Azure İzleyici'de arama işlerini çalıştırma

Arama işi, Log Analytics'inizdeki tüm verilerde (hem analizde hem de uzun süreli saklamada ) çalıştırdığınız ve sorgu sonuçlarını çalışma alanınızdaki yeni bir arama tablosunda etkileşimli sorgular için kullanılabilir hale getiren zaman uyumsuz bir sorgudur. Arama işi, paralel işleme yaklaşımını kullanır ve büyük veri kümelerinde saatlerce çalışabilir. Bu makalede arama işinin nasıl oluşturulacağı ve sonuçta elde edilen verilerin nasıl sorgulandığı açıklanmaktadır.

Bu videoda arama işlerinin ne zaman ve nasıl kullanılacağı açıklanmaktadır:

Gerekli izinler

Eylem	Gerekli izinler
Arama işini çalıştır	Microsoft.OperationalInsights/workspaces/tables/writeve Microsoft.OperationalInsights/workspaces/searchJobs/write Log Analytics çalışma alanına yönelik izinler( örneğin, Log Analytics Katkıda Bulunanı yerleşik rolü tarafından sağlanmıştır).

Not

Kiracılar arası arama işleri desteklenmez. Azure Lighthouse yetkilendirilmiş erişimi, arama işleri (veya geri yükleme) için, searchJobs/write iznini içeren bir temsilci rolü atandığında bile desteklenmez.

Arama işlerinin kullanım alanları

Arama işlerini kullanarak:

• Temel ve Yardımcı planlarla uzun süreli saklama ve tablolardan kayıtları Azure İzleyici Günlüğü'nün tam analiz özelliklerinden yararlanabileceğiniz yeni bir Analiz tablosuna alın.
• 10 dakikalık günlük sorgusu zaman aşımı yeterli değilse, büyük hacimli verileri tarayın.

Arama işi ne yapar?

Arama işi verileri tarar ve sonuçlarını kaynak verilerle aynı çalışma alanında yeni bir tabloya gönderir. Sonuçlar tablosu, arama işi başlar başlamaz kullanılabilir, ancak sonuçların görünmeye başlaması zaman alabilir. Taranan verilerin fiyatlandırma modeline ve alınan sonuçların boyutuna bağlı olarak maliyet tahakkuk ettirilir. Bir arama işi çalıştırılmadan önce, işin çalıştırılıp çalıştırılmayacağına karar vermenize yardımcı olacak bir maliyet tahmini kullanılabilir.

Arama sonuçları tablosu, çalışma alanındaki tabloları kullanan günlük sorguları ve diğer Azure Monitor özellikleri için kullanılabilen bir Analytics tablosudur. Tablo, çalışma alanı için ayarlanan bekletme değerini kullanır, ancak tablo oluşturulduktan sonra bu değeri değiştirebilirsiniz.

Arama sonuçları tablosu şeması, kaynak tablo şemasını ve belirtilen sorguyu temel alır. Aşağıdaki diğer sütunlar kaynak kayıtları izlemenize yardımcı olur:

Sütun	Değer
_ÖzgünTip	Kaynak tablodan değer yazın .
_OriginalItemId	_ItemID değeri, kaynak tablosundan.
_OrijinalZamanOluşturuldu	Kaynak tablodan TimeGenerated değeri.
TimeGenerated	Arama işinin çalıştırıldığı saat.

Sonuçlar tablosundaki sorgular, günlük sorgusu denetiminde görünür ancak ilk arama işinde görünmez.

Arama işini çalıştır

Büyük veri kümelerindeki kayıtları çalışma alanınızdaki yeni bir arama sonuçları tablosuna getirmek için bir arama işi çalıştırın.

İpucu

Arama işini çalıştırmak için ücret ödersiniz. Arama işini çalıştırmadan önce sorgunuzu etkileşimli sorgu modunda yazın ve iyileştirin. Olası maliyetleri anlamak için maliyet tahmini önizlemesini kullanın.

Portal

Arama işini çalıştırmak için Azure portalında:

1. Log Analytics çalışma alanı menüsünde Günlükler'i seçin.

2. Bir arama işi sorgusu yazın veya yalnızca istediğiniz tabloyu seçin.

3. Ekranın sağ tarafındaki üç nokta menüsünü seçin ve İş ara'yı tıklayın.

   

4. Veya Çalıştır açılır menüsünü kullanın ve Arama işi olarak çalıştır'ı seçin.

   

5. Zaman seçiciyi kullanarak arama işi tarih aralığını belirtin. Toplam saklama süresi içindeki herhangi bir dönemi seçin.

   Kusto sorgunuz da bir zaman aralığı belirtiyorsa, arama işi için zaman aralıklarının birleşimi kullanılır.

   

6. Arama işi sonuç tablosu için bir ad girin ve Arama işini çalıştır'ı seçin.

   Azure İzleyici Günlükleri arama işini çalıştırır ve arama işi sonuçlarınız için çalışma alanınızda yeni bir tablo oluşturur.

