Zoektaken uitvoeren in Azure Monitor

Een zoektaak is een asynchrone query die u uitvoert op alle gegevens in uw Log Analytics, in zowel interactieve als langetermijnretentie , die de queryresultaten beschikbaar maakt voor interactieve query's in een nieuwe zoektabel in uw werkruimte. De zoekopdracht maakt gebruik van parallelle verwerking en kan urenlang worden uitgevoerd in grote gegevenssets. In dit artikel wordt beschreven hoe u een zoektaak maakt en hoe u een query uitvoert op de resulterende gegevens.

In deze video wordt uitgelegd wanneer en hoe u zoektaken gebruikt:

Vereiste machtigingen

Actie	Vereiste machtigingen
Een zoektaak uitvoeren	Microsoft.OperationalInsights/workspaces/tables/write en Microsoft.OperationalInsights/workspaces/searchJobs/write machtigingen voor de Log Analytics-werkruimte, zoals geleverd door de ingebouwde rol Log Analytics-inzender.

Notitie

Zoektaken tussen tenants worden momenteel niet ondersteund, zelfs niet wanneer Entra ID-tenants worden beheerd via Azure Lighthouse.

Zoekopdrachten gebruiken

Zoektaken gebruiken om het volgende te doen:

• Records ophalen uit langetermijnretentie en tabellen met de basis- en hulpplannen in een nieuwe analytics-tabel, waar u kunt profiteren van de volledige analysemogelijkheden van Azure Monitor Log.
• Scan grote hoeveelheden gegevens als de time-out van de logboekquery van 10 minuten niet voldoende is.

Wat doet een zoekopdracht?

Een zoekopdracht verzendt de resultaten naar een nieuwe tabel in dezelfde werkruimte als de brongegevens. De resultatentabel is beschikbaar zodra de zoektaak begint, maar het kan even duren voordat de resultaten worden weergegeven.

De tabel met zoekresultaten voor zoekresultaten is een Analytics-tabel die beschikbaar is voor logboekquery's en andere Azure Monitor-functies die gebruikmaken van tabellen in een werkruimte. De tabel maakt gebruik van de retentiewaarde die is ingesteld voor de werkruimte, maar u kunt deze waarde wijzigen nadat de tabel is gemaakt.

Het schema van de tabel met zoekresultaten is gebaseerd op het brontabelschema en de opgegeven query. Met de volgende andere kolommen kunt u de bronrecords bijhouden:

Kolom	Weergegeven als
_OriginalType	Typ de waarde uit de brontabel.
_OriginalItemId	_ItemID waarde uit de brontabel.
_OriginalTimeGenerated	TimeGenerated-waarde uit de brontabel.
TimeGenerated	Tijdstip waarop de zoektaak is uitgevoerd.

Query's in de resultatentabel worden weergegeven in logboekquerycontrole, maar niet in de eerste zoektaak.

Een zoektaak uitvoeren

Voer een zoektaak uit om records uit grote gegevenssets op te halen in een nieuwe tabel met zoekresultaten in uw werkruimte.

Tip

Er worden kosten in rekening gebracht voor het uitvoeren van een zoektaak. Schrijf en optimaliseer uw query daarom in de interactieve querymodus voordat u de zoektaak uitvoert.

Portal

Ga als volgende te werk om een zoektaak uit te voeren in Azure Portal:

1. Selecteer Logboeken in het menu van de Log Analytics-werkruimte.

2. Selecteer het beletseltekenmenu aan de rechterkant van het scherm en schakel de zoektaakmodus in.

   

   Azure Monitor Logs intellisense ondersteunt KQL-querybeperkingen in de zoektaakmodus om u te helpen uw zoektaakquery te schrijven.

3. Geef het datumbereik van de zoektaak op met behulp van de tijdkiezer.

4. Typ de zoektaakquery en selecteer de knop Zoektaak .

   In Azure Monitor-logboeken wordt u gevraagd een naam op te geven voor de tabel met resultatensets en wordt u geïnformeerd dat de zoektaak onderhevig is aan facturering.

   

5. Voer een naam in voor de tabel met zoekresultaten van de zoektaak en selecteer Een zoektaak uitvoeren.

   Azure Monitor-logboeken voeren de zoektaak uit en maken een nieuwe tabel in uw werkruimte voor uw zoekresultaten.

   

6. Wanneer de nieuwe tabel klaar is, selecteert u Weergave tablename_SRCH om de tabel in Log Analytics weer te geven.

   

   U kunt de zoekresultaten van de zoektaak zien wanneer ze beginnen met stromen naar de zojuist gemaakte tabel met zoekresultaten voor zoekresultaten.

