Köra sökjobb i Azure Monitor

Ett sökjobb är en asynkron fråga som du kör på alla data i Log Analytics – både i analys och långsiktig kvarhållning – som gör frågeresultaten tillgängliga för interaktiva frågor i en ny söktabell på din arbetsyta. Sökjobbet använder parallell bearbetning och kan köras i flera timmar över stora datamängder. Den här artikeln beskriver hur du skapar ett sökjobb och hur du frågar efter dess resulterande data.

Den här videon förklarar när och hur du använder sökjobb:

Behörigheter som krävs

Åtgärd	Behörigheter som krävs
Köra ett sökjobb	Microsoft.OperationalInsights/workspaces/tables/write och Microsoft.OperationalInsights/workspaces/searchJobs/write behörigheter till Log Analytics-arbetsytan, som exempel är detta tillhandahållet av den inbyggda rollen Log Analytics Contributor.

Kommentar

Sökjobb mellan klienter stöds inte. Azure Lighthouse-delegerad åtkomst stöds inte heller för sökjobb (eller återställning) även när en delegerad roll tilldelas som innehåller behörigheten searchJobs/write.

När man ska använda sökjobb

Använd sökjobb för att:

• Hämta poster från långsiktig kvarhållning och tabeller med basic- och tilläggsplanerna till en ny Analystabell där du kan dra nytta av Azure Monitor-loggens fullständiga analysfunktioner.
• Sök igenom stora mängder data om loggfrågans tidsgräns på 10 minuter inte räcker.

Vad gör ett sökjobb?

Ett sökjobb söker igenom data och skickar dess resultat till en ny tabell på samma arbetsyta som källdata. Resultattabellen är tillgänglig så snart sökjobbet börjar, men det kan ta tid innan resultaten börjar visas. En kostnad uppstår baserat på prismodellen för skannade data och storleken på de inmatade resultaten. Innan ett sökjobb körs finns en kostnadsuppskattning tillgänglig som hjälper dig att avgöra om jobbet ska köras.

Sökresultattabellen är en Analystabell som är tillgänglig för loggfrågor och andra Azure Monitor-funktioner som använder tabeller på en arbetsyta. Tabellen använder kvarhållningsvärdet som angetts för arbetsytan, men du kan ändra det här värdet när tabellen har skapats.

Schemat för sökresultattabellen baseras på källtabellschemat och den angivna frågan. Följande andra kolumner hjälper dig att spåra källposterna:

Kolumn	Värde
_OriginalType	Skriv värde från källtabellen.
_OriginalItemId	_ItemID värde från källtabellen.
_OriginaltidGenererad	TimeGenerated-värde från källtabellen.
Tidpunkt för generering	Tidpunkt då sökjobbet kördes.

Frågor i resultattabellen visas i loggfrågegranskning men inte det första sökjobbet.

Köra ett sökjobb

Kör ett sökjobb för att hämta poster från stora datamängder till en ny sökresultattabell på din arbetsyta.

Tips

Du debiteras för att köra ett sökjobb. Skriv och optimera frågan i interaktivt frågeläge innan du kör sökjobbet. Använd förhandsversionen av kostnadsuppskattningen för att förstå de potentiella kostnaderna.

Portal

Kör ett sökjobb i Azure Portal:

1. Från menyn i Log Analytics-arbetsytan väljer du Loggar.

2. Skriv en sökjobbsfråga eller välj bara den tabell som du vill använda.

3. Välj ellipsmenyn till höger på skärmen och välj Sökjobb.

   

4. Eller använd den nedrullningsfria menyn Kör och välj Kör som sökjobb.

   

5. Ange sökjobbets datumintervall med hjälp av tidsväljaren. Välj en period inom den totala kvarhållningsperioden.

   Om Kusto-frågan också anger ett tidsintervall, används föreningen av tidsintervallen för sökjobbet.

   

6. Ange ett namn för resultattabellen för sökjobbet och välj Kör ett sökjobb.

   Azure Monitor Logs kör sökjobbet och skapar en ny tabell på din arbetsyta för ditt sökjobbresultat.

7. När den nya tabellen är klar väljer du Visa "<searchtablename>_SRCH" för att visa tabellen i Log Analytics.

   Sökresultaten är tillgängliga när de börjar flöda in i den nyligen skapade sökresultattabellen.

   

   Azure Monitor-loggar visar att ett sökjobb är klart när det har slutförts. När du ser meddelandet eller när framstegsfältet visar 100%, är resultattabellen klar med alla poster som matchar sökfrågan.

