Executar trabalhos de pesquisa no Azure Monitor

Uma tarefa de pesquisa é uma consulta assíncrona que você executa em quaisquer dados no seu Log Analytics - tanto na retenção interativa quanto na de longo prazo - que torna os resultados da consulta disponíveis para consultas interativas em uma nova tabela de pesquisa no seu espaço de trabalho. O trabalho de pesquisa usa processamento paralelo e pode ser executado por horas em grandes conjuntos de dados. Este artigo descreve como criar um trabalho de pesquisa e como consultar os dados resultantes.

Este vídeo explica quando e como usar trabalhos de pesquisa:

Permissões necessárias

Ação	Permissões necessárias
Executar um trabalho de pesquisa	As permissões Microsoft.OperationalInsights/workspaces/tables/write e Microsoft.OperationalInsights/workspaces/searchJobs/write para os workspaces do Log Analytics, por exemplo, conforme fornecidas pela função integrada de colaborador do Log Analytics.

Observação

Atualmente, não há suporte para tarefas de pesquisa entre locatários, mesmo quando os locatários do Entra ID são gerenciados por meio do Azure Lighthouse.

Quando usar trabalhos de pesquisa

Use a busca de empregos para:

• Recupere registros de retenção de longo prazo e tabelas com os planos Básico e Auxiliar em uma nova tabela do Analytics, onde você pode aproveitar todos os recursos analíticos do Azure Monitor Log.
• Examine grandes volumes de dados, se o tempo limite de 10 minutos da consulta de log não for suficiente.

O que um trabalho de pesquisa faz?

Um trabalho de pesquisa envia os resultados para uma nova tabela no mesmo workspace que os dados de origem. A tabela de resultados fica disponível assim que o trabalho de pesquisa é iniciado, mas pode demorar para que os resultados comecem a aparecer.

A tabela de resultados do trabalho de pesquisa é uma tabela do Analytics disponível para consultas de log ou outros recursos do Azure Monitor que usam tabelas em um workspace. A tabela usa o valor de retenção definido para o workspace, mas você pode modificar essa retenção depois que a tabela for criada.

O esquema de tabela de resultados da pesquisa é baseado no esquema de tabela de origem e na consulta especificada. As seguintes colunas adicionais ajudam a acompanhar os registros de origem:

Coluna	Valor
_OriginalType	Valor Type na tabela de origem.
_OriginalItemId	Valor _ItemID na tabela de origem.
_OriginalTimeGenerated	Valor TimeGenerated na tabela de origem.
TimeGenerated	Hora em que o trabalho de pesquisa foi executado.

As consultas na tabela de resultados são exibidas na auditoria de consulta de log, mas não no trabalho de pesquisa inicial.

Executar um trabalho de pesquisa

Execute um trabalho de pesquisa para buscar registros em grandes conjuntos de dados em uma nova tabela de resultados de pesquisa no workspace.

Dica

Você incorre em encargos para executar um trabalho de pesquisa. Portanto, escreva e otimize a consulta no modo de consulta interativa antes de executar o trabalho de pesquisa.

Portal

Para executar um trabalho de pesquisa, no portal do Azure:

1. No menu do workspace do Log Analytics, selecione Logs.

2. Digite uma consulta de trabalho de pesquisa ou selecione apenas a tabela desejada.

3. Selecione o menu de reticências no lado direito da tela e selecione Pesquisar trabalho.

   

4. Especifique o intervalo de datas do trabalho de pesquisa usando o seletor de hora. O intervalo máximo é de um ano, mas pode ser qualquer período de um ano que o período de retenção de dados permitir.

   Se a consulta Kusto também especificar um intervalo de tempo, a união dos intervalos de tempo será usada para o trabalho de pesquisa.

   

5. Insira um nome para a tabela de resultados do trabalho de pesquisa e selecione Executar um trabalho de pesquisa.

   Os Logs do Azure Monitor executam o trabalho de pesquisa e criam uma tabela em seu workspace para os resultados do trabalho de pesquisa.

6. Quando a nova tabela estiver pronta, selecione Exibir '<searchtablename>_SRCH' para exibir a tabela no Log Analytics.

   Os resultados da pesquisa de trabalho estão disponíveis à medida que começam a fluir para a tabela de resultados de pesquisa de trabalho recém-criada.

   

   O Azure Monitor Logs mostra uma mensagem de trabalho de pesquisa foi concluído quando ele é finalizado. Quando você vê essa mensagem ou o progresso mostra 100%, a tabela de resultados agora está pronta com todos os registros que correspondem à consulta de pesquisa.