   

   In Azure Monitor-logboeken wordt een zoektaak weergegeven aan het einde van de zoektaak. De resultatentabel is nu klaar met alle records die overeenkomen met de zoekquery.

   

API

Als u een zoektaak wilt uitvoeren, roept u de Tabellen - API maken of bijwerken aan. De aanroep bevat de naam van de resultatentabel die moet worden gemaakt. De naam van de resultatentabel moet eindigen op _SRCH.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/<TableName>_SRCH?api-version=2021-12-01-preview

Aanvraagbody

Neem de volgende waarden op in de hoofdtekst van de aanvraag:

Name	Type	Description
properties.searchResults.query	tekenreeks	Logboekquery geschreven in KQL om gegevens op te halen.
properties.searchResults.limit	geheel getal	Maximum aantal records in de resultatenset, maximaal één miljoen records. (Optioneel)
properties.searchResults.startSearchTime	tekenreeks	Begin van het tijdsbereik om te zoeken.
properties.searchResults.endSearchTime	tekenreeks	Einde van het tijdsbereik om te zoeken.

Voorbeeldaanvraag

In dit voorbeeld wordt een tabel met de naam Syslog_suspected_SRCH gemaakt met de resultaten van een query die zoekt naar bepaalde records in de Syslog-tabel .

Aanvragen

PUT https://management.azure.com/subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/Syslog_suspected_SRCH?api-version=2021-12-01-preview

Aanvraagbody

{
    "properties": { 
        "searchResults": {
                "query": "Syslog | where * has 'suspected.exe'",
                "limit": 1000,
                "startSearchTime": "2020-01-01T00:00:00Z",
                "endSearchTime": "2020-01-31T00:00:00Z"
            }
    }
}

Respons

Statuscode: 202 geaccepteerd.

CLI

Als u een zoektaak wilt uitvoeren, voert u de opdracht az monitor log-analytics workspace table search-job create uit. De naam van de resultatentabel, die u instelt met behulp van de --name parameter, moet eindigen op _SRCH.

Voorbeeld

az monitor log-analytics workspace table search-job create --subscription ContosoSID --resource-group ContosoRG  --workspace-name ContosoWorkspace --name HeartbeatByIp_SRCH --search-query 'Heartbeat | where ComputerIP has "00.000.00.000"' --limit 1500 --start-search-time "2022-01-01T00:00:00.000Z" --end-search-time "2022-01-08T00:00:00.000Z" --no-wait

Powershell

Als u een zoektaak wilt uitvoeren, voert u de opdracht New-AzOperationalInsightsSearchTable uit. De naam van de resultatentabel, die u instelt met behulp van de TableName parameter, moet eindigen op _SRCH.

Voorbeeld

New-AzOperationalInsightsSearchTable -ResourceGroupName ContosoRG -WorkspaceName ContosoWorkspace -TableName HeartbeatByIp_SRCH -SearchQuery "Heartbeat" -StartSearchTime "01-01-2022 00:00:00" -EndSearchTime "01-01-2022 00:00:00"

Status en details van zoektaak ophalen

Portal

1. Selecteer Logboeken in het menu van de Log Analytics-werkruimte.

2. Selecteer Op het tabblad Tabellen de optie Zoekresultaten om alle tabellen met zoekresultaten voor zoekresultaten weer te geven.

   Het pictogram in de tabel met zoekresultaten van de zoektaak geeft een bijwerkindicatie weer totdat de zoektaak is voltooid.

   

API

Roep de tabellen aan - API ophalen om de status en details van een zoektaak op te halen:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/<TableName>_SRCH?api-version=2021-12-01-preview

Tabelstatus

Elke tabel met zoektaken heeft een eigenschap met de naam provisioningState, die een van de volgende waarden kan hebben:

-Status	Beschrijving
Bijwerken	De tabel en het bijbehorende schema vullen.
In uitvoering	De zoektaak wordt uitgevoerd en haalt gegevens op.
Geslaagd	De zoektaak is voltooid.
Verwijderen	De tabel met zoektaken verwijderen.

Voorbeeldaanvraag

In dit voorbeeld wordt de tabelstatus opgehaald voor de zoektaak in het vorige voorbeeld.

