Keresési feladatok futtatása az Azure Monitorban
A keresési feladatok aszinkron lekérdezések, amelyek rekordokat kérnek le egy új keresési táblába a munkaterületen további elemzés céljából. A keresési feladat párhuzamos feldolgozást használ, és órákig képes futni, nagy adathalmazokat feldolgozva. Ez a cikk bemutatja, hogyan hozhat létre keresési feladatot, és hogyan kérdezheti le az eredményként kapott adatokat.
Feljegyzés
A keresési feladat funkció jelenleg nem támogatott az ügyfél által felügyelt kulcsokkal rendelkező munkaterületeken.
Jogosultságok
Keresési feladat futtatásához szüksége van Microsoft.OperationalInsights/workspaces/tables/write
Microsoft.OperationalInsights/workspaces/searchJobs/write
a Log Analytics-munkaterületre, és engedélyekre, például a Log Analytics-közreműködő beépített szerepköre által biztosítottak szerint.
Mikor érdemes keresési feladatokat használni?
Akkor használjon keresési feladatot, ha a napló lekérdezésének 10 perces időtúllépése nem elegendő nagy mennyiségű adat kereséséhez, vagy ha lassú lekérdezést futtat.
A keresési feladatok lehetővé teszik a rekordok lekérését az archivált naplók és az alapszintű naplók tábláiból egy új naplótáblába, amelyet lekérdezésekhez használhat. Ily módon a keresési feladatok futtatása a következő lehetőségek alternatívát jelenthetik:
Adatok visszaállítása archivált naplókból egy adott időtartományra.
Akkor használja a visszaállítást, ha ideiglenesen sok lekérdezést kell futtatnia nagy mennyiségű adaton.Az alapszintű naplók lekérdezése és az egyes lekérdezések kifizetése.
Annak megállapításához, hogy melyik alternatíva költséghatékonyabb, hasonlítsa össze az alapszintű naplók lekérdezésének költségeit a keresési feladatok futtatásának és a keresési feladatok eredményeinek tárolásának költségével.
Hogyan működnek a keresési feladatok?
A keresési feladat elküldi az eredményeit egy új táblának, amely ugyanazon a munkaterületen van, mint a forrásadatok. A találatok táblázata a keresési feladat megkezdésekor azonnal elérhető, de időbe telhet, amíg a találatok megjelennek.
A keresési feladatok eredménytáblája egy Analytics-tábla , amely napló lekérdezésekhez és más, a munkaterületen táblákat használó Azure Monitor-funkciókhoz érhető el. A tábla a munkaterület adatmegőrzési értékét használja, de ezt az értéket a tábla létrehozása után módosíthatja.
A keresési eredmények táblázatának sémája a forrástábla sémáján és a megadott lekérdezésen alapul. A forrásrekordok nyomon követéséhez a következő oszlopok nyújtanak segítséget:
Oszlop | Érték |
---|---|
_OriginalType | Írja be a forrástábla értékét. |
_OriginalItemId | _ItemID forrástáblából származó érték. |
_OriginalTimeGenerated | TimeGenerated érték a forrástáblából. |
TimeGenerated | A keresési feladat futásának időpontja. |
Az eredménytáblában lévő lekérdezések a napló lekérdezéseinek naplózásában jelennek meg, a kezdeti keresési feladatban azonban nem.
Keresési feladat futtatása
Futtasson egy keresési feladatot a rekordok nagy adathalmazokból való lekéréséhez egy új keresési eredménytáblába a munkaterületen.
Tipp.
A keresési feladatok futtatásáért díjat kell fizetnie. Ezért a keresési feladat futtatása előtt írja és optimalizálja a lekérdezést interaktív lekérdezési módban.
Keresési feladat futtatásához az Azure Portalon:
A Log Analytics-munkaterület menüjében válassza a Naplók lehetőséget.
Válassza a képernyő jobb oldalán található három pont menüt, és kapcsolja be a Keresési feladat módot .
Az Azure Monitor Logs intellisense a keresési feladat módban támogatja a KQL-lekérdezés korlátozásait, hogy segítsen a keresési feladat lekérdezésének megírásában.
