Executar tarefas de pesquisa no Azure Monitor

Artigo
02/11/2023
8 minutos para ler

As tarefas de pesquisa são consultas assíncronas que obtêm registos numa nova tabela de pesquisa na área de trabalho para análise adicional. O trabalho de pesquisa utiliza o processamento paralelo e pode ser executado durante horas em grandes conjuntos de dados. Este artigo descreve como criar uma tarefa de pesquisa e como consultar os dados resultantes.

Nota

A funcionalidade de tarefa de pesquisa não é atualmente suportada nos seguintes casos:

Áreas de trabalho com chaves geridas pelo cliente.
Áreas de trabalho na região Leste 2 da China.

Quando utilizar trabalhos de pesquisa

Utilize uma tarefa de pesquisa quando o tempo limite da consulta de registo de 10 minutos não for suficiente para procurar grandes volumes de dados ou se estiver a executar uma consulta lenta.

As tarefas de pesquisa também lhe permitem obter registos de tabelas de Registos Arquivados e Registos Básicos para uma nova tabela de registos que pode utilizar para consultas. Desta forma, executar uma tarefa de pesquisa pode ser uma alternativa a:

Restaurar dados a partir de Registos Arquivados para um intervalo de tempo específico.
Utilize o restauro quando tiver uma necessidade temporária de executar muitas consultas num grande volume de dados.
Consultar registos básicos diretamente e pagar por cada consulta.
Para determinar que alternativa é mais económica, compare o custo da consulta dos Registos Básicos com o custo de executar uma tarefa de pesquisa e armazenar os resultados da tarefa de pesquisa.

O que faz um trabalho de pesquisa?

Um trabalho de pesquisa envia os resultados para uma nova tabela na mesma área de trabalho que os dados de origem. A tabela de resultados está disponível assim que a tarefa de pesquisa começa, mas pode demorar algum tempo até que os resultados comecem a aparecer.

A tabela de resultados da tarefa de pesquisa é uma tabela de Análise que está disponível para consultas de registo e outras funcionalidades do Azure Monitor que utilizam tabelas numa área de trabalho. A tabela utiliza o conjunto de valores de retenção para a área de trabalho, mas pode modificar este valor após a criação da tabela.

O esquema da tabela de resultados de pesquisa baseia-se no esquema da tabela de origem e na consulta especificada. As outras colunas seguintes ajudam-no a controlar os registos de origem:

Coluna	Valor
_OriginalType	Escreva o valor da tabela de origem.
_OriginalItemId	_ItemID valor da tabela de origem.
_OriginalTimeGenerated	Valor TimeGenerated da tabela de origem.
TimeGenerated	Hora em que a tarefa de pesquisa foi executada.

As consultas na tabela de resultados aparecem na auditoria da consulta de registo , mas não na tarefa de pesquisa inicial.

Executar uma tarefa de pesquisa

Execute uma tarefa de pesquisa para obter registos de grandes conjuntos de dados para uma nova tabela de resultados de pesquisa na área de trabalho.

Dica

Incorre em custos por executar uma tarefa de pesquisa. Por conseguinte, escreva e otimize a consulta no modo de consulta interativa antes de executar a tarefa de pesquisa.

Para executar uma tarefa de pesquisa, no portal do Azure:

No menu da área de trabalho do Log Analytics , selecione Registos.
Selecione o menu de reticências no lado direito do ecrã e ative o Modo de tarefa de pesquisa.

O Intellisense dos Registos do Azure Monitor suporta limitações de consultas KQL no modo de tarefa de pesquisa para o ajudar a escrever a consulta da tarefa de pesquisa.
Especifique o intervalo de datas da tarefa de pesquisa com o seletor de hora.
Escreva a consulta da tarefa de pesquisa e selecione o botão Procurar Tarefa .

Os Registos do Azure Monitor pedem-lhe que forneça um nome para a tabela do conjunto de resultados e informa-o de que a tarefa de pesquisa está sujeita à faturação.
Introduza um nome para a tabela de resultados da tarefa de pesquisa e selecione Executar uma tarefa de pesquisa.

Os Registos do Azure Monitor executa a tarefa de pesquisa e criam uma nova tabela na área de trabalho para os resultados da tarefa de pesquisa.
Quando a nova tabela estiver pronta, selecione Ver tablename_SRCH para ver a tabela no Log Analytics.

Pode ver os resultados da tarefa de pesquisa à medida que começam a fluir para a tabela de resultados da tarefa de pesquisa recém-criada.

Os Registos do Azure Monitor mostram que uma tarefa de Pesquisa foi efetuada no final da tarefa de pesquisa. A tabela de resultados está agora pronta com todos os registos que correspondem à consulta de pesquisa.

Para executar uma tarefa de pesquisa, chame a API Tabelas – Criar ou Atualizar . A chamada inclui o nome da tabela de resultados a ser criada. O nome da tabela de resultados tem de terminar com _SRCH.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/<TableName>_SRCH?api-version=2021-12-01-preview

Corpo do pedido

Inclua os seguintes valores no corpo do pedido:

Nome	Tipo	Descrição
properties.searchResults.query	string	Consulta de registo escrita no KQL para obter dados.
properties.searchResults.limit	número inteiro	Número máximo de registos no conjunto de resultados, até um milhão de registos. (Opcional)
properties.searchResults.startSearchTime	string	Início do intervalo de tempo a procurar.
properties.searchResults.endSearchTime	string	Fim do intervalo de tempo a procurar.

Pedido de exemplo

Este exemplo cria uma tabela denominada Syslog_suspected_SRCH com os resultados de uma consulta que procura registos específicos na tabela Syslog .

