Executar trabalhos de pesquisa no Azure Monitor

Uma tarefa de pesquisa é uma consulta assíncrona que você executa em quaisquer dados no seu Log Analytics - tanto na retenção interativa quanto na de longo prazo - que torna os resultados da consulta disponíveis para consultas interativas em uma nova tabela de pesquisa no seu espaço de trabalho. O trabalho de pesquisa usa processamento paralelo e pode ser executado por horas em grandes conjuntos de dados. Este artigo descreve como criar um trabalho de pesquisa e como consultar os dados resultantes.

Este vídeo explica quando e como usar trabalhos de pesquisa:

Permissões necessárias

Ação	Permissões necessárias
Executar um trabalho de pesquisa	As permissões Microsoft.OperationalInsights/workspaces/tables/write e Microsoft.OperationalInsights/workspaces/searchJobs/write para os workspaces do Log Analytics, por exemplo, conforme fornecidas pela função integrada de colaborador do Log Analytics.

Observação

Atualmente, os trabalhos de pesquisa entre inquilinos não são suportados, mesmo quando os inquilinos do Entra ID são geridos através do Azure Lighthouse.

Quando usar trabalhos de pesquisa

Use a busca de empregos para:

• Recupere registros de retenção de longo prazo e tabelas com os planos Básico e Auxiliar em uma nova tabela do Analytics, onde você pode aproveitar todos os recursos analíticos do Azure Monitor Log.
• Examine grandes volumes de dados, caso o tempo limite de consulta de log de 10 minutos não seja suficiente.

O que um trabalho de pesquisa faz?

Um trabalho de pesquisa envia os resultados para uma nova tabela no mesmo workspace que os dados de origem. A tabela de resultados fica disponível assim que o trabalho de pesquisa é iniciado, mas pode demorar para que os resultados comecem a aparecer.

A tabela de resultados do trabalho de pesquisa é uma tabela do Analytics disponível para consultas de log ou outros recursos do Azure Monitor que usam tabelas em um workspace. A tabela usa o valor de retenção definido para o workspace, mas você pode modificar essa retenção depois que a tabela for criada.

O esquema de tabela de resultados da pesquisa é baseado no esquema de tabela de origem e na consulta especificada. As seguintes colunas adicionais ajudam a acompanhar os registros de origem:

Coluna	Valor
_OriginalType	Valor Type na tabela de origem.
_OriginalItemId	Valor _ItemID na tabela de origem.
_OriginalTimeGenerated	Valor TimeGenerated na tabela de origem.
TimeGenerated	Hora em que o trabalho de pesquisa foi executado.

As consultas na tabela de resultados são exibidas na auditoria de consulta de log, mas não no trabalho de pesquisa inicial.

Executar um trabalho de pesquisa

Execute um trabalho de pesquisa para buscar registros em grandes conjuntos de dados em uma nova tabela de resultados de pesquisa no workspace.

Dica

Você incorre em encargos para executar um trabalho de pesquisa. Portanto, escreva e otimize a consulta no modo de consulta interativa antes de executar o trabalho de pesquisa.

Portal

Para executar um trabalho de pesquisa, no portal do Azure:

1. No menu do workspace do Log Analytics, selecione Logs.

2. Selecione o menu de reticências no lado direito da tela e ative o Modo de trabalho de pesquisa.

   

   O Intellisense de Logs do Azure Monitor dá suporte a limitações de consulta KQL no modo de trabalho de pesquisa para ajudar você a escrever sua consulta de trabalho de pesquisa.

3. Especifique o intervalo de datas do trabalho de pesquisa usando o seletor de hora.

4. Digite a consulta do trabalho de pesquisa e selecione o botão Trabalho de Pesquisa.

   Os Logs do Azure Monitor solicitam que você forneça um nome para a tabela de conjunto de resultados e informam que o trabalho de pesquisa está sujeito à cobrança.

   

5. Insira um nome para a tabela de resultados do trabalho de pesquisa e selecione Executar um trabalho de pesquisa.

   Os Logs do Azure Monitor executam o trabalho de pesquisa e criam uma tabela em seu workspace para os resultados do trabalho de pesquisa.

   

6. Quando a nova tabela estiver pronta, selecione Exibir tablename_SRCH para exibir a tabela no Log Analytics.

   

   Você pode ver os resultados do trabalho de pesquisa à medida que eles começam a fluir para a tabela de resultados do trabalho de pesquisa recém-criada.