Adja meg a keresési feladat dátumtartományát az időválasztó használatával.
Írja be a keresési feladat lekérdezését, és válassza a Keresési feladat gombot.
Az Azure Monitor-naplók kérik, hogy adja meg az eredményhalmaz táblájának nevét, és tájékoztatja, hogy a keresési feladat számlázás tárgyát képezi.
Adja meg a keresési feladat eredménytáblájának nevét, és válassza a Keresési feladat futtatása lehetőséget.
Az Azure Monitor-naplók futtatják a keresési feladatot, és létrehoznak egy új táblát a munkaterületen a keresési feladatok eredményeihez.
Ha az új tábla elkészült, a Log Analyticsben a Tablename_SRCH megtekintése lehetőséget választva tekintheti meg a táblát.
A keresési feladatok eredményei az újonnan létrehozott keresési feladatok eredménytáblájába való beáramlásuk során láthatók.
Az Azure Monitor naplói azt mutatják, hogy a keresési feladat befejezve van a keresési feladat végén. A találati tábla készen áll a keresési lekérdezésnek megfelelő összes rekordra.
Keresési feladat állapotának és részleteinek lekérése
A Log Analytics-munkaterület menüjében válassza a Naplók lehetőséget.
A Táblák lapon válassza a Keresési eredmények lehetőséget az összes keresési feladat eredménytáblájának megtekintéséhez.
A keresési feladat eredménytáblájának ikonja egy frissítési jelzést jelenít meg a keresési feladat befejezéséig.
Keresési feladattábla törlése
Javasoljuk, hogy törölje a keresési feladat tábláját , ha befejezte a tábla lekérdezését. Ez csökkenti a munkaterület zsúfoltságát és az adatmegőrzés többletköltségeit.
Korlátozások
A keresési feladatokra a következő korlátozások vonatkoznak:
- Úgy van optimalizálva, hogy egyszerre egy táblát kérdezz le.
- A keresési dátumtartomány legfeljebb egy év lehet.
- Támogatja a hosszú ideig futó kereséseket akár 24 órás időtúllépésig.
- Az eredmények legfeljebb egymillió rekordot tartalmazhatnak a rekordhalmazban.
- Az egyidejű végrehajtás munkaterületenként öt keresési feladatra korlátozódik.
- Munkaterületenként legfeljebb 100 keresési eredménytábla lehet.
- Munkaterületenként naponta legfeljebb 100 keresési feladat végrehajtása engedélyezett.
Amikor eléri a rekordkorlátot, az Azure megszakítja a feladatot részleges sikerességi állapottal, és a tábla csak az eddig a pontig betöltött rekordokat tartalmazza.
KQL-lekérdezés korlátozásai
A keresési feladatok célja nagy mennyiségű adat vizsgálata egy adott táblában. Ezért a keresési feladatok lekérdezésének mindig táblanévvel kell kezdődnie. Az aszinkron végrehajtás elosztással és szegmentálással történő engedélyezéséhez a lekérdezés támogatja a KQL egy részhalmazát, beleértve az operátorokat is:
- Ahol
- Kiterjesztése
- Projekt
- projekteltávol
- projekt-megtartás
- projekt átnevezése
- projekt-átrendezés
- Elemez
- elemzés-hol
Ezen operátorok összes függvényét és bináris operátorát használhatja.
Díjszabási modell
A keresési feladatok díja a következőn alapul:
- Keresési feladat végrehajtása – a keresési feladat által beolvasott adatok mennyisége.
- Keresési feladatok eredményei – a keresési feladat által talált és a találati táblába beszúrt adatok mennyisége a naplóadatok szokásos betöltési árai alapján.
Ha például a táblázat napi 500 GB-ot tartalmaz, egy 30 napos keresés esetén 15 000 GB beolvasott adatért kell fizetnie. Ha a keresési feladat 1000 olyan rekordot talál, amely megfelel a keresési lekérdezésnek, akkor a rendszer díjat számít fel azért, hogy betöltse ezt az 1000 rekordot a találati táblába.
További információkért tekintse meg az Azure Monitor díjszabását.