEFEHLSZEILENSCHNITTSTELLE (CLI)

Führen Sie zum Überprüfen des Status und der Details einer Suchauftragstabelle den Befehl az monitor log-analytics workspace table show aus.

Beispiel

az monitor log-analytics workspace table show --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name HeartbeatByIp_SRCH --output table \

PowerShell

Um den Status und die Details einer Suchauftragstabelle zu überprüfen, führen Sie den Befehl Get-AzOperationalInsightsTable aus.

Beispiel

Get-AzOperationalInsightsTable -ResourceGroupName "ContosoRG" -WorkspaceName "ContosoWorkspace" -tableName "HeartbeatByIp_SRCH"

Hinweis

Wenn „-TableName“ nicht angegeben wird, listet der Befehl stattdessen alle Tabellen auf, die einem Arbeitsbereich zugeordnet sind.

Löschen einer Suchauftragstabelle

Es wird empfohlen, die Suchauftragstabelle zu löschen, nachdem Sie die Tabelle abgefragt haben. Dadurch wird der Arbeitsbereich übersichtlicher, und Sie vermeiden zusätzliche Gebühren für die Datenaufbewahrung.

Einschränkungen

Suchaufträge unterliegen den folgenden Einschränkungen:

• Optimiert zum Abfragen einer Tabelle nach der anderen.
• Der Suchdatumsbereich kann bis zu einem Jahr sein.
• Unterstützt zeitintensive Suchvorgänge mit einem Timeout von bis zu 24 Stunden.
• Die Ergebnisse sind auf eine Million Datensätze im Recordset beschränkt.
• Die gleichzeitige Ausführung ist auf fünf Suchaufträge pro Arbeitsbereich beschränkt.
• Beschränkt auf 100 Suchergebnistabellen pro Arbeitsbereich.
• Beschränkt auf 100 Suchauftragsausführungen pro Tag und Arbeitsbereich.

Wenn Sie das Datensatzlimit erreichen, bricht Azure den Auftrag mit dem Status Teilweise erfolgreich ab, und die Tabelle enthält nur Datensätze, die bis zu diesem Zeitpunkt erfasst wurden.

KQL-Abfrageeinschränkungen

Suchaufträge sollen große Datenmengen in einer bestimmten Tabelle scannen. Daher müssen Suchauftragsabfragen immer mit einem Tabellennamen beginnen. Um eine asynchrone Ausführung mithilfe von Verteilung und Segmentierung zu aktivieren, unterstützt die Abfrage eine Teilmenge von KQL, einschließlich der Operatoren:

• where
• extend
• project
• project-away
• project-keep
• project-rename
• project-reorder
• parse
• parse-where

Sie können alle Funktionen und binären Operatoren innerhalb dieser Operatoren verwenden.

Preismodell

Die Kosten für den Suchauftrag basieren auf Folgendem:

• Ausführung des Suchauftrags:

  • Analytics-Plan – Die Datenmenge, die der Suchauftrag in der Langzeitaufbewahrung scannt. Für das Scannen von Daten, die sich in der interaktiven Aufbewahrung in Analytics-Tabellen befinden, fallen keine Gebühren an.
  • Basic- oder Hilfspläne – Alle Daten, die der Suchauftrag in interaktiver Aufbewahrung und Langzeitaufbewahrung scannt.

  Weitere Informationen zur interaktiven Aufbewahrung und zur Langzeitaufbewahrung finden Sie unter Verwalten der Datenaufbewahrung in einem Log Analytics-Arbeitsbereich.

• Suchauftragsergebnisse – Die Menge der Daten, die der Suchauftrag findet und in der Ergebnistabelle erfasst, basierend auf der Datenerfassungsrate für Analytics-Tabellen.

Wenn beispielsweise eine Suche in einer Basic-Tabelle 30 Tage umfasst und die Tabelle 500 GB Daten pro Tag enthält, werden Ihnen 15.000 GB gescannte Daten in Rechnung gestellt. Wenn der Suchauftrag 1.000 Datensätze zurückgibt, wird Ihnen die Erfassung dieser 1.000 Datensätze in der Ergebnistabelle in Rechnung gestellt.

Weitere Informationen finden Sie unter Azure Monitor-Preise.

Nächste Schritte

• Erfahren Sie mehr über die Verwaltung der Datenaufbewahrung in einem Log Analytics-Arbeitsbereich.
• Erfahren Sie mehr über das direkte Abfragen von Basis- und Hilfstabellen.