   

   Os Logs do Azure Monitor mostram uma mensagem Trabalho de pesquisa concluído no final do trabalho de pesquisa. A tabela de resultados está pronta, com todos os registros que correspondem à consulta de pesquisa.

   

API

Para executar um trabalho de pesquisa, chame a API Tables - Create or Update. A chamada inclui o nome da tabela de resultados a ser criada. O nome da tabela de resultados deve terminar com _SRCH.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/<TableName>_SRCH?api-version=2021-12-01-preview

Corpo da solicitação

Inclua os seguintes valores no corpo da solicitação:

Nome	Tipo	Descrição
properties.searchResults.query	string	Consulta de log gravada em KQL para recuperar dados.
properties.searchResults.limit	inteiro	Número máximo de registros no conjunto de resultados, até 1 milhão de registros. (Opcional)
properties.searchResults.startSearchTime	string	Início do intervalo de tempo a ser pesquisado.
properties.searchResults.endSearchTime	string	Término do intervalo de tempo a ser pesquisado.

Solicitação de exemplo

Este exemplo cria uma tabela chamada Syslog_suspected_SRCH com os resultados de uma consulta que procura registros específicos na tabela Syslog.

Solicitação

PUT https://management.azure.com/subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/Syslog_suspected_SRCH?api-version=2021-12-01-preview

Corpo da solicitação

{
    "properties": { 
        "searchResults": {
                "query": "Syslog | where * has 'suspected.exe'",
                "limit": 1000,
                "startSearchTime": "2020-01-01T00:00:00Z",
                "endSearchTime": "2020-01-31T00:00:00Z"
            }
    }
}

Resposta

Código de status: 202 aceito.

CLI

Para executar um trabalho de pesquisa, execute o comando az monitor log-analytics workspace table search-job create. O nome da tabela de resultados, que você define usando o parâmetro --name, deve terminar em _SRCH.

Exemplo

az monitor log-analytics workspace table search-job create --subscription ContosoSID --resource-group ContosoRG  --workspace-name ContosoWorkspace --name HeartbeatByIp_SRCH --search-query 'Heartbeat | where ComputerIP has "00.000.00.000"' --limit 1500 --start-search-time "2022-01-01T00:00:00.000Z" --end-search-time "2022-01-08T00:00:00.000Z" --no-wait

PowerShell

Para executar um trabalho de pesquisa, execute o comando New-AzOperationalInsightsSearchTable. O nome da tabela de resultados, que você define usando o parâmetro TableName, deve terminar em _SRCH.

Exemplo

New-AzOperationalInsightsSearchTable -ResourceGroupName ContosoRG -WorkspaceName ContosoWorkspace -TableName HeartbeatByIp_SRCH -SearchQuery "Heartbeat" -StartSearchTime "01-01-2022 00:00:00" -EndSearchTime "01-01-2022 00:00:00"

Obter detalhes e status do trabalho de pesquisa

Portal

1. No menu do workspace do Log Analytics, selecione Logs.

2. Na guia Tabelas, selecione Resultados da pesquisa para exibir todas as tabelas de resultados do trabalho de pesquisa.

   O ícone na tabela de resultados do trabalho de pesquisa exibe uma indicação de atualização até que o trabalho de pesquisa seja concluído.

   

API

Chame a API Tables - Get para obter o status e os detalhes de um trabalho de pesquisa:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/<TableName>_SRCH?api-version=2021-12-01-preview

Status da tabela

Cada tabela de trabalhos de pesquisa tem uma propriedade chamada provisioningState, que pode ter um dos seguintes valores:

Status	Descrição
Atualizar	Preenchimento da tabela e o esquema.
InProgress	O trabalho de pesquisa está em execução, buscando dados.
Com sucesso	Trabalho de pesquisa concluído.
Excluir	Exclusão da tabela de trabalhos de pesquisa.

Solicitação de exemplo

Este exemplo recupera o status da tabela para o trabalho de pesquisa no exemplo anterior.

