Zoektaken uitvoeren in Azure Monitor

Een zoekopdracht is een asynchrone query die je uitvoert op alle gegevens in Log Analytics - zowel voor analyses als voor langetermijnretentie - waardoor de resultaten van de query beschikbaar komen voor interactieve query's in een nieuwe zoektabel binnen je werkruimte. De zoekopdracht maakt gebruik van parallelle verwerking en kan urenlang worden uitgevoerd in grote gegevenssets. In dit artikel wordt beschreven hoe u een zoektaak maakt en hoe u een query uitvoert op de resulterende gegevens.

In deze video wordt uitgelegd wanneer en hoe u zoektaken gebruikt:

Vereiste toestemmingen

Actie	Vereiste toestemmingen
Een zoektaak uitvoeren	Microsoft.OperationalInsights/workspaces/tables/write en Microsoft.OperationalInsights/workspaces/searchJobs/write machtigingen voor de Log Analytics-werkruimte, zoals verstrekt door de ingebouwde rol Log Analytics-bijdrager.

Notitie

Zoekopdrachten tussen tenants worden niet ondersteund. Gedelegeerde toegang van Azure Lighthouse wordt ook niet ondersteund voor zoektaken (of herstellen), zelfs niet wanneer een gedelegeerde rol is toegewezen, inclusief de machtiging searchJobs/write.

Wanneer zoekopdrachten te gebruiken

Zoektaken gebruiken om het volgende te doen:

• Records ophalen uit langetermijnretentie en tabellen met de basis- en hulpplannen in een nieuwe analytics-tabel, waar u kunt profiteren van de volledige analysemogelijkheden van Azure Monitor Log.
• Scan grote hoeveelheden gegevens als de time-out van de logboekquery van 10 minuten niet voldoende is.

Wat doet een zoekopdracht?

Een zoektaak scant gegevens en verzendt de resultaten naar een nieuwe tabel in dezelfde werkruimte als de brongegevens. De resultatentabel is beschikbaar zodra de zoektaak begint, maar het kan even duren voordat de resultaten worden weergegeven. Er worden kosten gemaakt op basis van het prijsmodel van gescande gegevens en de grootte van de opgenomen resultaten. Voordat een zoektaak wordt uitgevoerd, is er een kostenraming beschikbaar om u te helpen bepalen of u de taak wilt uitvoeren.

De zoekopdrachten resultaten tabel is een Analytics-tabel die beschikbaar is voor logquery's en andere Azure Monitor-functies die tabellen in een werkruimte gebruiken. De tabel maakt gebruik van de retentiewaarde die is ingesteld voor de werkruimte, maar u kunt deze waarde wijzigen nadat de tabel is gemaakt.

Het schema van de tabel met zoekresultaten is gebaseerd op het brontabelschema en de opgegeven query. Met de volgende andere kolommen kunt u de bronrecords bijhouden:

Kolom	Waarde
_OriginalType	Type waarde uit de brontabel.
_OriginalItemId	_ItemID waarde uit de brontabel.
_OriginalTimeGenerated	De waarde van TimeGenerated uit de brontabel.
TijdstipGenereerd	Tijdstip waarop de zoektaak is uitgevoerd.

Query's in de resultatentabel worden weergegeven in logboek querycontrole, maar niet in de eerste zoekopdracht.

Een zoektaak uitvoeren

Voer een zoektaak uit om records uit grote gegevenssets op te halen in een nieuwe tabel met zoekresultaten in uw werkruimte.

Aanbeveling

Er worden kosten in rekening gebracht voor het uitvoeren van een zoektaak. Schrijf en optimaliseer uw query in de interactieve querymodus voordat u de zoektaak uitvoert. Gebruik de preview-versie van de kostenraming om inzicht te krijgen in de mogelijke kosten.

