Zoektaken uitvoeren in Azure Monitor

Zoektaken zijn asynchrone query's waarmee records worden opgehaald in een nieuwe zoektabel in uw werkruimte voor verdere analyse. De zoekopdracht maakt gebruik van parallelle verwerking en kan urenlang worden uitgevoerd in grote gegevenssets. In dit artikel wordt beschreven hoe u een zoektaak maakt en hoe u een query uitvoert op de resulterende gegevens.

Notitie

De zoektaakfunctie wordt momenteel niet ondersteund voor werkruimten met door de klant beheerde sleutels.

Bevoegdheden

Als u een zoektaak wilt uitvoeren, hebt u behoefte Microsoft.OperationalInsights/workspaces/tables/write aan en Microsoft.OperationalInsights/workspaces/searchJobs/write machtigingen voor de Log Analytics-werkruimte, zoals opgegeven door de ingebouwde rol Log Analytics-inzender.

Zoekopdrachten gebruiken

Gebruik een zoektaak wanneer de time-out van de logboekquery van 10 minuten niet voldoende is om grote hoeveelheden gegevens te doorzoeken of als u een trage query uitvoert.

Met zoektaken kunt u ook records ophalen uit gearchiveerde logboeken en basislogboeken in een nieuwe logboektabel die u voor query's kunt gebruiken. Op deze manier kan het uitvoeren van een zoektaak een alternatief zijn voor:

• Het herstellen van gegevens uit gearchiveerde logboeken voor een specifiek tijdsbereik.
  Gebruik herstellen wanneer u tijdelijk veel query's moet uitvoeren op een groot aantal gegevens.

• Rechtstreeks query's uitvoeren op basislogboeken en betalen voor elke query.
  Als u wilt bepalen welk alternatief rendabeler is, vergelijkt u de kosten voor het uitvoeren van query's op basislogboeken met de kosten voor het uitvoeren van een zoektaak en het opslaan van de zoekresultaten.

Wat doet een zoekopdracht?

Een zoekopdracht verzendt de resultaten naar een nieuwe tabel in dezelfde werkruimte als de brongegevens. De resultatentabel is beschikbaar zodra de zoektaak begint, maar het kan even duren voordat de resultaten worden weergegeven.

De tabel met zoekresultaten voor zoekresultaten is een Analytics-tabel die beschikbaar is voor logboekquery's en andere Azure Monitor-functies die gebruikmaken van tabellen in een werkruimte. De tabel maakt gebruik van de retentiewaarde die is ingesteld voor de werkruimte, maar u kunt deze waarde wijzigen nadat de tabel is gemaakt.

Het schema van de tabel met zoekresultaten is gebaseerd op het brontabelschema en de opgegeven query. Met de volgende andere kolommen kunt u de bronrecords bijhouden:

Kolom	Weergegeven als
_OriginalType	Typ de waarde uit de brontabel.
_OriginalItemId	_ItemID waarde uit de brontabel.
_OriginalTimeGenerated	TimeGenerated-waarde uit de brontabel.
TimeGenerated	Tijdstip waarop de zoektaak is uitgevoerd.

Query's in de resultatentabel worden weergegeven in logboekquerycontrole, maar niet in de eerste zoektaak.

Een zoektaak uitvoeren

Voer een zoektaak uit om records uit grote gegevenssets op te halen in een nieuwe tabel met zoekresultaten in uw werkruimte.

Tip

Er worden kosten in rekening gebracht voor het uitvoeren van een zoektaak. Schrijf en optimaliseer uw query daarom in de interactieve querymodus voordat u de zoektaak uitvoert.

Portal

Ga als volgende te werk om een zoektaak uit te voeren in Azure Portal:

1. Selecteer Logboeken in het menu van de Log Analytics-werkruimte.

2. Selecteer het beletseltekenmenu aan de rechterkant van het scherm en schakel de zoektaakmodus in.

   

   Azure Monitor Logs intellisense ondersteunt KQL-querybeperkingen in de zoektaakmodus om u te helpen uw zoektaakquery te schrijven.

3. Geef het datumbereik van de zoektaak op met behulp van de tijdkiezer.

4. Typ de zoektaakquery en selecteer de knop Zoektaak .

   In Azure Monitor-logboeken wordt u gevraagd een naam op te geven voor de tabel met resultatensets en wordt u geïnformeerd dat de zoektaak onderhevig is aan facturering.

