Azure İzleyici'de arama işlerini çalıştırma

Arama işleri, daha fazla analiz için kayıtları çalışma alanınızdaki yeni bir arama tablosuna getiren zaman uyumsuz sorgulardır. Arama işi, paralel işleme yaklaşımını kullanır ve büyük veri kümelerinde saatlerce çalışabilir. Bu makalede arama işinin nasıl oluşturulacağı ve sonuçta elde edilen verilerin nasıl sorgulandığı açıklanır.

Not

Arama işi özelliği şu anda müşteri tarafından yönetilen anahtarlara sahip çalışma alanlarında ve Çin Doğu 2 bölgesinde desteklenmemektedir.

Arama işlerinin kullanım alanları

10 dakikalık günlük sorgusu zaman aşımı, büyük veri hacimlerinde arama yapmak için yeterli olmadığında veya yavaş bir sorgu çalıştırıyorsanız bir arama işi kullanın.

Arama işleri, Arşivlenmiş Günlükler ve Temel Günlükler tablolarındaki kayıtları sorgular için kullanabileceğiniz yeni bir günlük tablosuna almanıza da olanak tanır. Bu şekilde, bir arama işi çalıştırmak aşağıdakilere alternatif olabilir:

• Belirli bir zaman aralığı için Arşivlenmiş Günlükler'den verileri geri yükleme.
  Büyük miktarda veri üzerinde çok sayıda sorgu çalıştırmak için geçici bir gereksiniminiz olduğunda geri yüklemeyi kullanın.

• Temel Günlükleri doğrudan sorgulama ve her sorgu için ödeme.
  Hangi alternatifin daha uygun maliyetli olduğunu belirlemek için, Temel Günlükleri sorgulamanın maliyetini arama işini çalıştırma ve arama işi sonuçlarını depolama maliyetiyle karşılaştırın.

Arama işi ne yapar?

Arama işi, sonuçlarını kaynak verilerle aynı çalışma alanında bulunan yeni bir tabloya gönderir. Sonuçlar tablosu, arama işi başlar başlamaz kullanılabilir, ancak sonuçların görünmeye başlaması zaman alabilir.

Arama işi sonuçları tablosu, günlük sorguları ve çalışma alanında tabloları kullanan diğer Azure İzleyici özellikleri için kullanılabilen bir Analiz tablosudur . Tablo çalışma alanı için ayarlanan bekletme değerini kullanır, ancak tablo oluşturulduktan sonra bu değeri değiştirebilirsiniz.

Arama sonuçları tablosu şeması, kaynak tablo şemasını ve belirtilen sorguyu temel alır. Aşağıdaki diğer sütunlar kaynak kayıtları izlemenize yardımcı olur:

Sütun	Değer
_OriginalType	Kaynak tablodan değer yazın.
_OriginalItemId	Kaynak tablodan değer _ItemID.
_OriginalTimeGenerated	Kaynak tablodan TimeGenerated değeri.
TimeGenerated	Arama işinin çalıştırıldığı saat.

Sonuçlar tablosundaki sorgular günlük sorgusu denetiminde görünür, ancak ilk arama işinde görünmez.

Arama işi çalıştırma

Büyük veri kümelerindeki kayıtları çalışma alanınızdaki yeni bir arama sonuçları tablosuna getirmek için bir arama işi çalıştırın.

İpucu

Bir arama işini çalıştırmak için ücretlendirilirsiniz. Bu nedenle, arama işini çalıştırmadan önce sorgunuzu etkileşimli sorgu modunda yazın ve iyileştirin.

Portal

Arama işini çalıştırmak için Azure portal:

1. Log Analytics çalışma alanımenüsünden Günlükler'i seçin.

2. Ekranın sağ tarafındaki üç nokta menüsünü seçin ve arama işi modunu açın.

   

   Azure İzleyici Günlükleri IntelliSense , arama işi sorgunuzu yazmanıza yardımcı olmak için arama işi modunda KQL sorgu sınırlamalarını destekler.

3. Zaman seçiciyi kullanarak arama işi tarih aralığını belirtin.

4. Arama işi sorgusunu yazın ve İş Ara düğmesini seçin.

   Azure İzleyici Günlükleri, sonuç kümesi tablosu için bir ad girmenizi ister ve arama işinin faturalamaya tabi olduğunu size bildirir.

