Azure İzleyici'de arama işlerini çalıştırma

Arama işi, Log Analytics'inizdeki tüm verilerde (hem etkileşimli hem de uzun süreli saklamada ) çalıştırdığınız zaman uyumsuz bir sorgudur ve bu da sorgu sonuçlarını çalışma alanınızdaki yeni bir arama tablosundaki etkileşimli sorgular için kullanılabilir hale getirir. Arama işi, paralel işleme yaklaşımını kullanır ve büyük veri kümelerinde saatlerce çalışabilir. Bu makalede arama işinin nasıl oluşturulacağı ve sonuçta elde edilen verilerin nasıl sorgulandığı açıklanmaktadır.

Bu videoda arama işlerinin ne zaman ve nasıl kullanılacağı açıklanmaktadır:

Gerekli izinler

Eylem	Gerekli izinler
Arama işi çalıştırma	Microsoft.OperationalInsights/workspaces/tables/writeve Microsoft.OperationalInsights/workspaces/searchJobs/write Log Analytics çalışma alanına yönelik izinler( örneğin, Log Analytics Katkıda Bulunanı yerleşik rolü tarafından sağlanmıştır).

Not

Kiracılar arası arama işleri, Entra ID kiracıları Azure Lighthouse aracılığıyla yönetilse bile şu anda desteklenmemektedir.

Arama işlerinin kullanım alanları

Arama işlerini kullanarak:

• Temel ve Yardımcı planlarla uzun süreli saklama ve tablolardaki kayıtları Azure İzleyici Günlüğü'nin tam analiz özelliklerinden yararlanabileceğiniz yeni bir Analiz tablosuna alın.
• 10 dakikalık günlük sorgusu zaman aşımı yeterli değilse büyük hacimli verileri tarayın.

Arama işi ne yapar?

Arama işi, sonuçlarını kaynak verilerle aynı çalışma alanında bulunan yeni bir tabloya gönderir. Sonuçlar tablosu, arama işi başlar başlamaz kullanılabilir, ancak sonuçların görünmeye başlaması zaman alabilir.

Arama işi sonuçları tablosu, günlük sorguları ve çalışma alanında tabloları kullanan diğer Azure İzleyici özellikleri için kullanılabilen bir Analytics tablosudur . Tablo, çalışma alanı için ayarlanan bekletme değerini kullanır, ancak tablo oluşturulduktan sonra bu değeri değiştirebilirsiniz.

Arama sonuçları tablosu şeması, kaynak tablo şemasını ve belirtilen sorguyu temel alır. Aşağıdaki diğer sütunlar kaynak kayıtları izlemenize yardımcı olur:

Sütun	Değer
_OriginalType	Kaynak tablodan değer yazın .
_OriginalItemId	Kaynak tablodan değer _ItemID.
_OriginalTimeGenerated	Kaynak tablodan TimeGenerated değeri.
TimeGenerated	Arama işinin çalıştırıldığı saat.

Sonuçlar tablosundaki sorgular günlük sorgusu denetiminde görünür ancak ilk arama işinde görünmez.

Arama işi çalıştırma

Büyük veri kümelerindeki kayıtları çalışma alanınızdaki yeni bir arama sonuçları tablosuna getirmek için bir arama işi çalıştırın.

İpucu

Arama işini çalıştırmak için ücretlendirilirsiniz. Bu nedenle, arama işini çalıştırmadan önce sorgunuzu etkileşimli sorgu modunda yazın ve iyileştirin.

Portal

Arama işini çalıştırmak için Azure portalında:

1. Log Analytics çalışma alanı menüsünde Günlükler'i seçin.

2. Ekranın sağ tarafındaki üç nokta menüsünü seçin ve Arama işi modunu açık konuma getirin.

   

   Azure İzleyici Günlükleri intellisense, arama işi sorgunuzu yazmanıza yardımcı olmak için arama işi modundaki KQL sorgu sınırlamalarını destekler.

3. Zaman seçiciyi kullanarak arama işi tarih aralığını belirtin.

4. Arama işi sorgusunu yazın ve İş Ara düğmesini seçin.

   Azure İzleyici Günlükleri, sonuç kümesi tablosu için bir ad girmenizi ister ve arama işinin faturalamaya tabi olduğunu size bildirir.

   

5. Arama işi sonuç tablosu için bir ad girin ve Arama işini çalıştır'ı seçin.

   Azure İzleyici Günlükleri arama işini çalıştırır ve arama işi sonuçlarınız için çalışma alanınızda yeni bir tablo oluşturur.

   

6. Yeni tablo hazır olduğunda, Tabloyu Log Analytics'te görüntülemek için tablename_SRCH görüntüle'yi seçin.

   

   Yeni oluşturulan arama işi sonuçları tablosuna akmaya başlarken arama işi sonuçlarını görebilirsiniz.