Application Programming Interface

Om du vill köra ett sökjobb använder du Create åtgärden för Tabeller API:et. Anropet innehåller namnet på resultattabellen som ska skapas. Namnet på resultattabellen måste sluta med _SRCH.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/{tablename_SRCH}?api-version={api-version}

Begärandetext

Inkludera följande värden i brödtexten i begäran:

Namn	Typ	Beskrivning
egenskaper.sökresultat.förfrågan	sträng	Loggfråga skriven i KQL för att hämta data.
egenskaper.sökresultat.gräns	heltal	Maximalt antal poster i resultatuppsättningen, upp till 100 miljoner poster. (Valfritt)
Egenskaper.sökresultat.startSökTid	sträng	Start av tidsintervallet för sökning.
egenskaper.sokresultat.sluttidForSokning	sträng	Slutpunkt för tidsintervallet för sökning.

Exempelbegäran

I det här exemplet skapas en tabell med namnet Syslog_suspected_SRCH med resultatet av en fråga som söker efter vissa poster i Syslog-tabellen.

Förfrågan

PUT https://management.azure.com/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/ContosoResourceGroup/providers/Microsoft.OperationalInsights/workspaces/ContosoWorkspace/tables/Syslog_suspected_SRCH?api-version={api-version}

Begärandetext

{
    "properties": { 
        "searchResults": {
                "query": "Syslog | where * has 'suspected.exe'",
                "limit": 1000,
                "startSearchTime": "2025-01-01T00:00:00Z",
                "endSearchTime": "2025-11-30T00:00:00Z"
            }
    }
}

Svar

Statuskod: 202 har godkänts.

CLI

Kör kommandot för att köra ett sökjobb: az monitor log-analytics workspace table search-job create. Namnet på resultattabellen, som du anger med hjälp av parametern --name , måste sluta med _SRCH.

Exempel

az monitor log-analytics workspace table search-job create --subscription aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e --resource-group ContosoResourceGroup --workspace-name ContosoWorkspace --name HeartbeatByIp_SRCH --search-query 'Heartbeat | where ComputerIP has "198.51.100.101"' --limit 1500 --start-search-time "2022-01-01T00:00:00.000Z" --end-search-time "2022-01-08T00:00:00.000Z" --no-wait

PowerShell

Kör kommandot New-AzOperationalInsightsSearchTable för att köra ett sökjobb. Namnet på resultattabellen, som du anger med hjälp av parametern TableName , måste sluta med _SRCH.

Exempel

New-AzOperationalInsightsSearchTable -ResourceGroupName ContosoResourceGroup -WorkspaceName ContosoWorkspace -TableName HeartbeatByIp_SRCH -SearchQuery "Heartbeat" -StartSearchTime "01-01-2022 00:00:00" -EndSearchTime "01-01-2022 00:00:00"

Hämta status och information för sökjobb

Portal

1. Från menyn i Log Analytics-arbetsytan väljer du Loggar.

2. Hovra över sökresultattabellen från Sökresultat> för att visa förloppet.

   Ikonen i resultattabellen för sökjobbet visar en uppdateringsindikatorikon tills sökjobbet har slutförts.

   

Application Programming Interface

Get Använd åtgärden för tabell-API:et för att kontrollera status och information om ett sökjobb.

GET https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/{tableName_SRCH}?api-version={api-version}

Tabellstatus

Varje sökjobbtabell har en egenskap som kallas provisioningState, som kan ha något av följande värden:

Läge	Beskrivning
Uppdatera	Fyller i tabellen och dess schema.
InProgress	Sökjobbet håller på att köras och hämtar data.
Lyckades	Sökjobbet har slutförts.
Tas bort	Tar bort sökjobbstabellen.

Exempelbegäran

Det här exemplet hämtar tabellstatusen för sökjobbet i föregående exempel.

Förfrågan

GET https://management.azure.com/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/ContosoResourceGroup/providers/Microsoft.OperationalInsights/workspaces/ContosoWorkspace/tables/Syslog_SRCH?api-version={api-version}

Svar

{
        "properties": {
        "retentionInDays": 30,
        "totalRetentionInDays": 30,
        "archiveRetentionInDays": 0,
        "plan": "Analytics",
        "lastPlanModifiedDate": "Mon, 01 Nov 2021 16:38:01 GMT",
        "schema": {
            "name": "Syslog_SRCH",
            "tableType": "SearchResults",
            "description": "This table was created using a Search Job with the following query: 'Syslog | where * has 'suspected.exe'.'",
            "columns": [...],
            "standardColumns": [...],
            "solutions": [
                "LogManagement"
            ],
            "searchResults": {
                "query": "Syslog | where * has 'suspected.exe'",
                "limit": 1000,
                "startSearchTime": "Wed, 01 Jan 2020 00:00:00 GMT",
                "endSearchTime": "Fri, 31 Jan 2020 00:00:00 GMT",
                "sourceTable": "Syslog"
            }
        },
        "provisioningState": "Succeeded"
    },
    "id": "subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/ContosoResourceGroup/providers/Microsoft.OperationalInsights/workspaces/ContosoWorkspace/tables/Syslog_SRCH",
    "name": "Syslog_SRCH"
}

CLI

För att kontrollera status och information om en sökjobbstabell, kör kommandot az monitor log-analytics workspace table show.