API

Para executar um trabalho de pesquisa, chame a API Tables - Create or Update. A chamada inclui o nome da tabela de resultados a ser criada. O nome da tabela de resultados deve terminar com _SRCH.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/<TableName>_SRCH?api-version=2021-12-01-preview

Corpo da solicitação

Inclua os seguintes valores no corpo da solicitação:

Nome	Tipo	Descrição
properties.searchResults.query	cadeia de caracteres	Consulta de log gravada em KQL para recuperar dados.
properties.searchResults.limit	inteiro	Número máximo de registros no conjunto de resultados, até 1 milhão de registros. (Opcional)
properties.searchResults.startSearchTime	cadeia de caracteres	Início do intervalo de tempo a ser pesquisado.
properties.searchResults.endSearchTime	cadeia de caracteres	Término do intervalo de tempo a ser pesquisado.

Solicitação de exemplo

Este exemplo cria uma tabela chamada Syslog_suspected_SRCH com os resultados de uma consulta que procura registros específicos na tabela Syslog.

Solicitação

PUT https://management.azure.com/subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/Syslog_suspected_SRCH?api-version=2021-12-01-preview

Corpo da solicitação

{
    "properties": { 
        "searchResults": {
                "query": "Syslog | where * has 'suspected.exe'",
                "limit": 1000,
                "startSearchTime": "2020-01-01T00:00:00Z",
                "endSearchTime": "2020-01-31T00:00:00Z"
            }
    }
}

Resposta

Código de status: 202 aceito.

CLI

Para executar um trabalho de pesquisa, execute o comando az monitor log-analytics workspace table search-job create. O nome da tabela de resultados, que você define usando o parâmetro --name, deve terminar em _SRCH.

Exemplo

az monitor log-analytics workspace table search-job create --subscription ContosoSID --resource-group ContosoRG  --workspace-name ContosoWorkspace --name HeartbeatByIp_SRCH --search-query 'Heartbeat | where ComputerIP has "00.000.00.000"' --limit 1500 --start-search-time "2022-01-01T00:00:00.000Z" --end-search-time "2022-01-08T00:00:00.000Z" --no-wait

PowerShell

Para executar um trabalho de pesquisa, execute o comando New-AzOperationalInsightsSearchTable. O nome da tabela de resultados, que você define usando o parâmetro TableName, deve terminar em _SRCH.

Exemplo

New-AzOperationalInsightsSearchTable -ResourceGroupName ContosoRG -WorkspaceName ContosoWorkspace -TableName HeartbeatByIp_SRCH -SearchQuery "Heartbeat" -StartSearchTime "01-01-2022 00:00:00" -EndSearchTime "01-01-2022 00:00:00"

Obter detalhes e status do trabalho de pesquisa

Portal

1. No menu do workspace do Log Analytics, selecione Logs.

2. Em Tabelas>Resultados da pesquisa, passe o mouse sobre a tabela de resultados da pesquisa para exibir o progresso.

   O ícone na tabela de resultados do trabalho de pesquisa exibe um ícone de indicador de atualização até que o trabalho de pesquisa seja concluído.

   

API

Chame a API Tables - Get para obter o status e os detalhes de um trabalho de pesquisa:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/<TableName>_SRCH?api-version=2021-12-01-preview

Status da tabela

Cada tabela de trabalhos de pesquisa tem uma propriedade chamada provisioningState, que pode ter um dos seguintes valores:

Situação	Descrição
Atualizar	Preenchimento da tabela e o esquema.
InProgress	O trabalho de pesquisa está em execução, buscando dados.
Com sucesso	Trabalho de pesquisa concluído.
Excluir	Exclusão da tabela de trabalhos de pesquisa.

Solicitação de exemplo

Este exemplo recupera o status da tabela para o trabalho de pesquisa no exemplo anterior.

Solicitação

GET https://management.azure.com/subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/Syslog_SRCH?api-version=2021-12-01-preview

Resposta

{
        "properties": {
        "retentionInDays": 30,
        "totalRetentionInDays": 30,
        "archiveRetentionInDays": 0,
        "plan": "Analytics",
        "lastPlanModifiedDate": "Mon, 01 Nov 2021 16:38:01 GMT",
        "schema": {
            "name": "Syslog_SRCH",
            "tableType": "SearchResults",
            "description": "This table was created using a Search Job with the following query: 'Syslog | where * has 'suspected.exe'.'",
            "columns": [...],
            "standardColumns": [...],
            "solutions": [
                "LogManagement"
            ],
            "searchResults": {
                "query": "Syslog | where * has 'suspected.exe'",
                "limit": 1000,
                "startSearchTime": "Wed, 01 Jan 2020 00:00:00 GMT",
                "endSearchTime": "Fri, 31 Jan 2020 00:00:00 GMT",
                "sourceTable": "Syslog"
            }
        },
        "provisioningState": "Succeeded"
    },
    "id": "subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/Syslog_SRCH",
    "name": "Syslog_SRCH"
}

CLI

Para verificar o status e os detalhes de uma tabela de trabalho de pesquisa, execute o comando az monitor log-analytics workspace table show.