   

   Azure İzleyici Günlükleri, arama işinin sonunda bir Arama işi tamamlandı iletisini gösterir. Sonuç tablosu artık arama sorgusuyla eşleşen tüm kayıtlarla hazır.

   

API

Arama işini çalıştırmak için Tablolar - Oluşturma veya Güncelleştirme API'sini çağırın. Çağrı, oluşturulacak sonuç tablosunun adını içerir. Sonuç tablosunun adı _SRCH ile bitmelidir.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/<TableName>_SRCH?api-version=2021-12-01-preview

İstek gövdesi

İsteğin gövdesine aşağıdaki değerleri ekleyin:

Adı	Tür	Açıklama
properties.searchResults.query	Dize	Verileri almak için KQL'de yazılan günlük sorgusu.
properties.searchResults.limit	integer	Sonuç kümesindeki en fazla bir milyon kayıt sayısı. (İsteğe bağlı)
properties.searchResults.startSearchTime	Dize	Aranacak zaman aralığının başlangıcı.
properties.searchResults.endSearchTime	Dize	Aranacak zaman aralığının sonu.

Örnek isteği

Bu örnek, Syslog tablosundaki belirli kayıtları arayan bir sorgunun sonuçlarıyla birlikte Syslog_suspected_SRCH adlı bir tablo oluşturur.

İste

PUT https://management.azure.com/subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/Syslog_suspected_SRCH?api-version=2021-12-01-preview

İstek gövdesi

{
    "properties": { 
        "searchResults": {
                "query": "Syslog | where * has 'suspected.exe'",
                "limit": 1000,
                "startSearchTime": "2020-01-01T00:00:00Z",
                "endSearchTime": "2020-01-31T00:00:00Z"
            }
    }
}

Response

Durum kodu: 202 kabul edildi.

CLI

Arama işini çalıştırmak için az monitor log-analytics workspace table search-job create komutunu çalıştırın. parametresini kullanarak ayarladığınız sonuç tablosunun --name adı _SRCH ile bitmelidir.

Örnek

az monitor log-analytics workspace table search-job create --subscription ContosoSID --resource-group ContosoRG  --workspace-name ContosoWorkspace --name HeartbeatByIp_SRCH --search-query 'Heartbeat | where ComputerIP has "00.000.00.000"' --limit 1500 --start-search-time "2022-01-01T00:00:00.000Z" --end-search-time "2022-01-08T00:00:00.000Z" --no-wait

PowerShell

Arama işini çalıştırmak için New-AzOperationalInsightsSearchTable komutunu çalıştırın. parametresini kullanarak ayarladığınız sonuç tablosunun TableName adı _SRCH ile bitmelidir.

Örnek

New-AzOperationalInsightsSearchTable -ResourceGroupName ContosoRG -WorkspaceName ContosoWorkspace -TableName HeartbeatByIp_SRCH -SearchQuery "Heartbeat" -StartSearchTime "01-01-2022 00:00:00" -EndSearchTime "01-01-2022 00:00:00"

Arama işi durumunu ve ayrıntılarını alma

Portal

1. Log Analytics çalışma alanı menüsünde Günlükler'i seçin.

2. Tablolar sekmesinde Arama sonuçları'nı seçerek tüm arama işi sonuçları tablolarını görüntüleyin.

   Arama işi sonuçları tablosundaki simge, arama işi tamamlanana kadar bir güncelleştirme göstergesi görüntüler.

   

API

Bir arama işinin durumunu ve ayrıntılarını almak için Tablolar - API'yi alma çağrısı yapın:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/<TableName>_SRCH?api-version=2021-12-01-preview

Tablo durumu

Her arama işi tablosunda aşağıdaki değerlerden birine sahip olabilecek provisioningState adlı bir özellik vardır:

Çalıştırma Durumu	Açıklama
Güncelleştirme	Tabloyu ve şemasını doldurma.
Devam Ediyor	Arama işi çalışıyor, veri getiriyor.
Başarılı	Arama işi tamamlandı.
Siliniyor	Arama işi tablosu siliniyor.

Örnek isteği

Bu örnek, önceki örnekteki arama işinin tablo durumunu alır.

