Keresési feladatok futtatása az Azure Monitorban

A keresési feladatok olyan aszinkron lekérdezések, amelyeket a Log Analytics bármely adatán futtat – mind elemzés, mind hosszú távú megőrzés esetén –, amely elérhetővé teszi a lekérdezési eredményeket egy új keresési táblában lévő interaktív lekérdezésekhez a munkaterületen belül. A keresési feladat párhuzamos feldolgozást használ, és órákig képes futni, nagy adathalmazokat feldolgozva. Ez a cikk bemutatja, hogyan hozhat létre keresési feladatot, és hogyan kérdezheti le az eredményként kapott adatokat.

Ez a videó bemutatja, hogy mikor és hogyan használhat keresési feladatokat:

A szükséges engedélyek

Akció	A szükséges engedélyek
Keresési feladat futtatása	Microsoft.OperationalInsights/workspaces/tables/write és Microsoft.OperationalInsights/workspaces/searchJobs/write a Log Analytics-munkaterületre vonatkozó engedélyeket, például a Log Analytics-közreműködő beépített szerepkörének megfelelően.

Feljegyzés

A bérlők közötti keresési feladatok nem támogatottak. Az Azure Lighthouse delegált hozzáférése keresési feladatokhoz (vagy visszaállításhoz) akkor sem támogatott, ha delegált szerepkör van hozzárendelve, amely tartalmazza a searchJobs/write engedélyt.

Mikor érdemes keresési feladatokat használni?

Keresési feladatok használata a következőhöz:

• A hosszú távú megőrzési és az alapszintű és kiegészítő csomagokkal rendelkező táblák rekordjait egy új Analytics-táblába kell beolvasni, ahol kihasználhatja az Azure Monitor Log teljes elemzési képességeit.
• Vizsgálja át a nagy mennyiségű adatot, ha a napló lekérdezésének 10 perces időtúllépése nem elegendő.

Hogyan működnek a keresési feladatok?

A keresési feladatok beolvasják az adatokat, és elküldik az eredményeket egy új táblába a forrásadatokkal azonos munkaterületen. A találatok táblázata a keresési feladat megkezdésekor azonnal elérhető, de időbe telhet, amíg a találatok megjelennek. A költségek a beolvasott adatok díjszabási modellje és a betöltött eredmények mérete alapján merülnek fel. A keresési feladatok futtatása előtt költségbecslés áll rendelkezésre, amely segít eldönteni, hogy futtatja-e a feladatot.

A keresési feladatok eredménytáblája egy Analytics-tábla , amely napló lekérdezésekhez és más, a munkaterületen táblákat használó Azure Monitor-funkciókhoz érhető el. A tábla a munkaterület adatmegőrzési értékét használja, de ezt az értéket a tábla létrehozása után módosíthatja.

A keresési eredmények táblázatának sémája a forrástábla sémáján és a megadott lekérdezésen alapul. A forrásrekordok nyomon követéséhez a következő oszlopok nyújtanak segítséget:

Oszlop	Érték
_OriginalType	Írja be a forrástábla értékét.
_OriginalItemId	_ItemID forrástáblából származó érték.
_EredetiIdőGenerálva	TimeGenerated érték a forrástáblából.
Generálás ideje	A keresési feladat futásának időpontja.

Az eredménytáblán szereplő lekérdezések megjelennek a naplólekérdezés-ellenőrzés során, de nem a kezdeti keresési feladatban.

Keresési feladat futtatása

Futtasson egy keresési feladatot a rekordok nagy adathalmazokból való lekéréséhez egy új keresési eredménytáblába a munkaterületen.

Tipp.

A keresési feladatok futtatásáért díjat kell fizetnie. Írja és optimalizálja a lekérdezést interaktív lekérdezési módban a keresési feladat futtatása előtt. A lehetséges költségek megismeréséhez használja a költségbecslés előzetes verzióját.

