Ejecución de trabajos de búsqueda en Azure Monitor

Buscar trabajos son consultas asincrónicas que recuperan registros en una nueva tabla de búsqueda dentro del área de trabajo para realizar análisis posteriores. Los trabajos de búsqueda usan el procesamiento paralelo y pueden ejecutarse durante horas en conjuntos de datos grandes. En este artículo se describe cómo crear un trabajo de búsqueda y cómo consultar los datos resultantes.

Nota

La característica de trabajo de búsqueda actualmente no se admite para áreas de trabajo con claves administradas por el cliente.

Permisos

Para ejecutar un trabajo de búsqueda, necesita permisos Microsoft.OperationalInsights/workspaces/tables/write y Microsoft.OperationalInsights/workspaces/searchJobs/write en el área de trabajo de Log Analytics, por ejemplo, los que proporciona el rol integrado Colaborador de Log Analytics.

Cuándo usar trabajos de búsqueda

Use un trabajo de búsqueda cuando el tiempo de espera de la consulta de registro de 10 minutos no sea suficiente para buscar en grandes volúmenes de datos o si se ejecuta una consulta lenta.

Los trabajos de búsqueda también permiten recuperar registros de las tablas Registros archivados y Registros básicos en una nueva tabla de registro que puede usar para consultas. De esta manera, la ejecución de un trabajo de búsqueda puede ser una alternativa a:

• Restaurar datos de registros archivados para un intervalo de tiempo específico.
  Use la restauración cuando tenga una necesidad temporal de ejecutar muchas consultas en un gran volumen de datos.

• Consultar los registros básicos directamente y pagar por cada consulta.
  Para determinar qué alternativa es más rentable, compare el costo de consultar los registros básicos con el costo de ejecutar un trabajo de búsqueda y almacenar los resultados del trabajo de búsqueda.

¿Qué hace un trabajo de búsqueda?

Un trabajo de búsqueda envía los resultados a una nueva tabla en la misma área de trabajo que los datos de origen. La tabla de resultados está disponible en cuanto comienza el trabajo de búsqueda, pero los resultados pueden tardar un tiempo en empezar a aparecer.

La tabla de resultados del trabajo de búsqueda es una tabla de Analytics que está disponible para realizar consultas de registros o para cualquier otra característica de Azure Monitor que use tablas en un área de trabajo. La tabla usa el valor de retención establecido para el área de trabajo, pero este valor se puede modificar una vez creada la tabla.

El esquema de la tabla de resultados de búsqueda se basa en el esquema de la tabla de origen y la consulta especificada. Las siguientes columnas adicionales ayudan a realizar un seguimiento de los registros de origen:

Columna	Valor
_OriginalType	Valor Type de la tabla de origen.
_OriginalItemId	Valor _ItemID de la tabla de origen.
_OriginalTimeGenerated	Valor TimeGenerated de la tabla de origen.
TimeGenerated	Hora en la que se ejecutó el trabajo de búsqueda.

Las consultas de la tabla de resultados aparecen en la auditoría de consultas de registros, pero no en el trabajo de búsqueda inicial.

Ejecución de un trabajo de búsqueda

Ejecute un trabajo de búsqueda para capturar registros de conjuntos de datos grandes en una nueva tabla de resultados de búsqueda que se encuentre en el área de trabajo.

Sugerencia

Se incurre en cargos por ejecutar un trabajo de búsqueda. Por consiguiente, escriba y optimice la consulta en modo de consulta interactiva antes de ejecutar el trabajo de búsqueda.

Portal

Para ejecutar un trabajo de búsqueda, en Azure Portal:

1. En el menú Área de trabajo de Log Analytics, seleccione Registros.

2. Seleccione el menú de puntos suspensivos en el lado derecho de la pantalla y active Modo de trabajo de búsqueda.

   

   Azure Monitor Logs intellisense admite limitaciones de consultas KQL en el modo de trabajo de búsqueda para ayudarle a escribir la consulta del trabajo de búsqueda.

3. Especifique el intervalo de fechas del trabajo de búsqueda mediante el selector de hora.

4. Escriba la consulta del trabajo de búsqueda y seleccione el botón Trabajo de búsqueda.

   Azure Monitor Logs le pide que especifique un nombre para la tabla del conjunto de resultados y le informa de que el trabajo de búsqueda está sujeto a facturación.