Pedir

PUT https://management.azure.com/subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/Syslog_suspected_SRCH?api-version=2021-12-01-preview

Corpo do pedido

{
    "properties": { 
        "searchResults": {
                "query": "Syslog | where * has 'suspected.exe'",
                "limit": 1000,
                "startSearchTime": "2020-01-01T00:00:00Z",
                "endSearchTime": "2020-01-31T00:00:00Z"
            }
    }
}

Response

Código de estado: 202 aceite.

Para executar uma tarefa de pesquisa, execute o comando az monitor log-analytics workspace table search-job create . O nome da tabela de resultados, que definiu com o --name parâmetro , tem de terminar com _SRCH.

Por exemplo:

az monitor log-analytics workspace table search-job create --subscription ContosoSID --resource-group ContosoRG  --workspace-name ContosoWorkspace --name HeartbeatByIp_SRCH --search-query 'Heartbeat | where ComputerIP has "00.000.00.000"' --limit 1500 --start-search-time "2022-01-01T00:00:00.000Z" --end-search-time "2022-01-08T00:00:00.000Z" --no-wait

Obter o estado e os detalhes da tarefa de pesquisa

No menu da área de trabalho do Log Analytics , selecione Registos.
No separador Tabelas, selecione Resultados da pesquisa para ver todas as tabelas de resultados da tarefa de pesquisa.

O ícone na tabela de resultados da tarefa de pesquisa apresenta uma indicação de atualização até a tarefa de pesquisa estar concluída.

Chame as Tabelas – Obter API para obter o estado e os detalhes de uma tarefa de pesquisa:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/<TableName>_SRCH?api-version=2021-12-01-preview

Estado da tabela

Cada tabela de tarefa de pesquisa tem uma propriedade denominada provisioningState, que pode ter um dos seguintes valores:

Estado	Descrição
Atualização	Preencher a tabela e o respetivo esquema.
Entrada	A tarefa de pesquisa está em execução, a obter dados.
Com êxito	Tarefa de pesquisa concluída.
Eliminar	A eliminar a tabela de tarefas de pesquisa.

Pedido de exemplo

Este exemplo obtém o estado da tabela para a tarefa de pesquisa no exemplo anterior.

Pedir

GET https://management.azure.com/subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/Syslog_SRCH?api-version=2021-12-01-preview

Response

{
        "properties": {
        "retentionInDays": 30,
        "totalRetentionInDays": 30,
        "archiveRetentionInDays": 0,
        "plan": "Analytics",
        "lastPlanModifiedDate": "Mon, 01 Nov 2021 16:38:01 GMT",
        "schema": {
            "name": "Syslog_SRCH",
            "tableType": "SearchResults",
            "description": "This table was created using a Search Job with the following query: 'Syslog | where * has 'suspected.exe'.'",
            "columns": [...],
            "standardColumns": [...],
            "solutions": [
                "LogManagement"
            ],
            "searchResults": {
                "query": "Syslog | where * has 'suspected.exe'",
                "limit": 1000,
                "startSearchTime": "Wed, 01 Jan 2020 00:00:00 GMT",
                "endSearchTime": "Fri, 31 Jan 2020 00:00:00 GMT",
                "sourceTable": "Syslog"
            }
        },
        "provisioningState": "Succeeded"
    },
    "id": "subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/Syslog_SRCH",
    "name": "Syslog_SRCH"
}

Para verificar o estado e os detalhes de uma tabela de tarefas de pesquisa, execute o comando az monitor log-analytics workspace table show .

Por exemplo:

az monitor log-analytics workspace table show --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name HeartbeatByIp_SRCH --output table \

Eliminar uma tabela de tarefas de pesquisa

Recomendamos que elimine a tabela da tarefa de pesquisa quando terminar de consultar a tabela. Isto reduz a desorganização da área de trabalho e custos adicionais para a retenção de dados.

Limitações

As tarefas de pesquisa estão sujeitas às seguintes limitações:

Otimizado para consultar uma tabela de cada vez.
O intervalo de datas de pesquisa é de um ano.
Suporta pesquisas de execução prolongada até um tempo limite de 24 horas.
Os resultados estão limitados a um milhão de registos no conjunto de registos.
A execução simultânea está limitada a cinco tarefas de pesquisa por área de trabalho.
Limitado a 100 tabelas de resultados de pesquisa por área de trabalho.
Limitado a 100 execuções de tarefas de pesquisa por dia por área de trabalho.

Quando atinge o limite de registos, o Azure aborta a tarefa com um estado de êxito parcial e a tabela conterá apenas registos ingeridos até esse ponto.

Limitações da consulta KQL

As tarefas de pesquisa destinam-se a analisar grandes volumes de dados numa tabela específica. Por conseguinte, as consultas de tarefas de pesquisa têm sempre de começar com um nome de tabela. Para ativar a execução assíncrona através da distribuição e segmentação, a consulta suporta um subconjunto de KQL, incluindo os operadores:

Pode utilizar todas as funções e operadores binários nestes operadores.

Modelo preços

O custo de uma tarefa de pesquisa baseia-se em:

Execução de tarefas de pesquisa – a quantidade de dados que a tarefa de pesquisa precisa de analisar.
Resultados da tarefa de pesquisa – a quantidade de dados ingeridos na tabela de resultados, com base nos preços regulares de ingestão de dados de registo.

Por exemplo, se a sua tabela tiver 500 GB por dia, para uma consulta em três dias, ser-lhe-á cobrado 1500 GB de dados analisados. Se a tarefa devolver 1000 registos, ser-lhe-á cobrado por ingerir estes 1000 registos na tabela de resultados.