Ejecución de trabajos de búsqueda en Azure Monitor

Un trabajo de búsqueda es una consulta asincrónica que se ejecuta sobre cualquier dato de Log Analytics, tanto en análisis como en retención prolongada, lo cual hace que los resultados de la consulta estén disponibles para consultas interactivas en una nueva tabla de búsqueda dentro del área de trabajo. Los trabajos de búsqueda usan el procesamiento paralelo y pueden ejecutarse durante horas en conjuntos de datos grandes. En este artículo se describe cómo crear un trabajo de búsqueda y cómo consultar los datos resultantes.

En este vídeo se explica cuándo y cómo usar trabajos de búsqueda:

Permisos necesarios

Acción	Permisos necesarios
Ejecución de un trabajo de búsqueda	Los permisos Microsoft.OperationalInsights/workspaces/tables/write y Microsoft.OperationalInsights/workspaces/searchJobs/write del área de trabajo de Log Analytics, por ejemplo, según lo proporcionado por el rol integrado de colaborador de Log Analytics.

Nota:

No se admiten trabajos de búsqueda entre arrendatarios. El acceso delegado de Azure Lighthouse tampoco se admite para los trabajos de búsqueda (o restauración), incluso cuando se asigna un rol delegado que incluye el permiso searchJobs/write.

Cuándo usar trabajos de búsqueda

Use trabajos de búsqueda para:

• Recupere registros de retención a largo plazo y tablas con los planes básicos y auxiliares en una nueva tabla de Analytics donde puede aprovechar las funcionalidades completas de análisis del registro de Azure Monitor.
• Explora grandes volúmenes de datos en caso de que el tiempo de espera de la consulta de registros de 10 minutos no sea suficiente.

¿Qué hace un trabajo de búsqueda?

Un trabajo de búsqueda examina los datos y envía sus resultados a una nueva tabla en la misma área de trabajo que los datos de origen. La tabla de resultados está disponible en cuanto comienza el trabajo de búsqueda, pero los resultados pueden tardar un tiempo en empezar a aparecer. El costo se calcula en función del modelo de fijación de precios de los datos analizados y el tamaño de los resultados procesados. Antes de ejecutar un trabajo de búsqueda, hay disponible una estimación de costos para ayudarle a decidir si ejecutar el trabajo.

La tabla de resultados del trabajo de búsqueda es una tabla de Analytics que está disponible para realizar consultas de registros o para cualquier otra característica de Azure Monitor que use tablas en un área de trabajo. La tabla usa el valor de retención establecido para el área de trabajo, pero este valor se puede modificar una vez creada la tabla.

El esquema de la tabla de resultados de búsqueda se basa en el esquema de la tabla de origen y la consulta especificada. Las siguientes columnas adicionales ayudan a realizar un seguimiento de los registros de origen:

Columna	Value
_OriginalType	Valor Type de la tabla de origen.
_OriginalItemId	Valor _ItemID de la tabla de origen.
_OriginalTimeGenerated	Valor TimeGenerated de la tabla de origen.
TimeGenerated	Hora en la que se ejecutó el trabajo de búsqueda.

Las consultas de la tabla de resultados aparecen en la auditoría de consultas de registros, pero no en el trabajo de búsqueda inicial.

Ejecución de un trabajo de búsqueda

Ejecute un trabajo de búsqueda para capturar registros de conjuntos de datos grandes en una nueva tabla de resultados de búsqueda que se encuentre en el área de trabajo.

Sugerencia

Se incurre en cargos por ejecutar un trabajo de búsqueda. Escriba y optimice la consulta en modo de consulta interactiva antes de ejecutar el trabajo de búsqueda. Use la versión preliminar de estimación de costos para comprender los posibles costos.