İste

GET https://management.azure.com/subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/Syslog_SRCH?api-version=2021-12-01-preview

Response

{
        "properties": {
        "retentionInDays": 30,
        "totalRetentionInDays": 30,
        "archiveRetentionInDays": 0,
        "plan": "Analytics",
        "lastPlanModifiedDate": "Mon, 01 Nov 2021 16:38:01 GMT",
        "schema": {
            "name": "Syslog_SRCH",
            "tableType": "SearchResults",
            "description": "This table was created using a Search Job with the following query: 'Syslog | where * has 'suspected.exe'.'",
            "columns": [...],
            "standardColumns": [...],
            "solutions": [
                "LogManagement"
            ],
            "searchResults": {
                "query": "Syslog | where * has 'suspected.exe'",
                "limit": 1000,
                "startSearchTime": "Wed, 01 Jan 2020 00:00:00 GMT",
                "endSearchTime": "Fri, 31 Jan 2020 00:00:00 GMT",
                "sourceTable": "Syslog"
            }
        },
        "provisioningState": "Succeeded"
    },
    "id": "subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/Syslog_SRCH",
    "name": "Syslog_SRCH"
}

CLI

Arama işi tablosunun durumunu ve ayrıntılarını denetlemek için az monitor log-analytics workspace table show komutunu çalıştırın.

Örnek

az monitor log-analytics workspace table show --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name HeartbeatByIp_SRCH --output table \

PowerShell

Arama işi tablosunun durumunu ve ayrıntılarını denetlemek için Get-AzOperationalInsightsTable komutunu çalıştırın.

Örnek

Get-AzOperationalInsightsTable -ResourceGroupName "ContosoRG" -WorkspaceName "ContosoWorkspace" -tableName "HeartbeatByIp_SRCH"

Not

"-TableName" sağlanmadığında, komut bunun yerine çalışma alanıyla ilişkili tüm tabloları listeler.

Arama işi tablosunu silme

Tabloyu sorgulamayı bitirdiğinizde arama işi tablosunu silmenizi öneririz. Bu, çalışma alanı dağınıklığı ve veri saklama için ek ücretleri azaltır.

Sınırlamalar

Arama işleri aşağıdaki sınırlamalara tabidir:

• Bir kerede bir tabloyu sorgulamak için iyileştirildi.
• Arama tarihi aralığı bir yıla kadardır.
• 24 saatlik zaman aşımına kadar uzun süre çalışan aramaları destekler.
• Sonuçlar, kayıt kümesindeki bir milyon kayıtla sınırlıdır.
• Eşzamanlı yürütme, çalışma alanı başına beş arama işiyle sınırlıdır.
• Çalışma alanı başına 100 arama sonuçları tablosuyla sınırlıdır.
• Çalışma alanı başına günde 100 arama işi yürütmesi ile sınırlıdır.

Kayıt sınırına ulaştığınızda, Azure işi kısmi başarı durumuyla durdurur ve tabloda yalnızca bu noktaya kadar alınan kayıtlar bulunur.

KQL sorgu sınırlamaları

Arama işleri, belirli bir tablodaki büyük hacimli verileri taramaya yöneliktir. Bu nedenle, arama işi sorguları her zaman bir tablo adıyla başlamalıdır. Dağıtım ve segmentasyon kullanarak zaman uyumsuz yürütmeyi etkinleştirmek için sorgu, işleçler de dahil olmak üzere KQL'nin bir alt kümesini destekler:

• nerede
• uzatmak
• proje
• proje dışı
• project-keep
• project-rename
• project-reorder
• ayrıştırmak
• parse-where

Bu işleçler içindeki tüm işlevleri ve ikili işleçleri kullanabilirsiniz.

Fiyatlandırma modeli

Arama işi ücreti aşağıdakileri temel alır:

• Arama işi yürütme:

  • Analiz planı - Arama işinin taradığını ve uzun süreli saklama süresine sahip olan veri miktarı. Analytics tablolarında etkileşimli saklamada olan verileri taramak için ücret alınmaz.
  • Temel veya Yardımcı planlar - Arama işinin hem etkileşimli hem de uzun süreli saklamada taramış olduğu tüm veriler.

  Etkileşimli ve uzun süreli saklama hakkında daha fazla bilgi için bkz . Log Analytics çalışma alanında veri saklamayı yönetme.

• Arama işi sonuçları - Analiz tablolarının veri alma oranına bağlı olarak, arama işinin bulduğu ve sonuçlar tablosuna alınan veri miktarı.

Örneğin, Temel tablodaki bir arama 30 güne yayılmışsa ve tablo günde 500 GB veri barındırıyorsa, taranan 15.000 GB veri için ücretlendirilirsiniz. Arama işi 1.000 kayıt döndürürse, bu 1.000 kaydı sonuçlar tablosuna almak için ücretlendirilirsiniz.

Daha fazla bilgi için bkz . Azure İzleyici fiyatlandırması.

Sonraki adımlar

• Log Analytics çalışma alanında veri saklamayı yönetme hakkında daha fazla bilgi edinin.
• Temel ve Yardımcı tabloları doğrudan sorgulama hakkında bilgi edinin.