   

5. Voer een naam in voor de tabel met zoekresultaten van de zoektaak en selecteer Een zoektaak uitvoeren.

   Azure Monitor-logboeken voeren de zoektaak uit en maken een nieuwe tabel in uw werkruimte voor uw zoekresultaten.

   

6. Wanneer de nieuwe tabel klaar is, selecteert u Weergave tablename_SRCH om de tabel in Log Analytics weer te geven.

   

   U kunt de zoekresultaten van de zoektaak zien wanneer ze beginnen met stromen naar de zojuist gemaakte tabel met zoekresultaten voor zoekresultaten.

   

   In Azure Monitor-logboeken wordt een zoektaak weergegeven aan het einde van de zoektaak. De resultatentabel is nu klaar met alle records die overeenkomen met de zoekquery.

   

API

Als u een zoektaak wilt uitvoeren, roept u de Tabellen - API maken of bijwerken aan. De aanroep bevat de naam van de resultatentabel die moet worden gemaakt. De naam van de resultatentabel moet eindigen op _SRCH.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/<TableName>_SRCH?api-version=2021-12-01-preview

Aanvraagbody

Neem de volgende waarden op in de hoofdtekst van de aanvraag:

Name	Type	Description
properties.searchResults.query	tekenreeks	Logboekquery geschreven in KQL om gegevens op te halen.
properties.searchResults.limit	geheel getal	Maximum aantal records in de resultatenset, maximaal één miljoen records. (Optioneel)
properties.searchResults.startSearchTime	tekenreeks	Begin van het tijdsbereik om te zoeken.
properties.searchResults.endSearchTime	tekenreeks	Einde van het tijdsbereik om te zoeken.

Voorbeeldaanvraag

In dit voorbeeld wordt een tabel met de naam Syslog_suspected_SRCH gemaakt met de resultaten van een query die zoekt naar bepaalde records in de Syslog-tabel .

Aanvragen

PUT https://management.azure.com/subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/Syslog_suspected_SRCH?api-version=2021-12-01-preview

Aanvraagbody

{
    "properties": { 
        "searchResults": {
                "query": "Syslog | where * has 'suspected.exe'",
                "limit": 1000,
                "startSearchTime": "2020-01-01T00:00:00Z",
                "endSearchTime": "2020-01-31T00:00:00Z"
            }
    }
}

Respons

Statuscode: 202 geaccepteerd.

CLI

Als u een zoektaak wilt uitvoeren, voert u de opdracht az monitor log-analytics workspace table search-job create uit. De naam van de resultatentabel, die u instelt met behulp van de --name parameter, moet eindigen op _SRCH.

Voorbeeld:

az monitor log-analytics workspace table search-job create --subscription ContosoSID --resource-group ContosoRG  --workspace-name ContosoWorkspace --name HeartbeatByIp_SRCH --search-query 'Heartbeat | where ComputerIP has "00.000.00.000"' --limit 1500 --start-search-time "2022-01-01T00:00:00.000Z" --end-search-time "2022-01-08T00:00:00.000Z" --no-wait

Status en details van zoektaak ophalen

Portal

1. Selecteer Logboeken in het menu van de Log Analytics-werkruimte.

2. Selecteer Op het tabblad Tabellen de optie Zoekresultaten om alle tabellen met zoekresultaten voor zoekresultaten weer te geven.

   Het pictogram in de tabel met zoekresultaten van de zoektaak geeft een bijwerkindicatie weer totdat de zoektaak is voltooid.

   

API

Roep de tabellen aan - API ophalen om de status en details van een zoektaak op te halen:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/<TableName>_SRCH?api-version=2021-12-01-preview

Tabelstatus

Elke tabel met zoektaken heeft een eigenschap met de naam provisioningState, die een van de volgende waarden kan hebben:

-Status	Beschrijving
Bijwerken	De tabel en het bijbehorende schema vullen.
InProgress	De zoektaak wordt uitgevoerd en haalt gegevens op.
Geslaagd	De zoektaak is voltooid.
Verwijderen	De tabel met zoektaken verwijderen.

Voorbeeldaanvraag

In dit voorbeeld wordt de tabelstatus opgehaald voor de zoektaak in het vorige voorbeeld.

