Menjalankan pekerjaan pencarian di Azure Monitor

Pekerjaan pencarian adalah kueri asinkron yang Anda jalankan pada data apa pun di Analitik Log Anda - di analitik dan retensi jangka panjang - yang membuat hasil kueri tersedia untuk kueri interaktif di tabel pencarian baru dalam ruang kerja Anda. Pekerjaan pencarian menggunakan pemrosesan paralel dan dapat berjalan selama berjam-jam di seluruh himpunan data yang sangat besar. Artikel ini menjelaskan cara membuat pekerjaan penelusuran dan cara mengkueri data yang dihasilkannya.

Video ini menjelaskan kapan dan bagaimana menggunakan pekerjaan pencarian:

Izin yang diperlukan

Perbuatan	Izin yang diperlukan
Menjalankan pekerjaan pencarian	Microsoft.OperationalInsights/workspaces/tables/write dan Microsoft.OperationalInsights/workspaces/searchJobs/write izin ke ruang kerja Analitik Log, misalnya, seperti yang disediakan oleh peran bawaan Kontributor Analitik Log.

Catatan

Pekerjaan pencarian lintas penyewa tidak didukung. Akses yang didelegasikan dari Azure Lighthouse juga tidak didukung untuk pekerjaan pencarian (atau pemulihan), bahkan jika peran yang didelegasikan tersebut mencakup izin searchJobs/write telah ditetapkan.

Kapan menggunakan pekerjaan pencarian

Gunakan pekerjaan pencarian untuk:

• Ambil rekaman dari retensi dan tabel jangka panjang dengan paket Dasar dan Tambahan ke dalam tabel Analitik baru tempat Anda dapat memanfaatkan kemampuan analitik penuh Log Azure Monitor.
• Pindai volume data yang besar jika batas waktu kueri log 10 menit dirasa tidak cukup.

Apa fungsi pekerjaan pencarian?

Pekerjaan pencarian memindai data dan mengirim hasilnya ke tabel baru di ruang kerja yang sama dengan data sumber. Tabel hasil tersedia segera setelah pekerjaan pencarian dimulai, tetapi mungkin perlu waktu agar hasil mulai muncul. Biaya dikeluarkan berdasarkan model harga data yang dipindai dan ukuran hasil yang diserap. Sebelum pekerjaan pencarian dijalankan, estimasi biaya tersedia untuk membantu Anda memutuskan apakah akan menjalankan pekerjaan.

Tabel hasil pekerjaan pencarian adalah tabel Analitik yang tersedia untuk kueri log dan fitur Azure Monitor lainnya yang menggunakan tabel di ruang kerja. Tabel menggunakan set nilai retensi untuk ruang kerja, tetapi Anda dapat mengubah nilai ini setelah tabel dibuat.

Skema tabel hasil pencarian didasarkan pada skema tabel sumber dan kueri yang ditentukan. Kolom lain berikut ini membantu Anda melacak rekaman sumber:

Kolom	Nilai
_OriginalType	Ketik nilai dari tabel sumber.
_OriginalItemId	_ItemID nilai dari tabel sumber.
_OriginalTimeGenerated	Nilai TimeGenerated dari tabel sumber.
TimeGenerated	Waktu di mana pekerjaan pencarian berjalan.

Kueri pada tabel hasil muncul dalam audit kueri log tetapi bukan pekerjaan pencarian awal.

Menjalankan pekerjaan pencarian

Jalankan pekerjaan pencarian untuk mengambil rekaman dari himpunan data besar ke dalam tabel hasil pencarian baru di ruang kerja Anda.

Petunjuk / Saran

Anda dikenakan biaya untuk menjalankan pekerjaan pencarian. Tulis dan optimalkan kueri Anda dalam mode kueri interaktif sebelum menjalankan pekerjaan pencarian. Gunakan pratinjau estimasi biaya untuk memahami potensi biaya.