Portal

Para ejecutar un trabajo de búsqueda, en Azure Portal:

1. En el menú Área de trabajo de Log Analytics, seleccione Registros.

2. Escriba una consulta de trabajo de búsqueda o simplemente seleccione la tabla que desee.

3. Seleccione el menú de puntos suspensivos en el lado derecho de la pantalla y seleccione Buscar trabajo.

   

4. O bien, use el menú desplegable Ejecutar y seleccione Ejecutar como trabajo de búsqueda.

   

5. Especifique el intervalo de fechas del trabajo de búsqueda mediante el selector de hora. Elija cualquier período dentro del período de retención total.

   Si la consulta de Kusto también especifica un intervalo de tiempo, la unión de los intervalos de tiempo se usa para el trabajo de búsqueda.

   

6. Escriba un nombre para la tabla de resultados del trabajo de búsqueda y seleccione Ejecutar un trabajo de búsqueda.

   Azure Monitor Logs ejecuta el trabajo de búsqueda y crea en el área de trabajo una tabla para los resultados del trabajo de búsqueda.

7. Cuando la nueva tabla esté lista, seleccione Ver "<searchtablename>_SRCH" para ver la tabla en Log Analytics.

   Los resultados del trabajo de búsqueda están disponibles a medida que comienzan a fluir a la tabla de resultados del trabajo de búsqueda recién creada.

   

   Los registros de Azure Monitor muestran un mensaje de tarea de búsqueda completada cuando se completa. Cuando vea que ese mensaje o el progreso muestra el 100 %, la tabla de resultados ya está lista con todos los registros que coinciden con la consulta de búsqueda.

API

Para ejecutar un trabajo de búsqueda, use la Create operación de Tables API. La llamada incluye el nombre de la tabla de resultados que se va a crear. El nombre de la tabla de resultados debe terminar con _SRCH.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/{tablename_SRCH}?api-version={api-version}

Cuerpo de la solicitud

Incluya los siguientes valores en el cuerpo de la solicitud:

Nombre	Tipo	Descripción
properties.searchResults.query	string	Consulta de registro escrita en KQL para recuperar datos.
properties.searchResults.limit	entero	Número máximo de registros en el conjunto de resultados, hasta 100 millones de registros. (Opcional)
properties.searchResults.startSearchTime	string	Inicio del intervalo de tiempo que se va a buscar.
properties.searchResults.endSearchTime	string	Final del intervalo de tiempo que se va a buscar.

Solicitud de ejemplo

En este ejemplo se crea una tabla llamada Syslog_suspected_SRCH con los resultados de una consulta que busca registros concretos en la tabla Syslog.

Solicitud

PUT https://management.azure.com/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/ContosoResourceGroup/providers/Microsoft.OperationalInsights/workspaces/ContosoWorkspace/tables/Syslog_suspected_SRCH?api-version={api-version}

Cuerpo de la solicitud

{
    "properties": { 
        "searchResults": {
                "query": "Syslog | where * has 'suspected.exe'",
                "limit": 1000,
                "startSearchTime": "2025-01-01T00:00:00Z",
                "endSearchTime": "2025-11-30T00:00:00Z"
            }
    }
}

Respuesta

Código de estado: 202 aceptado

CLI

Para ejecutar un trabajo de búsqueda, ejecute el comando az monitor log-analytics workspace table search-job create. El nombre de la tabla de resultados, que se establece mediante el parámetro --name, debe terminar con _SRCH.

Ejemplo

az monitor log-analytics workspace table search-job create --subscription aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e --resource-group ContosoResourceGroup --workspace-name ContosoWorkspace --name HeartbeatByIp_SRCH --search-query 'Heartbeat | where ComputerIP has "198.51.100.101"' --limit 1500 --start-search-time "2022-01-01T00:00:00.000Z" --end-search-time "2022-01-08T00:00:00.000Z" --no-wait

PowerShell

Para ejecutar un trabajo de búsqueda, ejecute el comando New-AzOperationalInsightsSearchTable. El nombre de la tabla de resultados, que se establece mediante el parámetro TableName, debe terminar con _SRCH.

