Keresési feladatok futtatása az Azure Monitorban

A keresési feladatok aszinkron lekérdezések, amelyek rekordokat kérnek le egy új keresési táblába a munkaterületen további elemzés céljából. A keresési feladat párhuzamos feldolgozást használ, és órákig képes futni, nagy adathalmazokat feldolgozva. Ez a cikk bemutatja, hogyan hozhat létre keresési feladatot, és hogyan kérdezheti le az eredményként kapott adatokat.

A szükséges engedélyek

Művelet	A szükséges engedélyek
Keresési feladat futtatása	Microsoft.OperationalInsights/workspaces/tables/write és Microsoft.OperationalInsights/workspaces/searchJobs/write a Log Analytics-munkaterületre vonatkozó engedélyeket, például a Log Analytics-közreműködő beépített szerepkörének megfelelően.

Mikor érdemes keresési feladatokat használni?

Akkor használjon keresési feladatot, ha a napló lekérdezésének 10 perces időtúllépése nem elegendő nagy mennyiségű adat kereséséhez, vagy ha lassú lekérdezést futtat.

A keresési feladatok lehetővé teszik a rekordok lekérését az archivált naplók és az alapszintű naplók tábláiból egy új naplótáblába, amelyet lekérdezésekhez használhat. Ily módon a keresési feladatok futtatása a következő lehetőségek alternatívát jelenthetik:

• Adatok visszaállítása archivált naplókból egy adott időtartományra.
  Akkor használja a visszaállítást, ha ideiglenesen sok lekérdezést kell futtatnia nagy mennyiségű adaton.

• Az alapszintű naplók lekérdezése és az egyes lekérdezések kifizetése.
  Annak megállapításához, hogy melyik alternatíva költséghatékonyabb, hasonlítsa össze az alapszintű naplók lekérdezésének költségeit a keresési feladatok futtatásának és a keresési feladatok eredményeinek tárolásának költségével.

Hogyan működnek a keresési feladatok?

A keresési feladat elküldi az eredményeit egy új táblának, amely ugyanazon a munkaterületen van, mint a forrásadatok. A találatok táblázata a keresési feladat megkezdésekor azonnal elérhető, de időbe telhet, amíg a találatok megjelennek.

A keresési feladatok eredménytáblája egy Analytics-tábla , amely napló lekérdezésekhez és más, a munkaterületen táblákat használó Azure Monitor-funkciókhoz érhető el. A tábla a munkaterület adatmegőrzési értékét használja, de ezt az értéket a tábla létrehozása után módosíthatja.

A keresési eredmények táblázatának sémája a forrástábla sémáján és a megadott lekérdezésen alapul. A forrásrekordok nyomon követéséhez a következő oszlopok nyújtanak segítséget:

Oszlop	Érték
_OriginalType	Írja be a forrástábla értékét.
_OriginalItemId	_ItemID forrástáblából származó érték.
_OriginalTimeGenerated	TimeGenerated érték a forrástáblából.
TimeGenerated	A keresési feladat futásának időpontja.

Az eredménytáblában lévő lekérdezések a napló lekérdezéseinek naplózásában jelennek meg, a kezdeti keresési feladatban azonban nem.

Keresési feladat futtatása

Futtasson egy keresési feladatot a rekordok nagy adathalmazokból való lekéréséhez egy új keresési eredménytáblába a munkaterületen.

Tipp.

A keresési feladatok futtatásáért díjat kell fizetnie. Ezért a keresési feladat futtatása előtt írja és optimalizálja a lekérdezést interaktív lekérdezési módban.

Portál

Keresési feladat futtatásához az Azure Portalon:

1. A Log Analytics-munkaterület menüjében válassza a Naplók lehetőséget.

2. Válassza a képernyő jobb oldalán található három pont menüt, és kapcsolja be a Keresési feladat módot .

   

   Az Azure Monitor Logs intellisense a keresési feladat módban támogatja a KQL-lekérdezés korlátozásait, hogy segítsen a keresési feladat lekérdezésének megírásában.

3. Adja meg a keresési feladat dátumtartományát az időválasztó használatával.

4. Írja be a keresési feladat lekérdezését, és válassza a Keresési feladat gombot.

   Az Azure Monitor-naplók kérik, hogy adja meg az eredményhalmaz táblájának nevét, és tájékoztatja, hogy a keresési feladat számlázás tárgyát képezi.

   

5. Adja meg a keresési feladat eredménytáblájának nevét, és válassza a Keresési feladat futtatása lehetőséget.

   Az Azure Monitor-naplók futtatják a keresési feladatot, és létrehoznak egy új táblát a munkaterületen a keresési feladatok eredményeihez.