Portaal

Ga als volgende te werk om een zoektaak uit te voeren in Azure Portal:

1. Selecteer Logboeken in het menu van de Log Analytics-werkruimte.

2. Typ een zoekopdracht in of selecteer gewoon de gewenste tabel.

3. Selecteer het beletseltekenmenu aan de rechterkant van het scherm en selecteer Zoektaak.

   

4. Of gebruik de vervolgkeuzelijst Uitvoeren en selecteer Uitvoeren als zoektaak.

   

5. Geef het datumbereik van de zoektaak op met behulp van de tijdkiezer. Kies een periode binnen de totale bewaarperiode.

   Als uw Kusto-query ook een tijdsbereik opgeeft, wordt de samenvoeging van de tijdsbereiken gebruikt voor de zoektaak.

   

6. Voer een naam in voor de tabel met zoekresultaten van de zoektaak en selecteer Een zoektaak uitvoeren.

   Azure Monitor-logboeken voeren de zoektaak uit en maken een nieuwe tabel in uw werkruimte voor uw zoekresultaten.

7. Wanneer de nieuwe tabel klaar is, selecteert u '<searchtablename>_SRCH' om de tabel in Log Analytics weer te geven.

   Zoekresultaten worden beschikbaar zodra ze binnenkomen in de nieuw gecreëerde tabel met zoekresultaten.

   

   In Azure Monitor-logboeken wordt een bericht weergegeven waarin een zoektaak wordt uitgevoerd wanneer deze is voltooid. Wanneer u dat bericht ziet of de voortgang 100%weergeeft, is de resultatentabel nu klaar met alle records die overeenkomen met de zoekquery.

API

Als u een zoektaak wilt uitvoeren, gebruikt u de Create bewerking van de Tables-API . De aanroep bevat de naam van de resultatentabel die moet worden gemaakt. De naam van de resultatentabel moet eindigen op _SRCH.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/{tablename_SRCH}?api-version={api-version}

aanvraaginhoud

Neem de volgende waarden op in de hoofdtekst van de aanvraag:

Naam	Typologie	Beschrijving
eigenschappen.zoekResultaten.query	tekenreeks	Logquery geschreven in KQL om informatie op te halen.
eigenschappen.zoekresultaten.limiet	geheel getal	Maximum aantal records in de resultatenset, maximaal 100 miljoen records. (Optioneel)
eigenschappen.zoekresultaten.startZoekTijd	tekenreeks	Begin van het tijdsbereik voor het zoeken.
eigenschappen.zoekresultaten.eindeZoektijd	tekenreeks	Einde van het tijdsbereik om te zoeken.

Voorbeeldaanvraag

In dit voorbeeld wordt een tabel met de naam Syslog_suspected_SRCH gemaakt met de resultaten van een query die zoekt naar bepaalde records in de Syslog-tabel .

Aanvragen

PUT https://management.azure.com/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/ContosoResourceGroup/providers/Microsoft.OperationalInsights/workspaces/ContosoWorkspace/tables/Syslog_suspected_SRCH?api-version={api-version}

aanvraaginhoud

{
    "properties": { 
        "searchResults": {
                "query": "Syslog | where * has 'suspected.exe'",
                "limit": 1000,
                "startSearchTime": "2025-01-01T00:00:00Z",
                "endSearchTime": "2025-11-30T00:00:00Z"
            }
    }
}

Respons

Statuscode: 202 geaccepteerd.

CLI

Als u een zoektaak wilt uitvoeren, voert u de opdracht az monitor log-analytics workspace table search-job create uit. De naam van de resultatentabel, die u instelt met behulp van de --name parameter, moet eindigen op _SRCH.

Voorbeeld

az monitor log-analytics workspace table search-job create --subscription aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e --resource-group ContosoResourceGroup --workspace-name ContosoWorkspace --name HeartbeatByIp_SRCH --search-query 'Heartbeat | where ComputerIP has "198.51.100.101"' --limit 1500 --start-search-time "2022-01-01T00:00:00.000Z" --end-search-time "2022-01-08T00:00:00.000Z" --no-wait

Powershell

Als u een zoektaak wilt uitvoeren, voert u de opdracht New-AzOperationalInsightsSearchTable uit. De naam van de resultatentabel, die u instelt met behulp van de TableName parameter, moet eindigen op _SRCH.