   

5. Arama işi sonuç tablosu için bir ad girin ve Arama işini çalıştır'ı seçin.

   Azure İzleyici Günlükleri, arama işini çalıştırır ve arama işi sonuçlarınız için çalışma alanınızda yeni bir tablo oluşturur.

   

6. Yeni tablo hazır olduğunda, Tabloyu Log Analytics'te görüntülemek için tablename_SRCH görüntüle'yi seçin.

   

   Yeni oluşturulan arama işi sonuçları tablosuna akmaya başlarken arama işi sonuçlarını görebilirsiniz.

   

   Azure İzleyici Günlükleri, arama işinin sonunda bir Arama işi tamamlandı iletisini gösterir. Sonuç tablosu artık arama sorgusuyla eşleşen tüm kayıtlarla birlikte hazırdır.

   

API

Arama işini çalıştırmak için Tablolar - Oluşturma veya Güncelleştirme API'sini çağırın. Çağrı, oluşturulacak sonuç tablosunun adını içerir. Sonuçlar tablosunun adı _SRCH ile bitmelidir.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/<TableName>_SRCH?api-version=2021-12-01-preview

İstek gövdesi

İsteğin gövdesine aşağıdaki değerleri ekleyin:

Ad	Tür	Açıklama
properties.searchResults.query	string	Verileri almak için KQL'de yazılan günlük sorgusu.
properties.searchResults.limit	tamsayı	Sonuç kümesindeki en fazla kayıt sayısı (en fazla bir milyon kayıt). (İsteğe bağlı)
properties.searchResults.startSearchTime	string	Aranacak zaman aralığının başlangıcı.
properties.searchResults.endSearchTime	string	Aranacak zaman aralığının sonu.

Örnek istek

Bu örnek ,Syslog tablosundaki belirli kayıtları arayan bir sorgunun sonuçlarıyla Syslog_suspected_SRCH adlı bir tablo oluşturur.

İstek

PUT https://management.azure.com/subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/Syslog_suspected_SRCH?api-version=2021-12-01-preview

İstek gövdesi

{
    "properties": { 
        "searchResults": {
                "query": "Syslog | where * has 'suspected.exe'",
                "limit": 1000,
                "startSearchTime": "2020-01-01T00:00:00Z",
                "endSearchTime": "2020-01-31T00:00:00Z"
            }
    }
}

Response

Durum kodu: 202 kabul edildi.

CLI

Arama işini çalıştırmak için az monitor log-analytics workspace table search-job create komutunu çalıştırın. parametresini kullanarak ayarladığınız sonuç tablosunun --name adı _SRCH ile bitmelidir.

Örnek:

az monitor log-analytics workspace table search-job create --subscription ContosoSID --resource-group ContosoRG  --workspace-name ContosoWorkspace --name HeartbeatByIp_SRCH --search-query 'Heartbeat | where ComputerIP has "00.000.00.000"' --limit 1500 --start-search-time "2022-01-01T00:00:00.000Z" --end-search-time "2022-01-08T00:00:00.000Z" --no-wait

Arama işi durumunu ve ayrıntılarını alma

Portal

1. Log Analytics çalışma alanımenüsünden Günlükler'i seçin.

2. Tüm arama işi sonuçları tablolarını görüntülemek için Tablolar sekmesinde Arama sonuçları'nı seçin.

   Arama işi sonuçları tablosundaki simge, arama işi tamamlanana kadar bir güncelleştirme göstergesi görüntüler.

   

API

Bir arama işinin durumunu ve ayrıntılarını almak için Tablolar - API'yi alma çağrısı yapın:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/<TableName>_SRCH?api-version=2021-12-01-preview

Tablo durumu

Her arama işi tablosunun provisioningState adlı bir özelliği vardır ve bu özellik aşağıdaki değerlerden birine sahip olabilir:

Durum	Açıklama
Güncelleştirme	Tabloyu ve şemasını doldurma.
InProgress	Arama işi çalışıyor ve veri getiriyor.
Başarılı	Arama işi tamamlandı.
Siliniyor	Arama işi tablosu siliniyor.

Örnek istek

Bu örnek, önceki örnekteki arama işinin tablo durumunu alır.

