Azure İzleyici'de arama işlerini çalıştırma

Arama işleri, daha fazla analiz için kayıtları çalışma alanınızdaki yeni bir arama tablosuna getiren zaman uyumsuz sorgulardır. Arama işi, paralel işleme yaklaşımını kullanır ve büyük veri kümelerinde saatlerce çalışabilir. Bu makalede arama işinin nasıl oluşturulacağı ve sonuçta elde edilen verilerin nasıl sorgulandığı açıklanmaktadır.

Not

Arama işi özelliği şu anda müşteri tarafından yönetilen anahtarlara sahip çalışma alanları için desteklenmemektedir.

İzinler

Bir arama işini çalıştırmak için log analytics çalışma alanı için izinlere (örneğin, Log Analytics Katkıda Bulunanı yerleşik rolü tarafından sağlandığı gibi) ihtiyacınız vardır Microsoft.OperationalInsights/workspaces/tables/writeMicrosoft.OperationalInsights/workspaces/searchJobs/write.

Arama işlerinin kullanım alanları

10 dakikalık günlük sorgusu zaman aşımı, büyük hacimli verilerde arama yapmak için yeterli olmadığında veya yavaş bir sorgu çalıştırıyorsanız bir arama işi kullanın.

Arama işleri, Arşivlenmiş Günlükler ve Temel Günlükler tablolarındaki kayıtları sorgular için kullanabileceğiniz yeni bir günlük tablosuna almanıza da olanak tanır. Bu şekilde, bir arama işini çalıştırmak aşağıdakilere alternatif olabilir:

• Belirli bir zaman aralığı için Arşivlenmiş Günlükler'den verileri geri yükleme.
  Büyük miktarda veri üzerinde çok sayıda sorgu çalıştırmak için geçici bir gereksiniminiz olduğunda geri yüklemeyi kullanın.

• Temel Günlükleri doğrudan sorgulama ve her sorgu için ödeme.
  Hangi alternatifin daha uygun maliyetli olduğunu belirlemek için, Temel Günlükleri sorgulamanın maliyetini bir arama işini çalıştırma ve arama işi sonuçlarını depolama maliyetiyle karşılaştırın.

Arama işi ne yapar?

Arama işi, sonuçlarını kaynak verilerle aynı çalışma alanında bulunan yeni bir tabloya gönderir. Sonuçlar tablosu, arama işi başlar başlamaz kullanılabilir, ancak sonuçların görünmeye başlaması zaman alabilir.

Arama işi sonuçları tablosu, günlük sorguları ve çalışma alanında tabloları kullanan diğer Azure İzleyici özellikleri için kullanılabilen bir Analytics tablosudur . Tablo, çalışma alanı için ayarlanan bekletme değerini kullanır, ancak tablo oluşturulduktan sonra bu değeri değiştirebilirsiniz.

Arama sonuçları tablosu şeması, kaynak tablo şemasını ve belirtilen sorguyu temel alır. Aşağıdaki diğer sütunlar kaynak kayıtları izlemenize yardımcı olur:

Sütun	Değer
_OriginalType	Kaynak tablodan değer yazın .
_OriginalItemId	Kaynak tablodan değer _ItemID.
_OriginalTimeGenerated	Kaynak tablodan TimeGenerated değeri.
TimeGenerated	Arama işinin çalıştırıldığı saat.

Sonuçlar tablosundaki sorgular günlük sorgusu denetiminde görünür ancak ilk arama işinde görünmez.

Arama işi çalıştırma

Büyük veri kümelerindeki kayıtları çalışma alanınızdaki yeni bir arama sonuçları tablosuna getirmek için bir arama işi çalıştırın.

İpucu

Arama işini çalıştırmak için ücretlendirilirsiniz. Bu nedenle, arama işini çalıştırmadan önce sorgunuzu etkileşimli sorgu modunda yazın ve iyileştirin.

Portal

Arama işini çalıştırmak için Azure portalında:

1. Log Analytics çalışma alanı menüsünde Günlükler'i seçin.

2. Ekranın sağ tarafındaki üç nokta menüsünü seçin ve Arama işi modunu açık konuma getirin.

   

   Azure İzleyici Günlükleri intellisense, arama işi sorgunuzu yazmanıza yardımcı olmak için arama işi modundaki KQL sorgu sınırlamalarını destekler.