Portál

Keresési feladat futtatásához az Azure Portalon:

1. A Log Analytics-munkaterület menüjében válassza a Naplók lehetőséget.

2. Írja be a keresési feladat lekérdezését, vagy egyszerűen válassza ki a kívánt táblát.

3. Válassza a képernyő jobb oldalán található három pont menüt, és válassza a Keresési feladat lehetőséget.

   

4. Adja meg a keresési feladat dátumtartományát az időválasztó használatával. Válasszon bármely időszakot a teljes megőrzési időszakon belül.

   Ha a Kusto-lekérdezés egy időtartományt is meghatároz, a keresési feladat az időtartományok egyesítését használja.

   

5. Adja meg a keresési feladat eredménytáblájának nevét, és válassza a Keresési feladat futtatása lehetőséget.

   Az Azure Monitor-naplók futtatják a keresési feladatot, és létrehoznak egy új táblát a munkaterületen a keresési feladatok eredményeihez.

6. Ha az új tábla elkészült, válassza a View '<searchtablename_SRCH' (Keresőtábla neve>) lehetőséget a tábla Log Analyticsben való megtekintéséhez.

   A keresési feladatok eredményei az újonnan létrehozott keresési feladatok eredménytáblájába való bekerüléskor érhetők el.

   

   Az Azure Monitor-naplók azt mutatják, hogy a keresési feladat befejeződött . Ha megjelenik az üzenet, vagy a folyamat 100%-et mutat, az eredménytábla készen áll az összes olyan rekorddal, amely megfelel a keresési lekérdezésnek.

API

Keresési feladat futtatásához hívja meg a Táblák – API létrehozása vagy frissítése parancsot. A hívás tartalmazza a létrehozandó eredménytábla nevét. Az eredménytábla nevének _SRCH kell végződnie.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/<TableName>_SRCH?api-version=2021-12-01-preview

Kérelem tartalma

Adja meg a következő értékeket a kérelem törzsében:

Név	Típus	Leírás
properties.searchResults.query	karakterlánc	KQL-ben írt naplólekérdezés az adatok lekéréséhez.
tulajdonságok.keresésiEredmények.korlát	egész szám	Az eredményhalmaz rekordjainak maximális száma, legfeljebb 100 millió rekord. (Választható)
tulajdonságok.keresésiEredmények.keresésKezdésiIdő	karakterlánc	A keresendő időtartomány kezdete.
tulajdonságok.keresésiEredmények.keresésVégénekIdeje	karakterlánc	A keresendő időtartomány vége.

Mintakérés

Ez a példa egy Syslog_suspected_SRCH nevű táblát hoz létre egy lekérdezés eredményeivel, amely a Syslog tábla bizonyos rekordjait keresi.

Kérelem

PUT https://management.azure.com/subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/Syslog_suspected_SRCH?api-version=2021-12-01-preview

Kérelem tartalma

{
    "properties": { 
        "searchResults": {
                "query": "Syslog | where * has 'suspected.exe'",
                "limit": 1000,
                "startSearchTime": "2020-01-01T00:00:00Z",
                "endSearchTime": "2020-01-31T00:00:00Z"
            }
    }
}

Válasz

Állapotkód: 202 elfogadva.

CLI

Keresési feladat futtatásához futtassa a az monitor log-analytics workspace table search-job create parancsot. A paraméterrel --name beállított eredménytábla nevének _SRCH kell végződnie.

Példa

az monitor log-analytics workspace table search-job create --subscription ContosoSID --resource-group ContosoRG  --workspace-name ContosoWorkspace --name HeartbeatByIp_SRCH --search-query 'Heartbeat | where ComputerIP has "00.000.00.000"' --limit 1500 --start-search-time "2022-01-01T00:00:00.000Z" --end-search-time "2022-01-08T00:00:00.000Z" --no-wait

PowerShell

Keresési feladat futtatásához futtassa a New-AzOperationalInsightsSearchTable parancsot. A paraméterrel TableName beállított eredménytábla nevének _SRCH kell végződnie.

