Eseguire processi di ricerca in Monitoraggio di Azure
I processi di ricerca sono query asincrone che recuperano i record in una nuova tabella di ricerca all'interno dell'area di lavoro per ulteriori analisi. Il processo di ricerca usa l'elaborazione parallela e può essere eseguito per ore in set di dati di grandi dimensioni. Questo articolo descrive come creare un processo di ricerca e come eseguire query sui dati risultanti.
Nota
La funzionalità del processo di ricerca non è attualmente supportata per le aree di lavoro con chiavi gestite dal cliente.
Autorizzazioni
Per eseguire un processo di ricerca, sono necessarie Microsoft.OperationalInsights/workspaces/tables/write le autorizzazioni e Microsoft.OperationalInsights/workspaces/searchJobs/write per l'area di lavoro Log Analytics, ad esempio, come fornito dal ruolo predefinito Collaboratore Log Analytics.
Quando usare i processi di ricerca
Usare un processo di ricerca quando il timeout della query di log di 10 minuti non è sufficiente per eseguire ricerche in grandi volumi di dati o se si esegue una query lenta.
I processi di ricerca consentono anche di recuperare i record dai log archiviati e dalle tabelle dei log di base in una nuova tabella di log che è possibile usare per le query. In questo modo, l'esecuzione di un processo di ricerca può essere un'alternativa a:
Ripristino dei dati dai log archiviati per un intervallo di tempo specifico.
Usare il ripristino quando è necessario eseguire molte query su un volume elevato di dati.Esecuzione di query sui log di base direttamente e pagamento per ogni query.
Per determinare quale alternativa è più conveniente, confrontare il costo dell'esecuzione di query sui log di base con il costo di esecuzione di un processo di ricerca e l'archiviazione dei risultati del processo di ricerca.
Che cosa fa un processo di ricerca?
Un processo di ricerca invia i risultati a una nuova tabella nella stessa area di lavoro dei dati di origine. La tabella dei risultati è disponibile non appena inizia il processo di ricerca, ma potrebbe essere necessario tempo prima che i risultati inizino a essere visualizzati.
La tabella dei risultati del processo di ricerca è una tabella di Analisi disponibile per le query di log e altre funzionalità di Monitoraggio di Azure che usano tabelle in un'area di lavoro. La tabella usa il valore di conservazione impostato per l'area di lavoro, ma è possibile modificare questo valore dopo la creazione della tabella.
Lo schema della tabella dei risultati della ricerca si basa sullo schema della tabella di origine e sulla query specificata. Le altre colonne seguenti consentono di tenere traccia dei record di origine:
| Column | Valore |
|---|---|
| _OriginalType | Valore del tipo dalla tabella di origine. |
| _OriginalItemId | _ItemID valore della tabella di origine. |
| _OriginalTimeGenerated | Valore TimeGenerated dalla tabella di origine. |
| TimeGenerated | Ora di esecuzione del processo di ricerca. |
Le query nella tabella dei risultati vengono visualizzate nel controllo delle query di log, ma non nel processo di ricerca iniziale.
Eseguire un processo di ricerca
Eseguire un processo di ricerca per recuperare i record da set di dati di grandi dimensioni in una nuova tabella dei risultati della ricerca nell'area di lavoro.
Suggerimento
Vengono addebitati addebiti per l'esecuzione di un processo di ricerca. Pertanto, scrivere e ottimizzare la query in modalità query interattiva prima di eseguire il processo di ricerca.
Per eseguire un processo di ricerca, nella portale di Azure:
Dal menu dell'area di lavoro Log Analytics selezionare Log.
Selezionare il menu con i puntini di sospensione sul lato destro dello schermo e attivare/disattivare la modalità processo di ricerca.
Log di Monitoraggio di Azure intellisense supporta le limitazioni delle query KQL in modalità processo di ricerca per consentire di scrivere la query del processo di ricerca.
Specificare l'intervallo di date del processo di ricerca usando la selezione ora.
Digitare la query del processo di ricerca e selezionare il pulsante Cerca processo .
I log di Monitoraggio di Azure richiedono di specificare un nome per la tabella del set di risultati e informano che il processo di ricerca è soggetto alla fatturazione.
Immettere un nome per la tabella dei risultati del processo di ricerca e selezionare Esegui un processo di ricerca.
I log di Monitoraggio di Azure eseguono il processo di ricerca e creano una nuova tabella nell'area di lavoro per i risultati del processo di ricerca.
Quando la nuova tabella è pronta, selezionare Visualizza tablename_SRCH per visualizzare la tabella in Log Analytics.
È possibile visualizzare i risultati del processo di ricerca quando iniziano a passare alla tabella dei risultati del processo di ricerca appena creata.
Log di Monitoraggio di Azure mostra che un processo di ricerca viene completato al termine del processo di ricerca. La tabella dei risultati è ora pronta con tutti i record che corrispondono alla query di ricerca.
Ottenere lo stato e i dettagli del processo di ricerca
Dal menu dell'area di lavoro Log Analytics selezionare Log.
Nella scheda Tabelle selezionare Risultati ricerca per visualizzare tutte le tabelle dei risultati del processo di ricerca.
L'icona nella tabella dei risultati del processo di ricerca visualizza un'indicazione di aggiornamento fino al completamento del processo di ricerca.
Eliminare una tabella dei processi di ricerca
È consigliabile eliminare la tabella dei processi di ricerca al termine dell'esecuzione di query sulla tabella. In questo modo si riducono i costi aggiuntivi e i costi aggiuntivi per la conservazione dei dati.
Limiti
I processi di ricerca sono soggetti alle limitazioni seguenti:
- Ottimizzata per eseguire query su una tabella alla volta.
- L'intervallo di date di ricerca è limitato a un anno.
- Supporta ricerche a esecuzione prolungata con un timeout massimo di 24 ore.
- I risultati sono limitati a un milione di record nel set di record.
- L'esecuzione simultanea è limitata a cinque processi di ricerca per area di lavoro.
- Limitata a 100 tabelle dei risultati della ricerca per area di lavoro.
- Limitata a 100 esecuzioni di processi di ricerca al giorno per area di lavoro.
Quando si raggiunge il limite di record, Azure interrompe il processo con stato di esito positivo parziale e la tabella conterrà solo i record inseriti fino a quel punto.
Limitazioni delle query KQL
I processi di ricerca sono progettati per analizzare grandi volumi di dati in una tabella specifica. Pertanto, le query del processo di ricerca devono sempre iniziare con un nome di tabella. Per abilitare l'esecuzione asincrona usando la distribuzione e la segmentazione, la query supporta un subset di KQL, inclusi gli operatori:
È possibile usare tutte le funzioni e gli operatori binari all'interno di questi operatori.
Modello di determinazione prezzi
L'addebito per un processo di ricerca si basa su:
- Esecuzione del processo di ricerca: la quantità di dati a cui viene eseguita l'analisi del processo di ricerca.
- Risultati del processo di ricerca: la quantità di dati che il processo di ricerca trova e viene inserita nella tabella dei risultati, in base ai normali prezzi di inserimento dei dati di log.
Ad esempio, se la tabella contiene 500 GB al giorno, per una ricerca di oltre 30 giorni, verranno addebitati 15.000 GB di dati analizzati. Se il processo di ricerca trova 1.000 record corrispondenti alla query di ricerca, verrà addebitato l'inserimento di questi 1.000 record nella tabella dei risultati.
Per altre informazioni, vedere Prezzi di Monitoraggio di Azure.