   

5. Escriba un nombre para la tabla de resultados del trabajo de búsqueda y seleccione Ejecutar un trabajo de búsqueda.

   Azure Monitor Logs ejecuta el trabajo de búsqueda y crea en el área de trabajo una tabla para los resultados del trabajo de búsqueda.

   

6. Cuando la nueva tabla esté lista, seleccione Ver tablename_SRCH para ver la tabla en Log Analytics.

   

   Puede ver los resultados del trabajo de búsqueda a medida que comienzan a fluir en la tabla de resultados del trabajo de búsqueda recién creada.

   

   Azure Monitor Logs muestra un mensaje que indica que se ha realizado el trabajo de búsqueda al final del trabajo de búsqueda. La tabla de resultados ya está lista con todos los registros que coinciden con la consulta de búsqueda.

   

API

Para ejecutar un trabajo de búsqueda, llame a la API Tables - Create or Update. La llamada incluye el nombre de la tabla de resultados que se va a crear. El nombre de la tabla de resultados debe terminar con _SRCH.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/<TableName>_SRCH?api-version=2021-12-01-preview

Cuerpo de la solicitud

Incluya los siguientes valores en el cuerpo de la solicitud:

Nombre	Tipo	Descripción
properties.searchResults.query	cadena	Consulta de registro escrita en KQL para recuperar datos.
properties.searchResults.limit	integer	Número máximo de registros del conjunto de resultados, hasta un millón de registros. (Opcional)
properties.searchResults.startSearchTime	cadena	Inicio del intervalo de tiempo que se va a buscar.
properties.searchResults.endSearchTime	cadena	Final del intervalo de tiempo que se va a buscar.

Solicitud de ejemplo

En este ejemplo se crea una tabla llamada Syslog_suspected_SRCH con los resultados de una consulta que busca registros concretos en la tabla Syslog.

Solicitud

PUT https://management.azure.com/subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/Syslog_suspected_SRCH?api-version=2021-12-01-preview

Cuerpo de la solicitud

{
    "properties": { 
        "searchResults": {
                "query": "Syslog | where * has 'suspected.exe'",
                "limit": 1000,
                "startSearchTime": "2020-01-01T00:00:00Z",
                "endSearchTime": "2020-01-31T00:00:00Z"
            }
    }
}

Respuesta

Código de estado: 202 aceptado

CLI

Para ejecutar un trabajo de búsqueda, ejecute el comando az monitor log-analytics workspace table search-job create. El nombre de la tabla de resultados, que se establece mediante el parámetro --name, debe terminar con _SRCH.

Por ejemplo:

az monitor log-analytics workspace table search-job create --subscription ContosoSID --resource-group ContosoRG  --workspace-name ContosoWorkspace --name HeartbeatByIp_SRCH --search-query 'Heartbeat | where ComputerIP has "00.000.00.000"' --limit 1500 --start-search-time "2022-01-01T00:00:00.000Z" --end-search-time "2022-01-08T00:00:00.000Z" --no-wait

Obtener el estado y los detalles del trabajo de búsqueda

Portal

1. En el menú Área de trabajo de Log Analytics, seleccione Registros.

2. En la pestaña Tablas, seleccione Resultados de la búsqueda para ver todas las tablas de resultados del trabajo de búsqueda.

   El icono de la tabla de resultados del trabajo de búsqueda muestra una indicación de actualización hasta que se completa el trabajo de búsqueda.

   

API

Llame a la API Tables - Get para obtener el estado y los detalles de un trabajo de búsqueda:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/<TableName>_SRCH?api-version=2021-12-01-preview

Estado de la tabla

Cada tabla de trabajo de búsqueda tiene una propiedad llamada provisioningState, que puede tener uno de los siguientes valores:

Estado	Descripción
Actualizando	Rellenando la tabla y su esquema.
InProgress	El trabajo de búsqueda se está ejecutando y está capturando datos.
Correcto	Trabajo de búsqueda completado.
Eliminando	Eliminando la tabla del trabajo de búsqueda.