   

6. Ha az új tábla elkészült, a Log Analyticsben a Tablename_SRCH megtekintése lehetőséget választva tekintheti meg a táblát.

   

   A keresési feladatok eredményei az újonnan létrehozott keresési feladatok eredménytáblájába való beáramlásuk során láthatók.

   

   Az Azure Monitor naplói azt mutatják, hogy a keresési feladat befejezve van a keresési feladat végén. A találati tábla készen áll a keresési lekérdezésnek megfelelő összes rekordra.

   

API

Keresési feladat futtatásához hívja meg a Táblák – API létrehozása vagy frissítése parancsot. A hívás tartalmazza a létrehozandó eredménytábla nevét. Az eredménytábla nevének _SRCH kell végződnie.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/<TableName>_SRCH?api-version=2021-12-01-preview

Kérelem törzse

Adja meg a következő értékeket a kérelem törzsében:

Név	Típus	Leírás
properties.searchResults.query	húr	KQL-ben írt naplólekérdezés az adatok lekéréséhez.
properties.searchResults.limit	egész szám	Az eredményhalmaz rekordjainak maximális száma, legfeljebb egymillió rekord. (Nem kötelező)
properties.searchResults.startSearchTime	húr	A keresendő időtartomány kezdete.
properties.searchResults.endSearchTime	húr	A keresendő időtartomány vége.

Mintakérés

Ez a példa egy Syslog_suspected_SRCH nevű táblát hoz létre egy lekérdezés eredményeivel, amely a Syslog tábla bizonyos rekordjait keresi.

Kérelem

PUT https://management.azure.com/subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/Syslog_suspected_SRCH?api-version=2021-12-01-preview

Kérelem törzse

{
    "properties": { 
        "searchResults": {
                "query": "Syslog | where * has 'suspected.exe'",
                "limit": 1000,
                "startSearchTime": "2020-01-01T00:00:00Z",
                "endSearchTime": "2020-01-31T00:00:00Z"
            }
    }
}

Válasz

Állapotkód: 202 elfogadva.

Parancssori felület

Keresési feladat futtatásához futtassa az az monitor log-analytics workspace table search-job create parancsot. A paraméterrel --name beállított eredménytábla nevének _SRCH kell végződnie.

Példa

az monitor log-analytics workspace table search-job create --subscription ContosoSID --resource-group ContosoRG  --workspace-name ContosoWorkspace --name HeartbeatByIp_SRCH --search-query 'Heartbeat | where ComputerIP has "00.000.00.000"' --limit 1500 --start-search-time "2022-01-01T00:00:00.000Z" --end-search-time "2022-01-08T00:00:00.000Z" --no-wait

PowerShell

Keresési feladat futtatásához futtassa a New-AzOperationalInsightsSearchTable parancsot. A paraméterrel TableName beállított eredménytábla nevének _SRCH kell végződnie.

Példa

New-AzOperationalInsightsSearchTable -ResourceGroupName ContosoRG -WorkspaceName ContosoWorkspace -TableName HeartbeatByIp_SRCH -SearchQuery "Heartbeat" -StartSearchTime "01-01-2022 00:00:00" -EndSearchTime "01-01-2022 00:00:00"

Keresési feladat állapotának és részleteinek lekérése

Portál

1. A Log Analytics-munkaterület menüjében válassza a Naplók lehetőséget.

2. A Táblák lapon válassza a Keresési eredmények lehetőséget az összes keresési feladat eredménytáblájának megtekintéséhez.

   A keresési feladat eredménytáblájának ikonja egy frissítési jelzést jelenít meg a keresési feladat befejezéséig.

   

API

Hívja meg a Táblák – API lekérése egy keresési feladat állapotának és részleteinek lekéréséhez:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/<TableName>_SRCH?api-version=2021-12-01-preview

Táblázat állapota

Minden keresési feladattábla rendelkezik egy provisioningState nevű tulajdonságtal, amely az alábbi értékek egyikével rendelkezhet:

Állapot	Leírás
Frissítés	A táblázat és a séma feltöltése.
Bejövő forgalom	A keresési feladat fut, és beolvassa az adatokat.
Sikeres	A keresési feladat befejeződött.
Törlés	A keresési feladat táblájának törlése.

Mintakérés

Ez a példa az előző példában a keresési feladat táblaállapotát kéri le.