Példa

New-AzOperationalInsightsSearchTable -ResourceGroupName ContosoRG -WorkspaceName ContosoWorkspace -TableName HeartbeatByIp_SRCH -SearchQuery "Heartbeat" -StartSearchTime "01-01-2022 00:00:00" -EndSearchTime "01-01-2022 00:00:00"

Keresési feladat állapotának és részleteinek lekérése

Portál

1. A Log Analytics-munkaterület menüjében válassza a Naplók lehetőséget.

2. A Táblák>keresési eredményei között vigye az egérmutatót a keresési eredmények táblázatára az előrehaladás megtekintéséhez.

   A keresési feladat eredménytáblájának ikonja egy frissítésjelző ikont jelenít meg, amíg a keresési feladat be nem fejeződik.

   

API

Hívja meg a Táblák – API lekérése egy keresési feladat állapotának és részleteinek lekéréséhez:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/<TableName>_SRCH?api-version=2021-12-01-preview

Táblázat állapota

Minden keresési feladattábla rendelkezik egy provisioningState nevű tulajdonságtal, amely az alábbi értékek egyikével rendelkezhet:

Állapot	Leírás
Frissítés	A táblázat és a séma feltöltése.
Folyamatban	A keresési feladat fut, és beolvassa az adatokat.
Sikeres	A keresési feladat befejeződött.
Törlés	A keresési feladat táblájának törlése.

Mintakérés

Ez a példa az előző példában a keresési feladat táblaállapotát kéri le.

Kérelem

GET https://management.azure.com/subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/Syslog_SRCH?api-version=2021-12-01-preview

Válasz

{
        "properties": {
        "retentionInDays": 30,
        "totalRetentionInDays": 30,
        "archiveRetentionInDays": 0,
        "plan": "Analytics",
        "lastPlanModifiedDate": "Mon, 01 Nov 2021 16:38:01 GMT",
        "schema": {
            "name": "Syslog_SRCH",
            "tableType": "SearchResults",
            "description": "This table was created using a Search Job with the following query: 'Syslog | where * has 'suspected.exe'.'",
            "columns": [...],
            "standardColumns": [...],
            "solutions": [
                "LogManagement"
            ],
            "searchResults": {
                "query": "Syslog | where * has 'suspected.exe'",
                "limit": 1000,
                "startSearchTime": "Wed, 01 Jan 2020 00:00:00 GMT",
                "endSearchTime": "Fri, 31 Jan 2020 00:00:00 GMT",
                "sourceTable": "Syslog"
            }
        },
        "provisioningState": "Succeeded"
    },
    "id": "subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/Syslog_SRCH",
    "name": "Syslog_SRCH"
}

CLI

A keresési feladat táblájának állapotát és részleteit az az monitor log-analytics workspace table show parancs futtatásával ellenőrizheti.

Példa

az monitor log-analytics workspace table show --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name HeartbeatByIp_SRCH --output table \

PowerShell

A keresési feladattáblák állapotának és részleteinek ellenőrzéséhez futtassa a Get-AzOperationalInsightsTable parancsot.

Példa

Get-AzOperationalInsightsTable -ResourceGroupName "ContosoRG" -WorkspaceName "ContosoWorkspace" -tableName "HeartbeatByIp_SRCH"

Feljegyzés

Ha a "-TableName" nincs megadva, a parancs felsorolja a munkaterülethez társított összes táblát.

Keresési feladattábla törlése

Javasoljuk, hogy törölje a keresési feladat tábláját , ha befejezte a tábla lekérdezését. Ez az ajánlott eljárás csökkenti a munkaterület zsúfoltságát és az adatmegőrzés többletköltségeit.