Portal

Untuk menjalankan pekerjaan pencarian, di portal Azure:

1. Dari menu ruang kerja Analitik Log, pilih Log.

2. Ketik kueri pekerjaan pencarian atau cukup pilih tabel yang Anda inginkan.

3. Pilih menu elipsis di sisi kanan layar dan pilih Cari pekerjaan.

   

4. Atau gunakan menu tarik-turun Jalankan dan pilih Jalankan sebagai Pekerjaan pencarian.

   

5. Tentukan rentang tanggal pekerjaan pencarian menggunakan pemilih waktu. Pilih periode apa pun dalam periode retensi total.

   Jika kueri Kusto Anda juga menentukan rentang waktu, gabungan rentang waktu digunakan untuk pekerjaan pencarian.

   

6. Masukkan nama untuk tabel hasil pekerjaan pencarian dan pilih Jalankan pekerjaan pencarian.

   Log Azure Monitor menjalankan pekerjaan pencarian dan membuat tabel baru di ruang kerja Anda untuk hasil pekerjaan pencarian Anda.

7. Saat tabel baru siap, pilih Tampilkan '<searchtablename>_SRCH' untuk melihat tabel di Analitik Log.

   Hasil pekerjaan pencarian tersedia saat mulai mengalir ke tabel hasil pekerjaan pencarian yang baru dibuat.

   

   Log Azure Monitor memperlihatkan pesan Tugas pencarian selesai saat selesai. Saat Anda melihat pesan atau kemajuan mencapai 100%, tabel hasil telah siap dengan semua catatan yang cocok dengan kueri pencarian.

API

Untuk menjalankan pekerjaan pencarian, gunakan Create operasi Tables API. Panggilan menyertakan nama tabel hasil yang akan dibuat. Nama tabel hasil harus diakhiri dengan _SRCH.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/{tablename_SRCH}?api-version={api-version}

Badan permintaan

Sertakan nilai-nilai berikut dalam isi permintaan:

Nama	Tipe	Deskripsi
properties.searchResults.query	string	Kueri log ditulis di KQL untuk mengambil data.
batasHasilPencarian	Integer	Jumlah maksimum rekaman dalam tataan hasil, hingga 100 juta rekaman. (Opsional)
properties.hasilPencarian.waktuMulaiPencarian	string	Mulai dari rentang waktu untuk mencari.
properti.hasilPencarian.waktuAkhirPencarian	string	Akhir dari rentang waktu untuk mencari.

Permintaan sampel

Contoh ini membuat tabel yang disebut Syslog_suspected_SRCH dengan hasil kueri yang mencari catatan tertentu di tabel Syslog.

Permintaan

PUT https://management.azure.com/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/ContosoResourceGroup/providers/Microsoft.OperationalInsights/workspaces/ContosoWorkspace/tables/Syslog_suspected_SRCH?api-version={api-version}

Badan permintaan

{
    "properties": { 
        "searchResults": {
                "query": "Syslog | where * has 'suspected.exe'",
                "limit": 1000,
                "startSearchTime": "2025-01-01T00:00:00Z",
                "endSearchTime": "2025-11-30T00:00:00Z"
            }
    }
}

Respons

Kode status: diterima 202.

CLI

Untuk menjalankan pekerjaan pencarian, jalankan perintah az monitor log-analytics workspace search-job create. Nama tabel hasil, yang Anda atur menggunakan --name parameter, harus diakhiri dengan _SRCH.

Contoh

az monitor log-analytics workspace table search-job create --subscription aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e --resource-group ContosoResourceGroup --workspace-name ContosoWorkspace --name HeartbeatByIp_SRCH --search-query 'Heartbeat | where ComputerIP has "198.51.100.101"' --limit 1500 --start-search-time "2022-01-01T00:00:00.000Z" --end-search-time "2022-01-08T00:00:00.000Z" --no-wait

PowerShell

Untuk menjalankan pekerjaan pencarian, jalankan perintah New-AzOperationalInsightsSearchTable . Nama tabel hasil, yang Anda atur menggunakan TableName parameter, harus diakhiri dengan _SRCH.