Ejemplo

New-AzOperationalInsightsSearchTable -ResourceGroupName ContosoResourceGroup -WorkspaceName ContosoWorkspace -TableName HeartbeatByIp_SRCH -SearchQuery "Heartbeat" -StartSearchTime "01-01-2022 00:00:00" -EndSearchTime "01-01-2022 00:00:00"

Obtener el estado y los detalles del trabajo de búsqueda

Portal

1. En el menú Área de trabajo de Log Analytics, seleccione Registros.

2. En Tablas>Resultados de búsqueda, pase el cursor sobre la tabla de resultados de búsqueda para ver el progreso.

   El icono de la tabla de resultados del trabajo de búsqueda muestra un icono de indicador de actualización hasta que se completa el trabajo de búsqueda.

   

API

Use la Get operación de la API de Tablas para comprobar el estado y los detalles de un trabajo de búsqueda.

GET https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/{tableName_SRCH}?api-version={api-version}

Estado de la tabla

Cada tabla de trabajo de búsqueda tiene una propiedad llamada provisioningState, que puede tener uno de los siguientes valores:

Estado	Descripción
Actualizando	Rellenando la tabla y su esquema.
En Progreso	El trabajo de búsqueda se está ejecutando y está capturando datos.
Correcto	Trabajo de búsqueda completado.
Eliminando	Eliminando la tabla del trabajo de búsqueda.

Solicitud de ejemplo

En este ejemplo se recupera el estado de la tabla del trabajo de búsqueda del ejemplo anterior.

Solicitud

GET https://management.azure.com/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/ContosoResourceGroup/providers/Microsoft.OperationalInsights/workspaces/ContosoWorkspace/tables/Syslog_SRCH?api-version={api-version}

Respuesta

{
        "properties": {
        "retentionInDays": 30,
        "totalRetentionInDays": 30,
        "archiveRetentionInDays": 0,
        "plan": "Analytics",
        "lastPlanModifiedDate": "Mon, 01 Nov 2021 16:38:01 GMT",
        "schema": {
            "name": "Syslog_SRCH",
            "tableType": "SearchResults",
            "description": "This table was created using a Search Job with the following query: 'Syslog | where * has 'suspected.exe'.'",
            "columns": [...],
            "standardColumns": [...],
            "solutions": [
                "LogManagement"
            ],
            "searchResults": {
                "query": "Syslog | where * has 'suspected.exe'",
                "limit": 1000,
                "startSearchTime": "Wed, 01 Jan 2020 00:00:00 GMT",
                "endSearchTime": "Fri, 31 Jan 2020 00:00:00 GMT",
                "sourceTable": "Syslog"
            }
        },
        "provisioningState": "Succeeded"
    },
    "id": "subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/ContosoResourceGroup/providers/Microsoft.OperationalInsights/workspaces/ContosoWorkspace/tables/Syslog_SRCH",
    "name": "Syslog_SRCH"
}

CLI

Para comprobar el estado y los detalles de una tabla de trabajos de búsqueda, ejecute el comando az monitor log-analytics workspace table show.

Ejemplo

az monitor log-analytics workspace table show --subscription aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e --resource-group ContosoResourceGroup --workspace-name ContosoWorkspace --name HeartbeatByIp_SRCH --output table \

PowerShell

Para comprobar el estado y los detalles de una tabla de trabajos de búsqueda, ejecute el comando Get-AzOperationalInsightsTable.

Ejemplo

Get-AzOperationalInsightsTable -ResourceGroupName "ContosoResourceGroup" -WorkspaceName "ContosoWorkspace" -tableName "HeartbeatByIp_SRCH"

Nota:

Cuando no se proporciona "-TableName", el comando enumera todas las tablas asociadas a un área de trabajo.

