Eseguire processi di ricerca in Monitoraggio di Azure

Articolo
03/25/2023
8 minuti per la lettura

I processi di ricerca sono query asincrone che recuperano i record in una nuova tabella di ricerca all'interno dell'area di lavoro per ulteriori analisi. Il processo di ricerca usa l'elaborazione parallela e può essere eseguito per ore in set di dati di grandi dimensioni. Questo articolo descrive come creare un processo di ricerca e come eseguire query sui dati risultanti.

Nota

La funzionalità del processo di ricerca non è attualmente supportata per i casi seguenti:

Aree di lavoro con chiavi gestite dal cliente.
Aree di lavoro nell'area Cina orientale 2.

Quando usare i processi di ricerca

Usare un processo di ricerca quando il timeout della query di log di 10 minuti non è sufficiente per eseguire ricerche in grandi volumi di dati o se si esegue una query lenta.

I processi di ricerca consentono anche di recuperare i record dalle tabelle Log archiviati e Log di base in una nuova tabella di log che è possibile usare per le query. In questo modo, l'esecuzione di un processo di ricerca può essere un'alternativa a:

Ripristino dei dati dai log archiviati per un intervallo di tempo specifico.
Usare il ripristino quando è necessario eseguire molte query su un volume elevato di dati.
Eseguire query sui log di base direttamente e pagare per ogni query.
Per determinare quale alternativa è più conveniente, confrontare il costo di eseguire query sui log di base con il costo di esecuzione di un processo di ricerca e l'archiviazione dei risultati del processo di ricerca.

Che cosa fa un processo di ricerca?

Un processo di ricerca invia i risultati a una nuova tabella nella stessa area di lavoro dei dati di origine. La tabella dei risultati è disponibile non appena inizia il processo di ricerca, ma potrebbe richiedere tempo per iniziare a visualizzare i risultati.

La tabella dei risultati del processo di ricerca è una tabella di Analisi disponibile per le query di log e altre funzionalità di Monitoraggio di Azure che usano tabelle in un'area di lavoro. La tabella usa il valore di conservazione impostato per l'area di lavoro, ma è possibile modificare questo valore dopo la creazione della tabella.

Lo schema della tabella dei risultati della ricerca è basato sullo schema della tabella di origine e sulla query specificata. Le altre colonne seguenti consentono di tenere traccia dei record di origine:

Colonna	valore
_OriginalType	Valore di tipo dalla tabella di origine.
_OriginalItemId	_ItemID valore dalla tabella di origine.
_OriginalTimeGenerated	Valore TimeGenerated dalla tabella di origine.
TimeGenerated	Ora in cui è stato eseguito il processo di ricerca.

Le query nella tabella dei risultati vengono visualizzate nel controllo delle query di log , ma non nel processo di ricerca iniziale.

Eseguire un processo di ricerca

Eseguire un processo di ricerca per recuperare i record da set di dati di grandi dimensioni in una nuova tabella dei risultati della ricerca nell'area di lavoro.

Suggerimento

Vengono addebitati addebiti per l'esecuzione di un processo di ricerca. Pertanto, scrivere e ottimizzare la query in modalità query interattiva prima di eseguire il processo di ricerca.

Per eseguire un processo di ricerca, nella portale di Azure:

Dal menu dell'area di lavoro Log Analytics selezionare Log.
Selezionare il menu con i puntini di sospensione sul lato destro della schermata e attivare la modalità processo di ricerca .

Log di Monitoraggio di Azure supporta le limitazioni delle query KQL nella modalità processo di ricerca per consentire di scrivere la query del processo di ricerca.
Specificare l'intervallo di date del processo di ricerca usando la selezione ora.
Digitare la query del processo di ricerca e selezionare il pulsante Cerca processo .

I log di Monitoraggio di Azure richiedono di specificare un nome per la tabella del set di risultati e informa che il processo di ricerca è soggetto alla fatturazione.
Immettere un nome per la tabella dei risultati del processo di ricerca e selezionare Esegui un processo di ricerca.

Log di Monitoraggio di Azure esegue il processo di ricerca e crea una nuova tabella nell'area di lavoro per i risultati del processo di ricerca.
Quando la nuova tabella è pronta, selezionare Visualizza tablename_SRCH per visualizzare la tabella in Log Analytics.

È possibile visualizzare i risultati del processo di ricerca quando iniziano a scorrere nella tabella dei risultati del processo di ricerca appena creata.

I log di Monitoraggio di Azure mostrano che un processo di ricerca viene eseguito al termine del processo di ricerca. La tabella dei risultati è ora pronta con tutti i record corrispondenti alla query di ricerca.

Per eseguire un processo di ricerca, chiamare tabelle - Creare o aggiornare l'API. La chiamata include il nome della tabella dei risultati da creare. Il nome della tabella dei risultati deve terminare con _SRCH.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/<TableName>_SRCH?api-version=2021-12-01-preview

Testo della richiesta

Includere i valori seguenti nel corpo della richiesta:

Nome	Tipo	Descrizione
properties.searchResults.query	string	Query di log scritta in KQL per recuperare i dati.
properties.searchResults.limit	numero intero	Numero massimo di record nel set di risultati, fino a un milione di record. Facoltativa
properties.searchResults.startSearchTime	string	Inizio dell'intervallo di tempo da cercare.
properties.searchResults.endSearchTime	string	Fine dell'intervallo di tempo da cercare.

Richiesta di esempio

In questo esempio viene creata una tabella denominata Syslog_suspected_SRCH con i risultati di una query che cerca record specifici nella tabella Syslog .