Aanvragen

GET https://management.azure.com/subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/Syslog_SRCH?api-version=2021-12-01-preview

Response

{
        "properties": {
        "retentionInDays": 30,
        "totalRetentionInDays": 30,
        "archiveRetentionInDays": 0,
        "plan": "Analytics",
        "lastPlanModifiedDate": "Mon, 01 Nov 2021 16:38:01 GMT",
        "schema": {
            "name": "Syslog_SRCH",
            "tableType": "SearchResults",
            "description": "This table was created using a Search Job with the following query: 'Syslog | where * has 'suspected.exe'.'",
            "columns": [...],
            "standardColumns": [...],
            "solutions": [
                "LogManagement"
            ],
            "searchResults": {
                "query": "Syslog | where * has 'suspected.exe'",
                "limit": 1000,
                "startSearchTime": "Wed, 01 Jan 2020 00:00:00 GMT",
                "endSearchTime": "Fri, 31 Jan 2020 00:00:00 GMT",
                "sourceTable": "Syslog"
            }
        },
        "provisioningState": "Succeeded"
    },
    "id": "subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/Syslog_SRCH",
    "name": "Syslog_SRCH"
}

CLI

Voer de opdracht az monitor log-analytics workspace table show uit om de status en details van een zoektaaktabel te controleren.

Voorbeeld

az monitor log-analytics workspace table show --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name HeartbeatByIp_SRCH --output table \

Powershell

Als u de status en details van een tabel met een zoektaak wilt controleren, voert u de opdracht Get-AzOperationalInsightsTable uit.

Voorbeeld

Get-AzOperationalInsightsTable -ResourceGroupName "ContosoRG" -WorkspaceName "ContosoWorkspace" -tableName "HeartbeatByIp_SRCH"

Notitie

Wanneer '-TableName' niet is opgegeven, geeft de opdracht in plaats daarvan alle tabellen weer die aan een werkruimte zijn gekoppeld.

Een zoektaaktabel verwijderen

U wordt aangeraden de tabel met zoektaken te verwijderen wanneer u klaar bent met het uitvoeren van query's op de tabel. Dit vermindert onbelangrijke werkruimten en extra kosten voor het bewaren van gegevens.

Beperkingen

Zoektaken gelden voor de volgende beperkingen:

• Geoptimaliseerd om een query uit te voeren op één tabel tegelijk.
• Het zoekdatumbereik is maximaal één jaar.
• Ondersteunt langdurige zoekopdrachten tot een time-out van 24 uur.
• Resultaten zijn beperkt tot één miljoen records in de recordset.
• Gelijktijdige uitvoering is beperkt tot vijf zoektaken per werkruimte.
• Beperkt tot 100 tabellen met zoekresultaten per werkruimte.
• Beperkt tot 100 uitvoeringen van zoektaken per dag per werkruimte.

Wanneer u de recordlimiet bereikt, wordt de taak door Azure afgebroken met een status van gedeeltelijk succes en bevat de tabel alleen records die tot dat moment zijn opgenomen.

Beperkingen voor KQL-query's

Zoektaken zijn bedoeld om grote hoeveelheden gegevens in een specifieke tabel te scannen. Zoektaakquery's moeten daarom altijd beginnen met een tabelnaam. Als u asynchrone uitvoering wilt inschakelen met behulp van distributie en segmentatie, ondersteunt de query een subset van KQL, met inbegrip van de operators:

• waar
• verlengen
• project
• project-away
• project-keep
• projectnaam wijzigen
• project opnieuw ordenen
• ontleden
• parse-where

U kunt alle functies en binaire operators binnen deze operators gebruiken.

Prijsmodel

De kosten voor de zoektaak zijn gebaseerd op:

• Uitvoering van zoektaak:

  • Analyseplan : de hoeveelheid gegevens die door de zoektaak wordt gescand in langetermijnretentie. Er worden geen kosten in rekening gebracht voor het scannen van gegevens in interactieve retentie in Analytics-tabellen.
  • Basis- of hulpplannen : alle gegevens die de zoektaak scant in zowel interactieve als langetermijnretentie.

  Zie Gegevensretentie beheren in een Log Analytics-werkruimte voor meer informatie over interactieve en langetermijnretentie.

• Zoekresultaten voor zoekresultaten: de hoeveelheid gegevens die de zoektaak vindt en wordt opgenomen in de resultatentabel, op basis van de gegevensopnamesnelheid voor Analytics-tabellen.

Als een zoekopdracht in een Basic-tabel bijvoorbeeld 30 dagen duurt en de tabel 500 GB aan gegevens per dag bevat, worden er 15.000 GB aan gescande gegevens in rekening gebracht. Als de zoektaak 1000 records retourneert, worden deze 1000 records opgenomen in de resultatentabel.

Zie prijzen voor Azure Monitor voor meer informatie.

Volgende stappen

• Meer informatie over het beheren van gegevensretentie in een Log Analytics-werkruimte.
• Meer informatie over het rechtstreeks uitvoeren van query's op basis- en hulptabellen.