Eliminación de una tabla de trabajo de búsqueda

Se recomienda eliminar la tabla del trabajo de búsqueda cuando haya terminado de consultar la tabla. Este procedimiento recomendado reduce el desorden del área de trabajo y los cargos adicionales por la retención de datos.

Consideraciones

Los trabajos de búsqueda están sujetos a las siguientes consideraciones:

• Optimizado para consultar una tabla a la vez
• El intervalo de fechas de búsqueda es cualquier período dentro de la retención total.
• Admite búsquedas de larga duración hasta un tiempo de espera de 24 horas.
• Los resultados se limitan a 100 millones de registros en el conjunto de registros; si se supera el límite, Azure Monitor anula el trabajo con un estado de éxito parcial y la tabla solo contiene registros ingeridos hasta ese momento.
• La ejecución simultánea se limita a diez trabajos de búsqueda por área de trabajo.
• Limitado a 200 tablas de resultados de búsqueda por área de trabajo
• Limitado a 200 ejecuciones de trabajos de búsqueda por día por área de trabajo
• No se admiten trabajos de búsqueda entre inquilinos
• El acceso delegado de Azure Lighthouse no se admite para los trabajos de búsqueda, incluso si la delegación contiene el permiso searchJobs/write adecuado, y falla mostrando un mensaje de error:
  Usuario<managing-tenant-userId>no mantiene el acceso a la acción Microsoft.OperationalInsights/workspaces/searchJobs/write en el ámbito<delegated-workspace-resourceID>.

Consideraciones de consulta de KQL

Los trabajos de búsqueda están diseñados para examinar grandes volúmenes de datos en una tabla específica, por lo que las consultas de trabajos de búsqueda siempre deben comenzar con un nombre de tabla. Para habilitar la ejecución asincrónica mediante distribución y segmentación, la consulta admite un subconjunto de KQL, incluidos estos operadores tabulares:

• where
• extend
• project
• project-away
• project-keep
• project-rename
• project-reorder
• parse
• parse-where

Se pueden usar todas las funciones y los operadores binarios dentro de estos operadores.

El contains operador de cadena no se puede usar en los trabajos de búsqueda, ya que las coincidencias de texto avanzadas tienen un impacto significativo en el rendimiento. En su lugar, use el has operador de cadena. Para más información sobre las consideraciones de rendimiento, consulte Optimización de consultas de registro en Azure Monitor.

Modelo de precios

El cargo del trabajo de búsqueda se basa en:

• Ejecución del trabajo de búsqueda:

  • Plan de análisis: la cantidad de datos que examina el trabajo de búsqueda que se encuentra en retención a largo plazo. No hay ningún cargo por examinar los datos que están en la retención de datos analíticos en las tablas de Analytics.

  • Planes básicos o auxiliares: todos los datos que el trabajo de búsqueda escanea en la retención a largo plazo.

    Los datos analizados se definen como el volumen de datos de la tabla en la que se ejecuta el trabajo de búsqueda, dentro del intervalo de tiempo especificado. Para más información sobre el análisis y la retención a largo plazo, consulte Administración de la retención de datos en un área de trabajo de Log Analytics.

• Resultados del trabajo de búsqueda: la cantidad de datos que busca el trabajo de búsqueda y se ingiere en la tabla de resultados, en función de la tasa de ingesta de datos para las tablas de Analytics.

Por ejemplo, si una búsqueda en una tabla Básica abarca 30 días y la tabla contiene 500 GB de datos al día, se le cobra por 15 000 GB de datos escaneados. Si el trabajo de búsqueda devuelve 1000 registros, se le cobrará por ingerir estos 1000 registros en la tabla de resultados.

Para obtener más información, consulte Precios de Azure Monitor.

Contenido relacionado

• Obtenga más información sobre cómo administrar la retención de datos en un área de trabajo de Log Analytics.
• Más información sobre cómo consultar directamente las tablas básicas y auxiliares.