Executar trabalhos de pesquisa no Azure Monitor

Artigo
02/03/2024

Os trabalhos de pesquisa são consultas assíncronas que buscam registros em uma nova tabela de pesquisa em seu espaço de trabalho para análises adicionais. O trabalho de pesquisa utiliza o processamento paralelo e pode ser executado durante horas em grandes conjuntos de dados. Este artigo descreve como criar um trabalho de pesquisa e como consultar seus dados resultantes.

Nota

Atualmente, o recurso de pesquisa de vagas não é suportado para espaços de trabalho com chaves gerenciadas pelo cliente.

Permissões

Para executar um trabalho de pesquisa, você precisa de permissões para Microsoft.OperationalInsights/workspaces/searchJobs/write o espaço de Microsoft.OperationalInsights/workspaces/tables/write trabalho do Log Analytics, por exemplo, conforme fornecido pela função interna Colaborador do Log Analytics.

Quando utilizar trabalhos de pesquisa

Use um trabalho de pesquisa quando o tempo limite da consulta de log de 10 minutos não for suficiente para pesquisar grandes volumes de dados ou se você estiver executando uma consulta lenta.

Os trabalhos de pesquisa também permitem recuperar registros das tabelas Logs Arquivados e Logs Básicos em uma nova tabela de logs que você pode usar para consultas. Desta forma, executar uma procura de emprego pode ser uma alternativa para:

Restaurando dados de logs arquivados para um intervalo de tempo específico.
Use a restauração quando tiver uma necessidade temporária de executar muitas consultas em um grande volume de dados.
Consultando logs básicos diretamente e pagando por cada consulta.
Para determinar qual alternativa é mais econômica, compare o custo de consultar logs básicos com o custo de executar um trabalho de pesquisa e armazenar os resultados do trabalho de pesquisa.

O que faz um trabalho de pesquisa?

Um trabalho de pesquisa envia os resultados para uma nova tabela na mesma área de trabalho que os dados de origem. A tabela de resultados fica disponível assim que a vaga de pesquisa começa, mas pode levar algum tempo para que os resultados comecem a aparecer.

A tabela de resultados do trabalho de pesquisa é uma tabela do Google Analytics que está disponível para consultas de log e outros recursos do Azure Monitor que usam tabelas em um espaço de trabalho. A tabela usa o valor de retenção definido para o espaço de trabalho, mas você pode modificar esse valor depois que a tabela é criada.

O esquema da tabela de resultados da pesquisa é baseado no esquema da tabela de origem e na consulta especificada. As outras colunas a seguir ajudam a controlar os registros de origem:

Column	valor
_OriginalType	Digite o valor da tabela de origem.
_OriginalItemId	_ItemID valor da tabela de origem.
_OriginalTimeGenerated	Valor TimeGenerated da tabela de origem.
TimeGenerated	Hora em que a procura de emprego correu.

As consultas na tabela de resultados aparecem na auditoria de consulta de log, mas não no trabalho de pesquisa inicial.

Executar um trabalho de pesquisa

Execute um trabalho de pesquisa para buscar registros de grandes conjuntos de dados em uma nova tabela de resultados de pesquisa em seu espaço de trabalho.

Gorjeta

Você incorre em encargos para executar uma vaga de pesquisa. Portanto, escreva e otimize sua consulta no modo de consulta interativo antes de executar o trabalho de pesquisa.

Para executar um trabalho de pesquisa, no portal do Azure:

No menu do espaço de trabalho do Log Analytics, selecione Logs.
Selecione o menu de reticências no lado direito da tela e ative o modo Pesquisar trabalho.

O intellisense de Logs do Azure Monitor dá suporte a limitações de consulta KQL no modo de trabalho de pesquisa para ajudá-lo a escrever sua consulta de trabalho de pesquisa.
Especifique o intervalo de datas do trabalho de pesquisa usando o seletor de horas.
Digite a consulta de vaga de pesquisa e selecione o botão Pesquisar vaga.