Solicitação

GET https://management.azure.com/subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/Syslog_SRCH?api-version=2021-12-01-preview

Resposta

{
        "properties": {
        "retentionInDays": 30,
        "totalRetentionInDays": 30,
        "archiveRetentionInDays": 0,
        "plan": "Analytics",
        "lastPlanModifiedDate": "Mon, 01 Nov 2021 16:38:01 GMT",
        "schema": {
            "name": "Syslog_SRCH",
            "tableType": "SearchResults",
            "description": "This table was created using a Search Job with the following query: 'Syslog | where * has 'suspected.exe'.'",
            "columns": [...],
            "standardColumns": [...],
            "solutions": [
                "LogManagement"
            ],
            "searchResults": {
                "query": "Syslog | where * has 'suspected.exe'",
                "limit": 1000,
                "startSearchTime": "Wed, 01 Jan 2020 00:00:00 GMT",
                "endSearchTime": "Fri, 31 Jan 2020 00:00:00 GMT",
                "sourceTable": "Syslog"
            }
        },
        "provisioningState": "Succeeded"
    },
    "id": "subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/Syslog_SRCH",
    "name": "Syslog_SRCH"
}

CLI

Para verificar o status e os detalhes de uma tabela de trabalho de pesquisa, execute o comando az monitor log-analytics workspace table show.

Exemplo

az monitor log-analytics workspace table show --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name HeartbeatByIp_SRCH --output table \

PowerShell

Para verificar o status e os detalhes de uma tabela de trabalho de pesquisa, execute o comando Get-AzOperationalInsightsTable.

Exemplo

Get-AzOperationalInsightsTable -ResourceGroupName "ContosoRG" -WorkspaceName "ContosoWorkspace" -tableName "HeartbeatByIp_SRCH"

Observação

Quando "-TableName" não for fornecido, o comando listará todas as tabelas associadas a um workspace.

Excluir uma tabela de trabalhos de pesquisa

É recomendável excluir a tabela de trabalhos de pesquisa quando você terminar a consulta da tabela. Isso reduz a desorganização do workspace e cobranças adicionais pela retenção de dados.

Limitações

Os trabalhos de pesquisa estão sujeitos às seguintes limitações:

• Otimizado para consultar uma tabela de cada vez.
• O intervalo de datas da pesquisa é de até um ano.
• Dá suporte a pesquisas de execução prolongada com um tempo limite de até 24 horas.
• Os resultados são limitados a 1 milhão de registros no conjunto de registros.
• A execução simultânea é limitada a cinco trabalhos de pesquisa por workspace.
• Limite de 100 tabelas de resultados de pesquisa por workspace.
• Limite de 100 execuções de trabalhos de pesquisa por dia por workspace.

Quando você atinge o limite de registros, o Azure aborta o trabalho com um status de sucesso parcial, e a tabela contém apenas os registros ingeridos até aquele ponto.

Limitações da consulta KQL

Os trabalhos de pesquisa destinam-se a examinar grandes volumes de dados em uma tabela específica. Portanto, consultas de trabalho de pesquisa sempre devem começar com um nome de tabela. Para habilitar a execução assíncrona usando distribuição e segmentação, a consulta dá suporte a um subconjunto de KQL, incluindo os operadores:

• where
• extend
• project
• project-away
• project-keep
• project-rename
• project-reorder
• parse
• parse-where

Você pode usar todas as funções e operadores binários nesses operadores.

Modelo de preços

A taxa de busca de emprego é baseada em:

• Pesquisar execução de trabalho:

  • Plano de análise - A quantidade de dados que o trabalho de pesquisa verifica e que estão em retenção de longo prazo. Não há cobrança pela digitalização de dados que estão em retenção interativa nas tabelas do Analytics.
  • Planos Básico ou Auxiliar- Todos os dados que o trabalho de pesquisa verifica tanto na retenção interativa quanto na de longo prazo.

  Para obter mais informações sobre retenção interativa e de longo prazo, veja Gerenciar retenção de dados em um espaço de trabalho do Log Analytics.

• Resultados da tarefa de pesquisa - A quantidade de dados que a tarefa de pesquisa encontra e é ingerida na tabela de resultados, com base na taxa de ingestão de dados para tabelas do Analytics.

Por exemplo, se uma pesquisa em uma tabela básica durar 30 dias e a tabela contiver 500 GB de dados por dia, você será cobrado por 15.000 GB de dados digitalizados. Se a tarefa de pesquisa retornar 1.000 registros, você será cobrado pela ingestão desses 1.000 registros na tabela de resultados.

Para saber mais, confira Preço do Azure Monitor.

Próximas etapas

• Saiba mais sobre como gerenciar a retenção de dados em um espaço de trabalho do Log Analytics.
• Saiba mais sobre como consultar diretamente Tabelas básicas e auxiliares.