İstek

GET https://management.azure.com/subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/Syslog_SRCH?api-version=2021-12-01-preview

Response

{
        "properties": {
        "retentionInDays": 30,
        "totalRetentionInDays": 30,
        "archiveRetentionInDays": 0,
        "plan": "Analytics",
        "lastPlanModifiedDate": "Mon, 01 Nov 2021 16:38:01 GMT",
        "schema": {
            "name": "Syslog_SRCH",
            "tableType": "SearchResults",
            "description": "This table was created using a Search Job with the following query: 'Syslog | where * has 'suspected.exe'.'",
            "columns": [...],
            "standardColumns": [...],
            "solutions": [
                "LogManagement"
            ],
            "searchResults": {
                "query": "Syslog | where * has 'suspected.exe'",
                "limit": 1000,
                "startSearchTime": "Wed, 01 Jan 2020 00:00:00 GMT",
                "endSearchTime": "Fri, 31 Jan 2020 00:00:00 GMT",
                "sourceTable": "Syslog"
            }
        },
        "provisioningState": "Succeeded"
    },
    "id": "subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/Syslog_SRCH",
    "name": "Syslog_SRCH"
}

CLI

Arama işi tablosunun durumunu ve ayrıntılarını denetlemek için az monitor log-analytics workspace table show komutunu çalıştırın.

Örnek:

az monitor log-analytics workspace table show --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name HeartbeatByIp_SRCH --output table \

Arama işi tablosunu silme

Tabloyu sorgulamayı bitirdiğinizde arama işi tablosunu silmenizi öneririz. Bu, çalışma alanı dağınıklığı ve veri saklama için ek ücretleri azaltır.

Sınırlamalar

Arama işleri aşağıdaki sınırlamalara tabidir:

• Bir kerede bir tabloyu sorgulamak için iyileştirilmiştir.
• Arama tarihi aralığı bir yıla kadardır.
• 24 saatlik zaman aşımına kadar uzun süre çalışan aramaları destekler.
• Sonuçlar, kayıt kümesindeki bir milyon kayıtla sınırlıdır.
• Eşzamanlı yürütme, çalışma alanı başına beş arama işiyle sınırlıdır.
• Çalışma alanı başına 100 arama sonuçları tablosuyla sınırlıdır.
• Çalışma alanı başına günde 100 arama işi yürütmesi ile sınırlıdır.

Kayıt sınırına ulaştığınızda, Azure işi kısmi başarı durumuyla durdurur ve tabloda yalnızca o noktaya kadar alınan kayıtlar yer alır.

KQL sorgu sınırlamaları

Arama işleri, belirli bir tablodaki büyük hacimli verileri taramaya yöneliktir. Bu nedenle, arama işi sorguları her zaman bir tablo adıyla başlamalıdır. Dağıtım ve segmentasyon kullanarak zaman uyumsuz yürütmeyi etkinleştirmek için sorgu, işleçleri de dahil olmak üzere KQL'nin bir alt kümesini destekler:

• Nerede
• Genişlet -mek
• Proje
• proje dışı
• project-keep
• project-rename
• project-reorder
• Ayrıştı -rma
• ayrıştırma yeri

Bu işleçler içindeki tüm işlevleri ve ikili işleçleri kullanabilirsiniz.

Fiyatlandırma modeli

Arama işinin ücreti aşağıdakilere bağlıdır:

• Arama işi yürütme - arama işinin taraması gereken veri miktarı.
• Arama işi sonuçları: Normal günlük verileri alım fiyatlarına göre sonuçlar tablosunda alınan veri miktarı.

Örneğin, tablonuz günde 500 GB tutuyorsa, üç günlük bir sorgu için 1500 GB taranmış veri için ücretlendirilirsiniz. İş 1000 kayıt döndürürse, bu 1000 kaydı sonuçlar tablosuna almak için ücretlendirilirsiniz.

Not

Arama işi yürütme 2023'e kadar ücretsizdir. Başka bir deyişle, 2023'in başına kadar, arama işini yürütmek için değil, yalnızca arama sonuçlarını almak için ücretlendirilirsiniz.

Daha fazla bilgi için bkz. Azure İzleyici fiyatlandırması.

Sonraki adımlar

• Veri saklama ve verileri arşivleme hakkında daha fazla bilgi edinin.
• Arşivlenmiş verileri almak için başka bir yöntem olan verileri geri yükleme hakkında bilgi edinin.
• Temel Günlükleri doğrudan sorgulama hakkında bilgi edinin.