Os Logs do Monitor do Azure solicitam que você forneça um nome para a tabela do conjunto de resultados e informam que o trabalho de pesquisa está sujeito a cobrança.
Insira um nome para a tabela de resultados de trabalho de pesquisa e selecione Executar um trabalho de pesquisa.

Os Logs do Azure Monitor executam o trabalho de pesquisa e criam uma nova tabela em seu espaço de trabalho para os resultados do trabalho de pesquisa.
Quando a nova tabela estiver pronta, selecione Exibir tablename_SRCH para exibir a tabela no Log Analytics.

Você pode ver os resultados do trabalho de pesquisa à medida que eles começam a fluir para a tabela de resultados de trabalho de pesquisa recém-criada.

Os Logs do Azure Monitor mostram uma mensagem de conclusão do trabalho de Pesquisa no final do trabalho de pesquisa. A tabela de resultados está agora pronta com todos os registos que correspondem à consulta de pesquisa.

Para executar um trabalho de pesquisa, chame a API Tabelas - Criar ou Atualizar . A chamada inclui o nome da tabela de resultados a ser criada. O nome da tabela de resultados deve terminar com _SRCH.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/<TableName>_SRCH?api-version=2021-12-01-preview

Corpo do pedido

Inclua os seguintes valores no corpo da solicitação:

Nome	Tipo	Description
propriedades.searchResults.query	string	Consulta de log escrita em KQL para recuperar dados.
propriedades.searchResults.limit	integer	Número máximo de registros no conjunto de resultados, até um milhão de registros. (Opcional)
propriedades.searchResults.startSearchTime	string	Início do intervalo de tempo para pesquisar.
propriedades.searchResults.endSearchTime	string	Fim do intervalo de tempo para pesquisar.

Pedido de amostra

Este exemplo cria uma tabela chamada Syslog_suspected_SRCH com os resultados de uma consulta que procura registros específicos na tabela Syslog .

Pedir

PUT https://management.azure.com/subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/Syslog_suspected_SRCH?api-version=2021-12-01-preview

Corpo do pedido

{
    "properties": { 
        "searchResults": {
                "query": "Syslog | where * has 'suspected.exe'",
                "limit": 1000,
                "startSearchTime": "2020-01-01T00:00:00Z",
                "endSearchTime": "2020-01-31T00:00:00Z"
            }
    }
}

Response

Código de status: 202 aceito.

Para executar um trabalho de pesquisa, execute o comando az monitor log-analytics workspace table search-job create . O nome da tabela de resultados, que você define usando o --name parâmetro, deve terminar com _SRCH.

Por exemplo:

az monitor log-analytics workspace table search-job create --subscription ContosoSID --resource-group ContosoRG  --workspace-name ContosoWorkspace --name HeartbeatByIp_SRCH --search-query 'Heartbeat | where ComputerIP has "00.000.00.000"' --limit 1500 --start-search-time "2022-01-01T00:00:00.000Z" --end-search-time "2022-01-08T00:00:00.000Z" --no-wait

Obter status e detalhes da vaga de pesquisa

No menu do espaço de trabalho do Log Analytics, selecione Logs.
Na guia Tabelas, selecione Resultados da pesquisa para exibir todas as tabelas de resultados de trabalhos de pesquisa.

O ícone na tabela de resultados da pesquisa de empregos exibe uma indicação de atualização até que a vaga de pesquisa seja concluída.

Ligue para as tabelas - Obter API para obter o status e os detalhes de um trabalho de pesquisa:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/<TableName>_SRCH?api-version=2021-12-01-preview

Estado da tabela

Cada tabela de trabalho de pesquisa tem uma propriedade chamada provisioningState, que pode ter um dos seguintes valores:

Estado	Description
Atualização	Preenchendo a tabela e seu esquema.
InProgress	O trabalho de pesquisa está em execução, buscando dados.
Com êxito	Procurar trabalho concluído.
Eliminar	Eliminar a tabela de trabalhos de pesquisa.