Aanvragen

GET https://management.azure.com/subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/Syslog_SRCH?api-version=2021-12-01-preview

Response

{
        "properties": {
        "retentionInDays": 30,
        "totalRetentionInDays": 30,
        "archiveRetentionInDays": 0,
        "plan": "Analytics",
        "lastPlanModifiedDate": "Mon, 01 Nov 2021 16:38:01 GMT",
        "schema": {
            "name": "Syslog_SRCH",
            "tableType": "SearchResults",
            "description": "This table was created using a Search Job with the following query: 'Syslog | where * has 'suspected.exe'.'",
            "columns": [...],
            "standardColumns": [...],
            "solutions": [
                "LogManagement"
            ],
            "searchResults": {
                "query": "Syslog | where * has 'suspected.exe'",
                "limit": 1000,
                "startSearchTime": "Wed, 01 Jan 2020 00:00:00 GMT",
                "endSearchTime": "Fri, 31 Jan 2020 00:00:00 GMT",
                "sourceTable": "Syslog"
            }
        },
        "provisioningState": "Succeeded"
    },
    "id": "subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/Syslog_SRCH",
    "name": "Syslog_SRCH"
}

CLI

Voer de opdracht az monitor log-analytics workspace table show uit om de status en details van een zoektaaktabel te controleren.

Voorbeeld:

az monitor log-analytics workspace table show --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name HeartbeatByIp_SRCH --output table \

Een zoektaaktabel verwijderen

U wordt aangeraden de tabel met zoektaken te verwijderen wanneer u klaar bent met het uitvoeren van query's op de tabel. Dit vermindert onbelangrijke werkruimten en extra kosten voor het bewaren van gegevens.

Beperkingen

Zoektaken gelden voor de volgende beperkingen:

• Geoptimaliseerd om een query uit te voeren op één tabel tegelijk.
• Het zoekdatumbereik is maximaal één jaar.
• Ondersteunt langdurige zoekopdrachten tot een time-out van 24 uur.
• Resultaten zijn beperkt tot één miljoen records in de recordset.
• Gelijktijdige uitvoering is beperkt tot vijf zoektaken per werkruimte.
• Beperkt tot 100 tabellen met zoekresultaten per werkruimte.
• Beperkt tot 100 uitvoeringen van zoektaken per dag per werkruimte.

Wanneer u de recordlimiet bereikt, wordt de taak door Azure afgebroken met een status van gedeeltelijk succes en bevat de tabel alleen records die tot dat moment zijn opgenomen.

Beperkingen voor KQL-query's

Zoektaken zijn bedoeld om grote hoeveelheden gegevens in een specifieke tabel te scannen. Zoektaakquery's moeten daarom altijd beginnen met een tabelnaam. Als u asynchrone uitvoering wilt inschakelen met behulp van distributie en segmentatie, ondersteunt de query een subset van KQL, met inbegrip van de operators:

• Waar
• Uitbreiden
• Project
• project-away
• project-keep
• projectnaam wijzigen
• project opnieuw ordenen
• Parse
• parse-where

U kunt alle functies en binaire operators binnen deze operators gebruiken.

Prijsmodel

De kosten voor een zoektaak zijn gebaseerd op:

• Uitvoering van zoektaak: de hoeveelheid gegevens die de zoektaak scant.
• Zoekresultaten van zoekresultaten: de hoeveelheid gegevens die de zoektaak vindt en wordt opgenomen in de resultatentabel, op basis van de normale gegevensopnameprijzen voor logboekgegevens.

Als uw tabel bijvoorbeeld 500 GB per dag bevat voor een zoekopdracht van meer dan 30 dagen, worden er kosten in rekening gebracht voor 15.000 GB aan gescande gegevens. Als de zoektaak 1000 records vindt die overeenkomen met de zoekquery, worden er kosten in rekening gebracht voor het opnemen van deze 1000 records in de resultatentabel.

Zie prijzen voor Azure Monitor voor meer informatie.

Volgende stappen

• Meer informatie over het bewaren en archiveren van gegevens.
• Meer informatie over het herstellen van gegevens. Dit is een andere methode voor het ophalen van gearchiveerde gegevens.
• Meer informatie over het rechtstreeks uitvoeren van query's op basislogboeken.