Exemplo

az monitor log-analytics workspace table show --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name HeartbeatByIp_SRCH --output table \

PowerShell

Para verificar o status e os detalhes de uma tabela de trabalho de pesquisa, execute o comando Get-AzOperationalInsightsTable.

Exemplo

Get-AzOperationalInsightsTable -ResourceGroupName "ContosoRG" -WorkspaceName "ContosoWorkspace" -tableName "HeartbeatByIp_SRCH"

Observação

Quando "-TableName" não é fornecido, o comando lista todas as tabelas associadas a um workspace.

Excluir uma tabela de trabalhos de pesquisa

É recomendável excluir a tabela de trabalhos de pesquisa quando você terminar a consulta da tabela. Essa prática recomendada reduz a bagunça da área de trabalho e cobranças extras para armazenamento de dados.

Limitações

Os trabalhos de pesquisa estão sujeitos às seguintes limitações:

• Otimizado para consultar uma tabela de cada vez.
• O intervalo de datas da pesquisa é de até um ano.
• Dá suporte a pesquisas de execução prolongada com um tempo limite de até 24 horas.
• Os resultados são limitados a 1 milhão de registros no conjunto de registros.
• A execução simultânea é limitada a cinco trabalhos de pesquisa por workspace.
• Limite de 100 tabelas de resultados de pesquisa por workspace.
• Limite de 100 execuções de trabalhos de pesquisa por dia por workspace.

Quando você atinge o limite de registros, o Azure aborta o trabalho com um status de sucesso parcial, e a tabela contém apenas os registros ingeridos até aquele ponto.

Limitações da consulta KQL

Os trabalhos de pesquisa destinam-se a examinar grandes volumes de dados em uma tabela específica. Portanto, consultas de trabalho de pesquisa sempre devem começar com um nome de tabela. Para habilitar a execução assíncrona usando distribuição e segmentação, a consulta dá suporte a um subconjunto de KQL, incluindo os operadores:

• [where](/azure/data-explorer/kusto/query/whereoperator)
• [extend](/azure/data-explorer/kusto/query/extendoperator)
• [project](/azure/data-explorer/kusto/query/projectoperator)
• [project-away](/azure/data-explorer/kusto/query/projectawayoperator)
• [project-keep](/azure/data-explorer/kusto/query/project-keep-operator)
• [project-rename](/azure/data-explorer/kusto/query/projectrenameoperator)
• [project-reorder](/azure/data-explorer/kusto/query/projectreorderoperator)
• [parse](/azure/data-explorer/kusto/query/parse-operator)
• [parse-where](/azure/data-explorer/kusto/query/parse-where-operator)

Você pode usar todas as funções e operadores binários nesses operadores.

Modelo de preços

A taxa de busca de emprego é baseada em:

• Pesquisar execução de trabalho:

  • Plano de análise - A quantidade de dados que o trabalho de pesquisa verifica e que estão em retenção de longo prazo. Não há cobrança pela digitalização de dados que estão em retenção interativa nas tabelas do Analytics.

  • Planos Básico ou Auxiliar- Todos os dados que o trabalho de pesquisa verifica tanto na retenção interativa quanto na de longo prazo.

    Os dados verificados são definidos como o volume de dados na tabela em que você executa o trabalho de pesquisa, dentro do intervalo de tempo especificado. Para obter mais informações sobre retenção interativa e de longo prazo, veja Gerenciar retenção de dados em um espaço de trabalho do Log Analytics.

• Resultados da tarefa de pesquisa - A quantidade de dados que a tarefa de pesquisa encontra e é ingerida na tabela de resultados, com base na taxa de ingestão de dados para tabelas do Analytics.

Por exemplo, se uma pesquisa em uma tabela básica durar 30 dias e a tabela contiver 500 GB de dados por dia, você será cobrado por 15.000 GB de dados digitalizados. Se a tarefa de pesquisa retornar 1.000 registros, você será cobrado pela ingestão desses 1.000 registros na tabela de resultados.

Para saber mais, confira Preço do Azure Monitor.

Próximas etapas

• Saiba mais sobre como gerenciar a retenção de dados em um workspace do Log Analytics.
• Saiba mais sobre como consultar diretamente Tabelas básicas e auxiliares.