Contoh

New-AzOperationalInsightsSearchTable -ResourceGroupName ContosoResourceGroup -WorkspaceName ContosoWorkspace -TableName HeartbeatByIp_SRCH -SearchQuery "Heartbeat" -StartSearchTime "01-01-2022 00:00:00" -EndSearchTime "01-01-2022 00:00:00"

Mendapatkan status dan detail pekerjaan pencarian

Portal

1. Dari menu ruang kerja Analitik Log, pilih Log.

2. Dari Tabel>Hasil Pencarian, arahkan penunjuk mouse ke tabel hasil pencarian untuk melihat kemajuan.

   Ikon pada tabel hasil pekerjaan pencarian menampilkan ikon indikator pembaruan hingga pekerjaan pencarian selesai.

   

API

Get Gunakan operasi API Tabel untuk memeriksa status dan detail pekerjaan pencarian.

GET https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/{tableName_SRCH}?api-version={api-version}

Status tabel

Setiap tabel pekerjaan pencarian memiliki properti yang disebut provisioningState, yang dapat memiliki salah satu nilai berikut:

Keadaan	Deskripsi
Memperbarui	Mengisi tabel dan skemanya.
SedangBerlangsung	Pekerjaan pencarian sedang berjalan, mengambil data.
Berhasil	Pekerjaan pencarian selesai.
Menghapus	Menghapus tabel pekerjaan pencarian.

Permintaan sampel

Contoh ini mengambil status tabel untuk pekerjaan pencarian di contoh sebelumnya.

Permintaan

GET https://management.azure.com/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/ContosoResourceGroup/providers/Microsoft.OperationalInsights/workspaces/ContosoWorkspace/tables/Syslog_SRCH?api-version={api-version}

Respons

{
        "properties": {
        "retentionInDays": 30,
        "totalRetentionInDays": 30,
        "archiveRetentionInDays": 0,
        "plan": "Analytics",
        "lastPlanModifiedDate": "Mon, 01 Nov 2021 16:38:01 GMT",
        "schema": {
            "name": "Syslog_SRCH",
            "tableType": "SearchResults",
            "description": "This table was created using a Search Job with the following query: 'Syslog | where * has 'suspected.exe'.'",
            "columns": [...],
            "standardColumns": [...],
            "solutions": [
                "LogManagement"
            ],
            "searchResults": {
                "query": "Syslog | where * has 'suspected.exe'",
                "limit": 1000,
                "startSearchTime": "Wed, 01 Jan 2020 00:00:00 GMT",
                "endSearchTime": "Fri, 31 Jan 2020 00:00:00 GMT",
                "sourceTable": "Syslog"
            }
        },
        "provisioningState": "Succeeded"
    },
    "id": "subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/ContosoResourceGroup/providers/Microsoft.OperationalInsights/workspaces/ContosoWorkspace/tables/Syslog_SRCH",
    "name": "Syslog_SRCH"
}

CLI

Untuk memeriksa status dan detail tabel pekerjaan penelusuran, jalankan perintah tampilan tabel ruang kerja analitik log az monitor.

Contoh

az monitor log-analytics workspace table show --subscription aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e --resource-group ContosoResourceGroup --workspace-name ContosoWorkspace --name HeartbeatByIp_SRCH --output table \

PowerShell

Untuk memeriksa status dan detail tabel pekerjaan pencarian, jalankan perintah Get-AzOperationalInsightsTable .

Contoh

Get-AzOperationalInsightsTable -ResourceGroupName "ContosoResourceGroup" -WorkspaceName "ContosoWorkspace" -tableName "HeartbeatByIp_SRCH"

Catatan

Saat "-TableName" tidak disediakan, perintah mencantumkan semua tabel yang terkait dengan ruang kerja.

Menghapus tabel pekerjaan pencarian

Kami sarankan Anda menghapus tabel pekerjaan pencarian saat Anda selesai mengkueri tabel. Praktik terbaik ini mengurangi kekacauan ruang kerja dan biaya tambahan untuk retensi data.