Kérelem

GET https://management.azure.com/subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/Syslog_SRCH?api-version=2021-12-01-preview

Válasz

{
        "properties": {
        "retentionInDays": 30,
        "totalRetentionInDays": 30,
        "archiveRetentionInDays": 0,
        "plan": "Analytics",
        "lastPlanModifiedDate": "Mon, 01 Nov 2021 16:38:01 GMT",
        "schema": {
            "name": "Syslog_SRCH",
            "tableType": "SearchResults",
            "description": "This table was created using a Search Job with the following query: 'Syslog | where * has 'suspected.exe'.'",
            "columns": [...],
            "standardColumns": [...],
            "solutions": [
                "LogManagement"
            ],
            "searchResults": {
                "query": "Syslog | where * has 'suspected.exe'",
                "limit": 1000,
                "startSearchTime": "Wed, 01 Jan 2020 00:00:00 GMT",
                "endSearchTime": "Fri, 31 Jan 2020 00:00:00 GMT",
                "sourceTable": "Syslog"
            }
        },
        "provisioningState": "Succeeded"
    },
    "id": "subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/Syslog_SRCH",
    "name": "Syslog_SRCH"
}

Parancssori felület

A keresési feladattáblák állapotának és részleteinek ellenőrzéséhez futtassa az az monitor log-analytics workspace table show parancsot.

Példa

az monitor log-analytics workspace table show --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name HeartbeatByIp_SRCH --output table \

PowerShell

A keresési feladattáblák állapotának és részleteinek ellenőrzéséhez futtassa a Get-AzOperationalInsightsTable parancsot.

Példa

Get-AzOperationalInsightsTable -ResourceGroupName "ContosoRG" -WorkspaceName "ContosoWorkspace" -tableName "HeartbeatByIp_SRCH"

Feljegyzés

Ha a "-TableName" nincs megadva, a parancs ehelyett felsorolja a munkaterülethez társított összes táblát.

Keresési feladattábla törlése

Javasoljuk, hogy törölje a keresési feladat tábláját , ha befejezte a tábla lekérdezését. Ez csökkenti a munkaterület zsúfoltságát és az adatmegőrzés többletköltségeit.

Korlátozások

A keresési feladatokra a következő korlátozások vonatkoznak:

• Úgy van optimalizálva, hogy egyszerre egy táblát kérdezz le.
• A keresési dátumtartomány legfeljebb egy év lehet.
• Támogatja a hosszú ideig futó kereséseket akár 24 órás időtúllépésig.
• Az eredmények legfeljebb egymillió rekordot tartalmazhatnak a rekordhalmazban.
• Az egyidejű végrehajtás munkaterületenként öt keresési feladatra korlátozódik.
• Munkaterületenként legfeljebb 100 keresési eredménytábla lehet.
• Munkaterületenként naponta legfeljebb 100 keresési feladat végrehajtása engedélyezett.

Amikor eléri a rekordkorlátot, az Azure megszakítja a feladatot részleges sikerességi állapottal, és a tábla csak az eddig a pontig betöltött rekordokat tartalmazza.

KQL-lekérdezés korlátozásai

A keresési feladatok célja nagy mennyiségű adat vizsgálata egy adott táblában. Ezért a keresési feladatok lekérdezésének mindig táblanévvel kell kezdődnie. Az aszinkron végrehajtás elosztással és szegmentálással történő engedélyezéséhez a lekérdezés támogatja a KQL egy részhalmazát, beleértve az operátorokat is:

• hol
• meghosszabbít
• projekt
• projekteltávol
• projekt-megtartás
• projekt átnevezése
• projekt-átrendezés
• elemez
• elemzés-hol

Ezen operátorok összes függvényét és bináris operátorát használhatja.

Díjszabási modell

A keresési feladatok díja a következőn alapul:

• Keresési feladat végrehajtása – a keresési feladat által beolvasott adatok mennyisége.
• Keresési feladatok eredményei – a keresési feladat által talált és a találati táblába beszúrt adatok mennyisége a naplóadatok szokásos betöltési árai alapján.

Ha például a táblázat napi 500 GB-ot tartalmaz, egy 30 napos keresés esetén 15 000 GB beolvasott adatért kell fizetnie. Ha a keresési feladat 1000 olyan rekordot talál, amely megfelel a keresési lekérdezésnek, akkor a rendszer díjat számít fel azért, hogy betöltse ezt az 1000 rekordot a találati táblába.

További információkért tekintse meg az Azure Monitor díjszabását.

Következő lépések

• További információ az adatmegőrzésről és az adatok archiválásáról.
• Ismerje meg az adatok visszaállítását, amely egy másik módszer az archivált adatok beolvasására.
• Ismerje meg az alapszintű naplók közvetlen lekérdezését.