Voorbeeld

New-AzOperationalInsightsSearchTable -ResourceGroupName ContosoResourceGroup -WorkspaceName ContosoWorkspace -TableName HeartbeatByIp_SRCH -SearchQuery "Heartbeat" -StartSearchTime "01-01-2022 00:00:00" -EndSearchTime "01-01-2022 00:00:00"

Status en details van zoektaak ophalen

Portaal

1. Selecteer Logboeken in het menu van de Log Analytics-werkruimte.

2. Plaats de muisaanwijzer boven uw tabel met zoekresultaten in het gedeelte Tabellen>Zoekresultaten, om de voortgang te bekijken.

   Het pictogram in de tabel met zoekresultaten van de zoektaak geeft een update-indicator weer totdat de zoekopdracht is voltooid.

   

API

Gebruik de Get bewerking van de Tabellen-API om de status en details van een zoektaak te controleren.

GET https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/{tableName_SRCH}?api-version={api-version}

Tabelstatus

Elke tabel met zoektaken heeft een eigenschap met de naam provisioningState, die een van de volgende waarden kan hebben:

Toestand	Beschrijving
Bijwerken	De tabel en het bijbehorende schema vullen.
In uitvoering	De zoektaak wordt uitgevoerd en haalt gegevens op.
Geslaagd	De zoektaak is voltooid.
Verwijderen	De tabel met zoektaken verwijderen.

Voorbeeldaanvraag

In dit voorbeeld wordt de tabelstatus opgehaald voor de zoektaak in het vorige voorbeeld.

Aanvragen

GET https://management.azure.com/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/ContosoResourceGroup/providers/Microsoft.OperationalInsights/workspaces/ContosoWorkspace/tables/Syslog_SRCH?api-version={api-version}

Respons

{
        "properties": {
        "retentionInDays": 30,
        "totalRetentionInDays": 30,
        "archiveRetentionInDays": 0,
        "plan": "Analytics",
        "lastPlanModifiedDate": "Mon, 01 Nov 2021 16:38:01 GMT",
        "schema": {
            "name": "Syslog_SRCH",
            "tableType": "SearchResults",
            "description": "This table was created using a Search Job with the following query: 'Syslog | where * has 'suspected.exe'.'",
            "columns": [...],
            "standardColumns": [...],
            "solutions": [
                "LogManagement"
            ],
            "searchResults": {
                "query": "Syslog | where * has 'suspected.exe'",
                "limit": 1000,
                "startSearchTime": "Wed, 01 Jan 2020 00:00:00 GMT",
                "endSearchTime": "Fri, 31 Jan 2020 00:00:00 GMT",
                "sourceTable": "Syslog"
            }
        },
        "provisioningState": "Succeeded"
    },
    "id": "subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/ContosoResourceGroup/providers/Microsoft.OperationalInsights/workspaces/ContosoWorkspace/tables/Syslog_SRCH",
    "name": "Syslog_SRCH"
}

CLI

Voer de opdracht az monitor log-analytics workspace table show uit om de status en details van een zoektaaktabel te controleren.

Voorbeeld

az monitor log-analytics workspace table show --subscription aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e --resource-group ContosoResourceGroup --workspace-name ContosoWorkspace --name HeartbeatByIp_SRCH --output table \

Powershell

Als u de status en details van een tabel met een zoektaak wilt controleren, voert u de opdracht Get-AzOperationalInsightsTable uit.

Voorbeeld

Get-AzOperationalInsightsTable -ResourceGroupName "ContosoResourceGroup" -WorkspaceName "ContosoWorkspace" -tableName "HeartbeatByIp_SRCH"

Notitie

Wanneer '-TableName' niet is opgegeven, bevat de opdracht alle tabellen die aan een werkruimte zijn gekoppeld.

Een zoektaaktabel verwijderen

U wordt aangeraden de tabel met zoektaken te verwijderen wanneer u klaar bent met het uitvoeren van query's op de tabel. Deze best practice vermindert de werkruimte rommel en extra kosten voor gegevensretentie.