Pertimbangan

Pekerjaan pencarian tunduk pada pertimbangan berikut:

• Dioptimalkan untuk mengkueri satu tabel dalam satu waktu
• Rentang tanggal pencarian adalah periode apa pun selama total masa retensi
• Mendukung pencarian jangka panjang hingga batas waktu 24 jam
• Hasil dibatasi hingga 100 juta rekaman dalam kumpulan catatan - jika batas terlampaui, Azure Monitor membatalkan pekerjaan dengan status keberhasilan parsial, dan tabel hanya berisi rekaman yang diserap hingga titik tersebut
• Eksekusi bersamaan terbatas pada sepuluh proses pencarian per ruang kerja.
• Dibatasi hingga 200 tabel hasil pencarian per ruang kerja
• Dibatasi hingga 200 eksekusi pekerjaan pencarian per hari per ruang kerja
• Pekerjaan pencarian lintas penyewa tidak didukung
• Akses yang didelegasikan Azure Lighthouse tidak didukung untuk pekerjaan pencarian meskipun delegasi berisi izin searchJobs/write yang tepat - gagal dengan pesan kesalahan:
  Pengguna<managing-tenant-userId>tidak memiliki akses untuk melakukan tindakan Microsoft.OperationalInsights/workspaces/searchJobs/write dalam ruang lingkup<delegated-workspace-resourceID>.

Pertimbangan kueri KQL

Pekerjaan pencarian dimaksudkan untuk memindai data dalam volume besar dalam tabel tertentu, sehingga kueri pekerjaan pencarian harus selalu dimulai dengan nama tabel. Untuk mengaktifkan eksekusi asinkron menggunakan distribusi dan segmentasi, kueri mendukung subset KQL, termasuk operator tabular ini:

• where
• extend
• project
• project-away
• project-keep
• project-rename
• project-reorder
• parse
• parse-where

Semua fungsi dan operator biner dalam operator ini dapat digunakan.

Operator contains string diblokir dari penggunaan dalam pekerjaan pencarian karena kecocokan teks tingkat lanjut berdampak signifikan pada performa. Sebagai gantinya, gunakan operator string has. Untuk informasi selengkapnya tentang pertimbangan performa, lihat Mengoptimalkan kueri log di Azure Monitor.

Rencana harga

Biaya pekerjaan pencarian didasarkan pada:

• Eksekusi pekerjaan pencarian:

  • Rencana analitik - Jumlah data yang dipindai pekerjaan pencarian yang berada dalam retensi jangka panjang. Tidak ada biaya untuk memindai data yang berada dalam retensi analitik dalam tabel Analytics.

  • Paket Dasar atau Tambahan Pendukung - Semua data yang dipindai oleh pekerjaan pencarian untuk retensi jangka panjang.

    Data yang dipindai didefinisikan sebagai volume data dalam tabel tempat Anda menjalankan pekerjaan pencarian, dalam rentang waktu yang Anda tentukan. Untuk informasi selengkapnya tentang analitik dan retensi jangka panjang, lihat Mengelola retensi data di ruang kerja Analitik Log.

• Hasil pekerjaan pencarian - Jumlah data yang ditemukan pekerjaan pencarian dan diserap ke dalam tabel hasil, berdasarkan tingkat penyerapan data untuk tabel Analytics.

Misalnya, jika pencarian pada tabel Dasar mencakup 30 hari dan tabel menyimpan data 500 GB per hari, Anda dikenakan biaya untuk 15.000 GB data yang dipindai. Jika pekerjaan pencarian mengembalikan 1.000 rekaman, Anda akan dikenakan biaya untuk menyerap 1.000 rekaman ini ke dalam tabel hasil.

Untuk informasi selengkapnya, lihat Harga Azure Monitor.

Konten terkait

• Pelajari selengkapnya tentang mengelola retensi data di ruang kerja Analitik Log.
• Pelajari tentang mengkueri tabel Dasar dan Tambahan secara langsung.