3. Zaman seçiciyi kullanarak arama işi tarih aralığını belirtin.

4. Arama işi sorgusunu yazın ve İş Ara düğmesini seçin.

   Azure İzleyici Günlükleri, sonuç kümesi tablosu için bir ad girmenizi ister ve arama işinin faturalamaya tabi olduğunu size bildirir.

   

5. Arama işi sonuç tablosu için bir ad girin ve Arama işini çalıştır'ı seçin.

   Azure İzleyici Günlükleri arama işini çalıştırır ve arama işi sonuçlarınız için çalışma alanınızda yeni bir tablo oluşturur.

   

6. Yeni tablo hazır olduğunda, Tabloyu Log Analytics'te görüntülemek için tablename_SRCH görüntüle'yi seçin.

   

   Yeni oluşturulan arama işi sonuçları tablosuna akmaya başlarken arama işi sonuçlarını görebilirsiniz.

   

   Azure İzleyici Günlükleri, arama işinin sonunda bir Arama işi tamamlandı iletisini gösterir. Sonuç tablosu artık arama sorgusuyla eşleşen tüm kayıtlarla hazır.

   

API

Arama işini çalıştırmak için Tablolar - Oluşturma veya Güncelleştirme API'sini çağırın. Çağrı, oluşturulacak sonuç tablosunun adını içerir. Sonuç tablosunun adı _SRCH ile bitmelidir.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/<TableName>_SRCH?api-version=2021-12-01-preview

İstek gövdesi

İsteğin gövdesine aşağıdaki değerleri ekleyin:

Adı	Tür	Açıklama
properties.searchResults.query	Dize	Verileri almak için KQL'de yazılan günlük sorgusu.
properties.searchResults.limit	integer	Sonuç kümesindeki en fazla bir milyon kayıt sayısı. (İsteğe bağlı)
properties.searchResults.startSearchTime	Dize	Aranacak zaman aralığının başlangıcı.
properties.searchResults.endSearchTime	Dize	Aranacak zaman aralığının sonu.

Örnek isteği

Bu örnek, Syslog tablosundaki belirli kayıtları arayan bir sorgunun sonuçlarıyla birlikte Syslog_suspected_SRCH adlı bir tablo oluşturur.

İste

PUT https://management.azure.com/subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/Syslog_suspected_SRCH?api-version=2021-12-01-preview

İstek gövdesi

{
    "properties": { 
        "searchResults": {
                "query": "Syslog | where * has 'suspected.exe'",
                "limit": 1000,
                "startSearchTime": "2020-01-01T00:00:00Z",
                "endSearchTime": "2020-01-31T00:00:00Z"
            }
    }
}

Response

Durum kodu: 202 kabul edildi.

CLI

Arama işini çalıştırmak için az monitor log-analytics workspace table search-job create komutunu çalıştırın. parametresini kullanarak ayarladığınız sonuç tablosunun --name adı _SRCH ile bitmelidir.

Örneğin:

az monitor log-analytics workspace table search-job create --subscription ContosoSID --resource-group ContosoRG  --workspace-name ContosoWorkspace --name HeartbeatByIp_SRCH --search-query 'Heartbeat | where ComputerIP has "00.000.00.000"' --limit 1500 --start-search-time "2022-01-01T00:00:00.000Z" --end-search-time "2022-01-08T00:00:00.000Z" --no-wait

Arama işi durumunu ve ayrıntılarını alma

Portal

1. Log Analytics çalışma alanı menüsünde Günlükler'i seçin.

2. Tablolar sekmesinde Arama sonuçları'nı seçerek tüm arama işi sonuçları tablolarını görüntüleyin.

   Arama işi sonuçları tablosundaki simge, arama işi tamamlanana kadar bir güncelleştirme göstergesi görüntüler.

   

API

Bir arama işinin durumunu ve ayrıntılarını almak için Tablolar - API'yi alma çağrısı yapın:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/<TableName>_SRCH?api-version=2021-12-01-preview

Tablo durumu

Her arama işi tablosunda aşağıdaki değerlerden birine sahip olabilecek provisioningState adlı bir özellik vardır:

Çalıştırma Durumu	Açıklama
Güncelleştirme	Tabloyu ve şemasını doldurma.
InProgress	Arama işi çalışıyor, veri getiriyor.
Başarılı Oldu	Arama işi tamamlandı.
Siliniyor	Arama işi tablosu siliniyor.