Exempel

az monitor log-analytics workspace table show --subscription aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e --resource-group ContosoResourceGroup --workspace-name ContosoWorkspace --name HeartbeatByIp_SRCH --output table \

PowerShell

För att kontrollera status och information om en sökjobbstabell kör kommandot Get-AzOperationalInsightsTable.

Exempel

Get-AzOperationalInsightsTable -ResourceGroupName "ContosoResourceGroup" -WorkspaceName "ContosoWorkspace" -tableName "HeartbeatByIp_SRCH"

Kommentar

När "-TableName" inte har angetts visar kommandot alla tabeller som är associerade med en arbetsyta.

Ta bort en sökjobbstabell

Vi rekommenderar att du tar bort sökjobbstabellen när du är klar med att fråga tabellen. Den här bästa metoden minskar arbetsytans oreda och extra avgifter för datakvarhållning.

Överväganden

Följande överväganden gäller för sökjobb:

• Optimerad för att köra frågor mot en tabell i taget
• Datumintervallet för sökning är vilken period som helst inom den totala lagringstiden
• Stöder tidskrävande sökningar upp till en tidsgräns på 24 timmar
• Resultaten är begränsade till 100 miljoner poster i postuppsättningen – om gränsen överskrids avbryter Azure Monitor jobbet med statusen partiell framgång och tabellen innehåller endast poster som matas in fram till den punkten
• Samtidig körning är begränsad till tio sökningar per arbetsyta.
• Begränsat till 200 sökresultattabeller per arbetsyta
• Begränsat till 200 sökjobbsutföranden per dag per arbetsyta
• Sökjobb mellan klientorganisationer stöds inte
• Azure Lighthouse-delegerad åtkomst stöds inte för sökjobb även om delegeringen innehåller rätt sökjobb/skrivbehörighet – misslyckas med felmeddelandet:
  Användare<managing-tenant-userId>har inte åtkomst till åtgärden Microsoft.OperationalInsights/workspaces/searchJobs/write på omfattningen<delegated-workspace-resourceID>.

KQL-frågeöverväganden

Sökjobb är avsedda att genomsöka stora mängder data i en specifik tabell, så sökjobbsfrågor måste alltid börja med ett tabellnamn. För att aktivera asynkron körning med hjälp av distribution och segmentering stöder frågan en delmängd av KQL, inklusive följande tabelloperatorer:

• where
• extend
• project
• project-away
• project-keep
• project-rename
• project-reorder
• parse
• parse-where

Alla funktioner och binära operatorer inom dessa operatorer kan användas.

Strängoperatorn contains blockeras från att användas i sökjobb eftersom avancerade textmatchningar har stor inverkan på prestandan. Använd has i stället strängoperatorn. Mer information om prestandaöverväganden finns i Optimera loggfrågor i Azure Monitor.

Prismodell

Sökjobbsavgiften baseras på:

• Utförande av sökjobb:

  • Analysplan – Den mängd data som sökjobbet genomsöker och som finns i långsiktig lagring. Det kostar inget att skanna data som lagras för analys i Analytics-tabeller.

  • Grundläggande planer eller tilläggsplaner – Alla data som sökjobbet genomsöker i långsiktig kvarhållning.

    Data som genomsöks definieras som mängden data i tabellen som du kör sökjobbet på inom det angivna tidsintervallet. Mer information om analys och långsiktig kvarhållning finns i Hantera datakvarhållning på en Log Analytics-arbetsyta.

• Sökresultat – Mängden data som sökjobbet hittar och matas in i resultattabellen, baserat på datainmatningshastigheten för Analytics-tabeller.

Om en sökning i en Basic-tabell till exempel sträcker sig över 30 dagar och tabellen innehåller 500 GB data per dag debiteras du för 15 000 GB genomsökt data. Om sökjobbet returnerar 1 000 poster debiteras du för att du matar in dessa 1 000 poster i resultattabellen.

Mer information finns i Prissättning för Azure Monitor.

Relaterat innehåll

• Läs mer om hur du hanterar databevarande på en arbetsyta för Log Analytics.
• Lär dig mer om att köra frågor direkt mot tabellerna Basic och Auxiliary.