Solicitud de ejemplo

En este ejemplo se recupera el estado de la tabla del trabajo de búsqueda del ejemplo anterior.

Solicitud

GET https://management.azure.com/subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/Syslog_SRCH?api-version=2021-12-01-preview

Respuesta

{
        "properties": {
        "retentionInDays": 30,
        "totalRetentionInDays": 30,
        "archiveRetentionInDays": 0,
        "plan": "Analytics",
        "lastPlanModifiedDate": "Mon, 01 Nov 2021 16:38:01 GMT",
        "schema": {
            "name": "Syslog_SRCH",
            "tableType": "SearchResults",
            "description": "This table was created using a Search Job with the following query: 'Syslog | where * has 'suspected.exe'.'",
            "columns": [...],
            "standardColumns": [...],
            "solutions": [
                "LogManagement"
            ],
            "searchResults": {
                "query": "Syslog | where * has 'suspected.exe'",
                "limit": 1000,
                "startSearchTime": "Wed, 01 Jan 2020 00:00:00 GMT",
                "endSearchTime": "Fri, 31 Jan 2020 00:00:00 GMT",
                "sourceTable": "Syslog"
            }
        },
        "provisioningState": "Succeeded"
    },
    "id": "subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/Syslog_SRCH",
    "name": "Syslog_SRCH"
}

CLI

Para comprobar el estado y los detalles de una tabla de trabajos de búsqueda, ejecute el comando az monitor log-analytics workspace table show.

Por ejemplo:

az monitor log-analytics workspace table show --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name HeartbeatByIp_SRCH --output table \

Eliminación de una tabla de trabajo de búsqueda

Se recomienda eliminar la tabla del trabajo de búsqueda cuando haya terminado de consultar la tabla. Esto proporciona un área de trabajo más clara y reduce los cargos adicionales por la retención de datos.

Limitaciones

Los trabajos de búsqueda están sujetos a las siguientes limitaciones:

• Optimizado para consultar una tabla a la vez.
• El intervalo de fechas de búsqueda es de hasta un año.
• Admite búsquedas de larga duración hasta un tiempo de espera de 24 horas.
• Los resultados se limitan a un millón de registros en el conjunto de registros.
• La ejecución simultánea se limita a cinco trabajos de búsqueda por área de trabajo.
• Limitado a 100 tablas de resultados de búsqueda por área de trabajo.
• Limitado a 100 ejecuciones de trabajos de búsqueda al día por área de trabajo.

Cuando se alcanza el límite de registros, Azure anula el trabajo con un estado de éxito parcial y la tabla solo contendrá registros ingeridos hasta ese momento.

Limitaciones de las consultas de KQL

Los trabajos de búsqueda están diseñados para examinar grandes volúmenes de datos en una tabla específica. Por consiguiente, las consultas del trabajo de búsqueda siempre deben comenzar con un nombre de tabla. Para habilitar la ejecución asincrónica mediante distribución y segmentación, la consulta admite un subconjunto de KQL, incluidos los operadores:

• where
• extend
• project
• project-away
• project-keep
• project-rename
• project-reorder
• parse
• parse-where

Puede usar todas las funciones y los operadores binarios dentro de estos operadores.

Modelo de precios

El cargo por un trabajo de búsqueda se basa en:

• Ejecución del trabajo de búsqueda: la cantidad de datos que el trabajo de búsqueda necesita examinar.
• Resultados del trabajo de búsqueda: la cantidad de datos que encuentra el trabajo de búsqueda y se ingiere en la tabla de resultados, basado en los precios de ingestión de datos de registro habituales.

Por ejemplo, si su tabla contiene 500 GB al día, para una búsqueda de más de 30 días, se le cobrarán 15.000 GB de datos escaneados. Si el trabajo de búsqueda encuentra 1.000 registros que coinciden con la consulta de búsqueda, se le cobrará por la ingesta de estos 1.000 registros en la tabla de resultados.

Para obtener más información, consulte Precios de Azure Monitor.

Pasos siguientes

• Más información sobre la retención y el archivado de los datos.
• Más información sobre la restauración de datos, que es otro método de recuperar datos archivados.
• Más información sobre cómo consultar directamente los registros básicos.