Örnek isteği

Bu örnek, önceki örnekteki arama işinin tablo durumunu alır.

İste

GET https://management.azure.com/subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/Syslog_SRCH?api-version=2021-12-01-preview

Response

{
        "properties": {
        "retentionInDays": 30,
        "totalRetentionInDays": 30,
        "archiveRetentionInDays": 0,
        "plan": "Analytics",
        "lastPlanModifiedDate": "Mon, 01 Nov 2021 16:38:01 GMT",
        "schema": {
            "name": "Syslog_SRCH",
            "tableType": "SearchResults",
            "description": "This table was created using a Search Job with the following query: 'Syslog | where * has 'suspected.exe'.'",
            "columns": [...],
            "standardColumns": [...],
            "solutions": [
                "LogManagement"
            ],
            "searchResults": {
                "query": "Syslog | where * has 'suspected.exe'",
                "limit": 1000,
                "startSearchTime": "Wed, 01 Jan 2020 00:00:00 GMT",
                "endSearchTime": "Fri, 31 Jan 2020 00:00:00 GMT",
                "sourceTable": "Syslog"
            }
        },
        "provisioningState": "Succeeded"
    },
    "id": "subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/Syslog_SRCH",
    "name": "Syslog_SRCH"
}

CLI

Arama işi tablosunun durumunu ve ayrıntılarını denetlemek için az monitor log-analytics workspace table show komutunu çalıştırın.

Örneğin:

az monitor log-analytics workspace table show --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name HeartbeatByIp_SRCH --output table \

Arama işi tablosunu silme

Tabloyu sorgulamayı bitirdiğinizde arama işi tablosunu silmenizi öneririz. Bu, çalışma alanı dağınıklığı ve veri saklama için ek ücretleri azaltır.

Sınırlamalar

Arama işleri aşağıdaki sınırlamalara tabidir:

• Bir kerede bir tabloyu sorgulamak için iyileştirildi.
• Arama tarihi aralığı bir yıla kadardır.
• 24 saatlik zaman aşımına kadar uzun süre çalışan aramaları destekler.
• Sonuçlar, kayıt kümesindeki bir milyon kayıtla sınırlıdır.
• Eşzamanlı yürütme, çalışma alanı başına beş arama işiyle sınırlıdır.
• Çalışma alanı başına 100 arama sonuçları tablosuyla sınırlıdır.
• Çalışma alanı başına günde 100 arama işi yürütmesi ile sınırlıdır.

Kayıt sınırına ulaştığınızda Azure, kısmi başarı durumuyla işi durdurur ve tabloda yalnızca bu noktaya kadar alınan kayıtlar yer alır.

KQL sorgu sınırlamaları

Arama işleri, belirli bir tablodaki büyük hacimli verileri taramaya yöneliktir. Bu nedenle, arama işi sorguları her zaman bir tablo adıyla başlamalıdır. Dağıtım ve segmentasyon kullanarak zaman uyumsuz yürütmeyi etkinleştirmek için sorgu, işleçler de dahil olmak üzere KQL'nin bir alt kümesini destekler:

• Nerede
• Genişlet -mek
• Proje
• proje dışı
• project-keep
• project-rename
• project-reorder
• Ayrıştı -rma
• parse-where

Bu işleçler içindeki tüm işlevleri ve ikili işleçleri kullanabilirsiniz.

Fiyatlandırma modeli

Arama işinin ücreti aşağıdakilere bağlıdır:

• Arama işi yürütme - arama işinin taraydırma veri miktarı.
• Arama işi sonuçları - Normal günlük verileri alım fiyatlarına göre arama işinin bulduğu ve sonuçlar tablosuna alınan veri miktarı.

Örneğin, tablonuzda günde 500 GB varsa, 30 gün içindeki bir arama için 15.000 GB taranmış veri için ücretlendirilirsiniz. Arama işi arama sorgusuyla eşleşen 1.000 kayıt bulursa, bu 1.000 kaydı sonuçlar tablosuna almak için ücretlendirilirsiniz.

Daha fazla bilgi için bkz . Azure İzleyici fiyatlandırması.

Sonraki adımlar

• Veri saklama ve verileri arşivleme hakkında daha fazla bilgi edinin.
• Arşivlenmiş verileri almak için başka bir yöntem olan verileri geri yükleme hakkında bilgi edinin.
• Temel Günlükleri doğrudan sorgulama hakkında bilgi edinin.