Pedido de amostra

Este exemplo recupera o status da tabela para o trabalho de pesquisa no exemplo anterior.

Pedir

GET https://management.azure.com/subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/Syslog_SRCH?api-version=2021-12-01-preview

Response

{
        "properties": {
        "retentionInDays": 30,
        "totalRetentionInDays": 30,
        "archiveRetentionInDays": 0,
        "plan": "Analytics",
        "lastPlanModifiedDate": "Mon, 01 Nov 2021 16:38:01 GMT",
        "schema": {
            "name": "Syslog_SRCH",
            "tableType": "SearchResults",
            "description": "This table was created using a Search Job with the following query: 'Syslog | where * has 'suspected.exe'.'",
            "columns": [...],
            "standardColumns": [...],
            "solutions": [
                "LogManagement"
            ],
            "searchResults": {
                "query": "Syslog | where * has 'suspected.exe'",
                "limit": 1000,
                "startSearchTime": "Wed, 01 Jan 2020 00:00:00 GMT",
                "endSearchTime": "Fri, 31 Jan 2020 00:00:00 GMT",
                "sourceTable": "Syslog"
            }
        },
        "provisioningState": "Succeeded"
    },
    "id": "subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/Syslog_SRCH",
    "name": "Syslog_SRCH"
}

Para verificar o status e os detalhes de uma tabela de trabalho de pesquisa, execute o comando az monitor log-analytics workspace table show .

Por exemplo:

az monitor log-analytics workspace table show --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name HeartbeatByIp_SRCH --output table \

Excluir uma tabela de trabalho de pesquisa

Recomendamos que elimine a tabela de trabalhos de pesquisa quando terminar de consultar a tabela . Isso reduz a confusão do espaço de trabalho e as cobranças extras pela retenção de dados.

Limitações

As ofertas de emprego na pesquisa estão sujeitas às seguintes limitações:

Otimizado para consultar uma tabela de cada vez.
O intervalo de datas de pesquisa é de até um ano.
Suporta pesquisas de longa duração até um tempo limite de 24 horas.
Os resultados são limitados a um milhão de recordes no conjunto de recordes.
A execução simultânea é limitada a cinco trabalhos de pesquisa por espaço de trabalho.
Limitado a 100 tabelas de resultados de pesquisa por espaço de trabalho.
Limitado a 100 execuções de trabalho de pesquisa por dia, por espaço de trabalho.

Quando você atinge o limite de registros, o Azure anula o trabalho com um status de êxito parcial e a tabela conterá apenas registros ingeridos até esse ponto.

Limitações da consulta KQL

Os trabalhos de pesquisa destinam-se a analisar grandes volumes de dados numa tabela específica. Portanto, as consultas de trabalho de pesquisa devem sempre começar com um nome de tabela. Para habilitar a execução assíncrona usando distribuição e segmentação, a consulta suporta um subconjunto de KQL, incluindo os operadores:

Você pode usar todas as funções e operadores binários dentro desses operadores.

Modelo de preços

A taxa cobrada por uma procura de emprego baseia-se nos seguintes elementos:

Execução de trabalho de pesquisa - a quantidade de dados que o trabalho de pesquisa verifica.
Resultados do trabalho de pesquisa - a quantidade de dados que o trabalho de pesquisa encontra e é ingerido na tabela de resultados, com base nos preços regulares de ingestão de dados de log.

Por exemplo, se a sua tabela tiver 500 GB por dia, para uma pesquisa durante 30 dias, ser-lhe-ão cobrados 15.000 GB de dados digitalizados. Se o trabalho de pesquisa encontrar 1.000 registros que correspondam à consulta de pesquisa, você será cobrado por ingerir esses 1.000 registros na tabela de resultados.

Para obter mais informações, consulte Preços do Azure Monitor.