Condividi tramite


Eseguire processi di ricerca in Monitoraggio di Azure

Un processo di ricerca è una query asincrona eseguita su qualsiasi dato in Log Analytics, nella conservazione interattiva e a lungo termine, che rende i risultati della query disponibili per le query interattive in una nuova tabella di ricerca nella tua area di lavoro. Il processo di ricerca usa l'elaborazione parallela e può essere eseguito per ore in set di dati di grandi dimensioni. Questo articolo descrive come creare un processo di ricerca e come eseguire query sui dati risultanti.

Questo video illustra quando e come usare i processi di ricerca:

Autorizzazioni obbligatorie

Azione Autorizzazioni obbligatorie
Eseguire un processo di ricerca Le autorizzazioni Microsoft.OperationalInsights/workspaces/tables/write e Microsoft.OperationalInsights/workspaces/searchJobs/write per l'area di lavoro Log Analytics, per esempio, fornite dal ruolo integrato di Collaboratore Log Analytics.

Nota

I processi di ricerca tra tenant non sono attualmente supportati, anche quando i tenant entra ID vengono gestiti tramite Azure Lighthouse.

Quando usare i processi di ricerca

Usare i processi di ricerca per:

Che cosa fa un processo di ricerca?

Un processo di ricerca invia i risultati a una nuova tabella nella stessa area di lavoro dei dati di origine. La tabella dei risultati è disponibile non appena inizia il processo di ricerca, ma potrebbe essere necessario tempo prima che i risultati inizino a essere visualizzati.

La tabella dei risultati del processo di ricerca è una tabella di Analisi disponibile per le query di log e altre funzionalità di Monitoraggio di Azure che usano tabelle in un'area di lavoro. La tabella usa il valore di conservazione impostato per l'area di lavoro, ma è possibile modificare questo valore dopo la creazione della tabella.

Lo schema della tabella dei risultati della ricerca si basa sullo schema della tabella di origine e sulla query specificata. Le altre colonne seguenti consentono di tenere traccia dei record di origine:

Colonna Valore
_OriginalType Valore del tipo dalla tabella di origine.
_OriginalItemId _ItemID valore della tabella di origine.
_OriginalTimeGenerated Valore TimeGenerated dalla tabella di origine.
TimeGenerated Ora di esecuzione del processo di ricerca.

Le query nella tabella dei risultati vengono visualizzate nel controllo delle query di log, ma non nel processo di ricerca iniziale.

Eseguire un processo di ricerca

Eseguire un processo di ricerca per recuperare i record da set di dati di grandi dimensioni in una nuova tabella dei risultati della ricerca nell'area di lavoro.

Suggerimento

Vengono addebitati addebiti per l'esecuzione di un processo di ricerca. Pertanto, scrivere e ottimizzare la query in modalità query interattiva prima di eseguire il processo di ricerca.

Per eseguire un processo di ricerca, nel portale di Azure:

  1. Dal menu dell'area di lavoro Log Analytics, selezionare Log.

  2. Selezionare il menu con i puntini di sospensione sul lato destro dello schermo e attivare/disattivare la modalità di processo di ricerca.

    Screenshot della schermata Log con l'opzione Modalità processo di ricerca evidenziata.

    Log di Monitoraggio di Azure intellisense supporta le limitazioni delle query KQL in modalità processo di ricerca per consentire di scrivere la query del processo di ricerca.

  3. Specificare l'intervallo di date del processo di ricerca usando la selezione ora.

  4. Digitare la query del processo di ricerca e selezionare il pulsante Processo di ricerca.

    I log di Monitoraggio di Azure richiedono di specificare un nome per la tabella del set di risultati e informano che il processo di ricerca è soggetto alla fatturazione.

    Screenshot che mostra il prompt dei log di Monitoraggio di Azure per specificare un nome per la tabella dei risultati del processo di ricerca.

  5. Immettere un nome per la tabella dei risultati del processo di ricerca e selezionare Esegui un processo di ricerca.

    I log di Monitoraggio di Azure eseguono il processo di ricerca e creano una nuova tabella nell'area di lavoro per i risultati del processo di ricerca.

    Screenshot che mostra un messaggio log di Monitoraggio di Azure che indica che il processo di ricerca è in esecuzione e la tabella dei risultati del processo di ricerca sarà disponibile a breve.