Megfontolások

A keresési feladatokra a következő szempontok vonatkoznak:

• Úgy van optimalizálva, hogy egyszerre egy táblát kérdezz le
• A keresési dátumtartomány lehet bármely időszak a teljes megőrzési időszakon belül.
• Támogatja a hosszú ideig futó kereséseket akár 24 órás időtúllépésig
• Az eredmények legfeljebb 100 millió rekordot tartalmazhatnak a rekordhalmazban – ha a korlát túllépi a korlátot, az Azure Monitor megszakítja a feladatot részleges sikerességi állapottal, és a tábla csak az eddig a pontig betöltött rekordokat tartalmazza
• Az egyidejű végrehajtás munkaterületenként tíz keresési feladatra korlátozódik.
• Munkaterületenként legfeljebb 200 keresési eredménytábla
• Munkaterületenként naponta legfeljebb 200 keresési feladat végrehajtása engedélyezett
• A bérlők közötti keresési feladatok nem támogatottak
• Az Azure Lighthouse delegált hozzáférése akkor sem támogatott keresési feladatokhoz, ha a delegálás a megfelelő keresési feladatokat/írási engedélyeket tartalmazza – hibaüzenettel meghiúsul:
  Felhasználó<managing-tenant-userId>nem tart fenn hozzáférést a Microsoft.OperationalInsights/workspaces/searchJobs/write művelethez adelegated-workspace-resourceID< hatókörterületén >.

KQL-lekérdezési szempontok

A keresési feladatok egy adott táblában lévő nagy mennyiségű adat vizsgálatára szolgálnak, ezért a keresési feladatok lekérdezéseinek mindig táblanévvel kell kezdődniük. Az aszinkron végrehajtás elosztással és szegmentálással történő engedélyezéséhez a lekérdezés támogatja a KQL egy részét, beleértve az alábbi táblázatos operátorokat:

• where
• extend
• project
• project-away
• project-keep
• project-rename
• project-reorder
• parse
• parse-where

Ezen operátorok összes függvénye és bináris operátora használható.

A contains sztring operátor nem használható keresési feladatokban, mivel a speciális szöveges egyezések jelentős hatással vannak a teljesítményre. Ehelyett használja a string operátort has . A teljesítménnyel kapcsolatos szempontokról további információt a napló lekérdezéseinek optimalizálása az Azure Monitorban című témakörben talál.

Díjszabási modell

A keresési feladat díja a következőn alapul:

• Keresési feladat végrehajtása:

  • Elemzési terv – A keresési feladat által beolvasott adatok mennyisége, amely hosszú távú megőrzés alatt áll. Az Elemzési táblákban az elemzési adatmegőrzés alatt lévő adatok ellenőrzése díjmentes.

  • Alapszintű vagy kiegészítő csomagok – A keresési feladat minden adata, amelyet vizsgál, hosszú távú megőrzésre kerül.

    A beolvasott adatok a keresési feladatot futtató táblában lévő adatok mennyiségeként definiálhatók a megadott időtartományon belül. Az elemzésről és a hosszú távú megőrzésről további információt a Log Analytics-munkaterület adatmegőrzésének kezelése című témakörben talál.

• Keresési feladatok eredményei – A keresési feladat által talált és a találati táblába betöltött adatok mennyisége az Analytics-táblák adatbetöltési gyakorisága alapján.

Ha például egy alapszintű táblán végzett keresés 30 napot vesz igénybe, és a tábla naponta 500 GB adatot tartalmaz, 15 000 GB beolvasott adatért kell fizetnie. Ha a keresési feladat 1000 rekordot ad vissza, az 1000 rekordnak a találattáblába való betöltéséért kell fizetnie.

További információkért tekintse meg az Azure Monitor díjszabását.

Kapcsolódó tartalom

• További információ az adatmegőrzés Log Analytics-munkaterületen történő kezeléséről.
• Ismerje meg az alapszintű és a segédtáblák közvetlen lekérdezését.