Richiesta

PUT https://management.azure.com/subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/Syslog_suspected_SRCH?api-version=2021-12-01-preview

Testo della richiesta

{
    "properties": { 
        "searchResults": {
                "query": "Syslog | where * has 'suspected.exe'",
                "limit": 1000,
                "startSearchTime": "2020-01-01T00:00:00Z",
                "endSearchTime": "2020-01-31T00:00:00Z"
            }
    }
}

Risposta

Codice di stato: 202 accettato.

Per eseguire un processo di ricerca, eseguire il comando az monitor log-analytics workspace table search-job create . Il nome della tabella dei risultati, impostata usando il --name parametro, deve terminare con _SRCH.

Ad esempio:

az monitor log-analytics workspace table search-job create --subscription ContosoSID --resource-group ContosoRG  --workspace-name ContosoWorkspace --name HeartbeatByIp_SRCH --search-query 'Heartbeat | where ComputerIP has "00.000.00.000"' --limit 1500 --start-search-time "2022-01-01T00:00:00.000Z" --end-search-time "2022-01-08T00:00:00.000Z" --no-wait

Ottenere lo stato e i dettagli del processo di ricerca

Dal menu dell'area di lavoro Log Analytics selezionare Log.
Nella scheda Tabelle selezionare Risultati ricerca per visualizzare tutte le tabelle dei risultati del processo di ricerca.

L'icona nella tabella dei risultati del processo di ricerca visualizza un'indicazione di aggiornamento fino al completamento del processo di ricerca.

Chiamare le tabelle - Ottenere l'API per ottenere lo stato e i dettagli di un processo di ricerca:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/<TableName>_SRCH?api-version=2021-12-01-preview

Stato tabella

Ogni tabella del processo di ricerca ha una proprietà denominata provisioningState, che può avere uno dei valori seguenti:

Stato	Descrizione
Aggiornamento	Popolamento della tabella e del relativo schema.
InProgress	Il processo di ricerca è in esecuzione, recuperando i dati.
Completato	Processo di ricerca completato.
Deleting	Eliminazione della tabella del processo di ricerca.

Richiesta di esempio

In questo esempio viene recuperato lo stato della tabella per il processo di ricerca nell'esempio precedente.

Richiesta

GET https://management.azure.com/subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/Syslog_SRCH?api-version=2021-12-01-preview

Risposta

{
        "properties": {
        "retentionInDays": 30,
        "totalRetentionInDays": 30,
        "archiveRetentionInDays": 0,
        "plan": "Analytics",
        "lastPlanModifiedDate": "Mon, 01 Nov 2021 16:38:01 GMT",
        "schema": {
            "name": "Syslog_SRCH",
            "tableType": "SearchResults",
            "description": "This table was created using a Search Job with the following query: 'Syslog | where * has 'suspected.exe'.'",
            "columns": [...],
            "standardColumns": [...],
            "solutions": [
                "LogManagement"
            ],
            "searchResults": {
                "query": "Syslog | where * has 'suspected.exe'",
                "limit": 1000,
                "startSearchTime": "Wed, 01 Jan 2020 00:00:00 GMT",
                "endSearchTime": "Fri, 31 Jan 2020 00:00:00 GMT",
                "sourceTable": "Syslog"
            }
        },
        "provisioningState": "Succeeded"
    },
    "id": "subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/Syslog_SRCH",
    "name": "Syslog_SRCH"
}

Per controllare lo stato e i dettagli di una tabella dei processi di ricerca, eseguire il comando az monitor log-analytics workspace table show .

Ad esempio:

az monitor log-analytics workspace table show --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name HeartbeatByIp_SRCH --output table \

Eliminare una tabella del processo di ricerca

È consigliabile eliminare la tabella del processo di ricerca quando si esegue una query sulla tabella. In questo modo, l'area di lavoro riduce i costi aggiuntivi per la conservazione dei dati.

Limitazioni

I processi di ricerca sono soggetti alle limitazioni seguenti:

Ottimizzata per eseguire query su una tabella alla volta.
L'intervallo di date di ricerca è limitato a un anno.
Supporta ricerche a esecuzione prolungata con un timeout massimo di 24 ore.
I risultati sono limitati a un milione di record nel set di record.
L'esecuzione simultanea è limitata a cinque processi di ricerca per area di lavoro.
Limitata a 100 tabelle dei risultati della ricerca per area di lavoro.
Limitata a 100 esecuzioni di processi di ricerca al giorno per area di lavoro.

Quando si raggiunge il limite di record, Azure interrompe il processo con uno stato di esito positivo parziale e la tabella conterrà solo i record inseriti fino a quel punto.

Limitazioni delle query KQL

I processi di ricerca sono destinati a analizzare grandi volumi di dati in una tabella specifica. Pertanto, le query del processo di ricerca devono iniziare sempre con un nome di tabella. Per abilitare l'esecuzione asincrona usando la distribuzione e la segmentazione, la query supporta un subset di KQL, inclusi gli operatori:

È possibile usare tutte le funzioni e gli operatori binari all'interno di questi operatori.

Modello di prezzi

L'addebito per un processo di ricerca è basato su:

Esecuzione del processo di ricerca: la quantità di dati che il processo di ricerca deve analizzare.
Risultati del processo di ricerca: quantità di dati inseriti nella tabella dei risultati, in base ai prezzi di inserimento dei dati di log regolari.

Ad esempio, se la tabella contiene 500 GB al giorno, per una query su tre giorni, verrà addebitato un addebito per 1500 GB di dati analizzati. Se il processo restituisce 1000 record, verrà addebitato l'addebito per l'inserimento di questi 1000 record nella tabella dei risultati.