  6. Quando la nuova tabella è pronta, selezionare Visualizza tablename_SRCH per visualizzare la tabella in Log Analytics.

    Screenshot che mostra un messaggio log di Monitoraggio di Azure che indica che la tabella dei risultati del processo di ricerca è disponibile per la visualizzazione.

    È possibile visualizzare i risultati del processo di ricerca quando iniziano a passare alla tabella dei risultati del processo di ricerca appena creata.

    Screenshot che mostra la tabella dei risultati del processo di ricerca con i dati.

    Log di Monitoraggio di Azure mostra un messaggio Processo di ricerca completato al termine del processo di ricerca. La tabella dei risultati è ora pronta con tutti i record che corrispondono alla query di ricerca.

    Screenshot che mostra un messaggio log di Monitoraggio di Azure che indica che il processo di ricerca è stato completato.

Ottenere lo stato e i dettagli del processo di ricerca

  1. Dal menu dell'area di lavoro Log Analytics, selezionare Log.

  2. Nella scheda Tabelle selezionare Risultati della ricerca per visualizzare tutte le tabelle dei risultati del processo di ricerca.

    L'icona nella tabella dei risultati del processo di ricerca visualizza un'indicazione di aggiornamento fino al completamento del processo di ricerca.

    Screenshot che mostra la scheda Tabelle nella schermata Log del portale di Azure con le tabelle dei risultati della ricerca elencate in Risultati della ricerca.

Eliminare una tabella dei processi di ricerca

È consigliabile eliminare la tabella dei processi di ricerca al termine dell'esecuzione di query sulla tabella. In questo modo si riducono i costi aggiuntivi e i costi aggiuntivi per la conservazione dei dati.

Limiti

I processi di ricerca sono soggetti alle limitazioni seguenti:

  • Ottimizzata per eseguire query su una tabella alla volta.
  • L'intervallo di date di ricerca è limitato a un anno.
  • Supporta ricerche a esecuzione prolungata con un timeout massimo di 24 ore.
  • I risultati sono limitati a un milione di record nel set di record.
  • L'esecuzione simultanea è limitata a cinque processi di ricerca per area di lavoro.
  • Limitata a 100 tabelle dei risultati della ricerca per area di lavoro.
  • Limitata a 100 esecuzioni di processi di ricerca al giorno per area di lavoro.

Quando si raggiunge il limite di record, Azure interrompe il processo con stato di esito positivo parziale e la tabella contiene solo i record inseriti fino a quel punto.

Limitazioni delle query KQL

I processi di ricerca sono progettati per analizzare grandi volumi di dati in una tabella specifica. Pertanto, le query del processo di ricerca devono sempre iniziare con un nome di tabella. Per abilitare l'esecuzione asincrona usando la distribuzione e la segmentazione, la query supporta un subset di KQL, inclusi gli operatori:

È possibile usare tutte le funzioni e gli operatori binari all'interno di questi operatori.

Modello di determinazione prezzi

Gli addebiti relativi ai processi di ricerca si basano su:

  • Esecuzione del processo:

    • Piano Analytics: la quantità di dati analizzati dal processo di ricerca nella conservazione a lungo termine. Non sono previsti addebiti per l'analisi dei dati nella conservazione interattiva nelle tabelle di Analytics.
    • Piani Basic o Ausiliario: tutti i dati analizzati dal processo di ricerca nella conservazione interattiva e a lungo termine.

    Per altre informazioni sulla conservazione interattiva e a lungo termine, vedere Gestire la conservazione dei dati in un'area di lavoro Log Analytics.

  • Risultati del processo di ricerca: la quantità di dati che il processo di ricerca trova e viene inserita nella tabella dei risultati, in base alla frequenza di inserimento dati per le tabelle Analytics.

Ad esempio, se una ricerca su una tabella Basic copre 30 giorni e la tabella contiene 500 GB di dati al giorno, ti vengono addebitati 15.000 GB di dati analizzati. Se il processo di ricerca restituisce 1.000 record, verrà addebitato l'inserimento di questi 1.000 record nella tabella dei risultati.

Per altre informazioni, vedere Prezzi di Monitoraggio di Azure.

Passaggi successivi