Overwegingen

Zoektaken zijn onderhevig aan de volgende overwegingen:

• Geoptimaliseerd om een query uit te voeren op één tabel tegelijk
• Het datumbereik voor zoeken is elk tijdsbestek binnen de totale retentie.
• Ondersteunt langdurige zoekopdrachten tot een time-out van 24 uur
• Resultaten zijn beperkt tot 100 miljoen records in de recordset: als de limiet wordt overschreden, wordt de taak door Azure Monitor afgebroken met een status van gedeeltelijk succes en bevat de tabel alleen records die tot dat punt zijn opgenomen
• Gelijktijdige uitvoering is beperkt tot tien zoektaken per werkruimte.
• Beperkt tot 200 tabellen met zoekresultaten per werkruimte
• Beperkt tot 200 uitvoeringen van zoektaken per dag per werkruimte
• Zoektaken tussen tenants worden niet ondersteund
• Gedelegeerde toegang van Azure Lighthouse wordt niet ondersteund voor zoektaken, zelfs wanneer de delegatie beschikt over de juiste searchJobs/schrijfrechten. Dit kan leiden tot de foutmelding:
  Gebruiker<managing-tenant-userId>behoudt geen toegang tot actie Microsoft.OperationalInsights/workspaces/searchJobs/write at scope<delegated-workspace-resourceID>.

Overwegingen voor KQL-query's

Zoektaken zijn bedoeld om grote hoeveelheden gegevens in een specifieke tabel te scannen, dus zoektaakquery's moeten altijd beginnen met een tabelnaam. Als u asynchrone uitvoering wilt inschakelen met behulp van distributie en segmentatie, ondersteunt de query een subset van KQL, met inbegrip van deze tabellaire operators:

• where
• extend
• project
• project-away
• project-keep
• project-rename
• project-reorder
• parse
• parse-where

Alle functies en binaire operatoren binnen deze operators zijn bruikbaar.

De contains tekenreeksoperator wordt geblokkeerd voor gebruik in zoekopdrachten, omdat geavanceerde tekstovereenkomsten aanzienlijke invloed hebben op de prestaties. Gebruik in plaats daarvan de has tekenreeksoperator. Zie Logboekquery's optimaliseren in Azure Monitor voor meer informatie over prestatieoverwegingen.

Prijsmodel

De kosten voor de zoektaak zijn gebaseerd op:

• Uitvoering van zoektaak:

  • Analyseplan - de hoeveelheid gegevens die door de zoekopdracht wordt gescand en zich in langetermijnretentie bevindt. Er worden geen kosten in rekening gebracht voor het scannen van gegevens die zich in analytische retentie binnen Analytics-tabellen bevinden.

  • Basis- of ondersteunende plannen - Alle gegevens die bij de zoektaak worden gescand in langetermijnretentie.

    De gescande gegevens worden gedefinieerd als het gegevensvolume in de tabel waarop u de zoektaak uitvoert, binnen het opgegeven tijdsbereik. Zie Gegevensretentie beheren in een Log Analytics-werkruimte voor meer informatie over analyses en langetermijnretentie.

• Zoekresultaten - De hoeveelheid gegevens die de zoektaak vindt en die wordt opgenomen in de resultatentabel, op basis van de opnamesnelheid van gegevens voor Analytics-tabellen.

Als een zoekopdracht in een Basic-tabel bijvoorbeeld 30 dagen duurt en de tabel 500 GB aan gegevens per dag bevat, worden er 15.000 GB aan gescande gegevens in rekening gebracht. Als de zoektaak 1000 records retourneert, worden deze 1000 records opgenomen in de resultatentabel.

Zie prijzen voor Azure Monitor voor meer informatie.

Verwante inhoud

• Meer informatie over het beheren van gegevensretentie in een Log Analytics-werkruimte.
• Meer informatie over het rechtstreeks uitvoeren van query's op basis- en hulptabellen.