7. Yeni tablo hazır olduğunda, Tabloyu Log Analytics'te görüntülemek için Görünüm '<searchtablename>_SRCH' öğesini seçin.

   Arama işi sonuçları, yeni oluşturulan arama işi sonuçları tablosuna akmaya başladığında kullanılabilir.

   

   Tamamlandığında Azure İzleyici Günlükleri, bir Arama işinin bittiğini gösterir. Bu iletiyi gördüğünüzde veya ilerleme durumu 100%gösterdiğinde, sonuç tablosu artık arama sorgusuyla eşleşen tüm kayıtlarla hazır olur.

API

Arama işini çalıştırmak için Create API'sinin işlemini kullanın. Çağrı, oluşturulacak sonuç tablosunun adını içerir. Sonuç tablosunun adı _SRCH ile bitmelidir.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/{tablename_SRCH}?api-version={api-version}

İstek gövdesi

İsteğin gövdesine aşağıdaki değerleri ekleyin:

Adı	Tür	Açıklama
özellikler.aramaSonuçları.sorgu	Dize	Verileri almak için KQL'de yazılan günlük sorgusu.
özellikler.aramaSonuçları.sınır	tam sayı	Sonuç kümesindeki kayıt sayısının maksimum sınırı, 100 milyon kayda kadar. (İsteğe bağlı)
özellikler.aramaSonuçları.aramaBaşlamaZamanı	Dize	Aranacak zaman aralığının başlangıcı.
özellikler.aramaSonuçları.aramaBitişZamanı	Dize	Aranacak zaman aralığının sonu.

Örnek isteği

Bu örnek, Syslog tablosundaki belirli kayıtları arayan bir sorgunun sonuçlarıyla birlikte Syslog_suspected_SRCH adlı bir tablo oluşturur.

Talep

PUT https://management.azure.com/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/ContosoResourceGroup/providers/Microsoft.OperationalInsights/workspaces/ContosoWorkspace/tables/Syslog_suspected_SRCH?api-version={api-version}

İstek gövdesi

{
    "properties": { 
        "searchResults": {
                "query": "Syslog | where * has 'suspected.exe'",
                "limit": 1000,
                "startSearchTime": "2025-01-01T00:00:00Z",
                "endSearchTime": "2025-11-30T00:00:00Z"
            }
    }
}

Yanıt

Durum kodu: 202 kabul edildi.

CLI

Arama işini çalıştırmak için az monitor log-analytics workspace table search-job create komutunu çalıştırın. parametresini kullanarak ayarladığınız sonuç tablosunun --name adı _SRCH ile bitmelidir.

Örnek

az monitor log-analytics workspace table search-job create --subscription aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e --resource-group ContosoResourceGroup --workspace-name ContosoWorkspace --name HeartbeatByIp_SRCH --search-query 'Heartbeat | where ComputerIP has "198.51.100.101"' --limit 1500 --start-search-time "2022-01-01T00:00:00.000Z" --end-search-time "2022-01-08T00:00:00.000Z" --no-wait

PowerShell

Arama işini çalıştırmak için New-AzOperationalInsightsSearchTable komutunu çalıştırın. parametresini kullanarak ayarladığınız sonuç tablosunun TableName adı _SRCH ile bitmelidir.

Örnek

New-AzOperationalInsightsSearchTable -ResourceGroupName ContosoResourceGroup -WorkspaceName ContosoWorkspace -TableName HeartbeatByIp_SRCH -SearchQuery "Heartbeat" -StartSearchTime "01-01-2022 00:00:00" -EndSearchTime "01-01-2022 00:00:00"

Arama sorgusu durumunu ve ayrıntılarını gör

Portal

1. Log Analytics çalışma alanı menüsünde Günlükler'i seçin.

2. Tablolar>Arama sonuçları'ndan ilerleme durumunu görüntülemek için arama sonuçları tablonuzun üzerine gelin.

   Arama işi sonuçları tablosundaki simge, arama işi tamamlanana kadar bir güncelleştirme göstergesi simgesi görüntüler.

   

API

Get Bir arama işinin durumunu ve ayrıntılarını denetlemek için Tablolar API'sinin işlemini kullanın.

GET https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/{tableName_SRCH}?api-version={api-version}

Tablo durumu

Her arama işi tablosunda aşağıdaki değerlerden birine sahip olabilecek provisioningState adlı bir özellik vardır:

Çalıştırma Durumu	Açıklama
Güncelleştirme	Veri tablosunu ve şemasını doldurma.
Devam Ediyor	Arama görevi çalışmakta, veri getiriyor.
Başarılı	Arama işi tamamlandı.
Siliniyor	Arama görevi tablosu siliniyor.

Örnek isteği

Bu örnek, önceki örnekteki arama işinin tablo durumunu alır.

Talep

GET https://management.azure.com/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/ContosoResourceGroup/providers/Microsoft.OperationalInsights/workspaces/ContosoWorkspace/tables/Syslog_SRCH?api-version={api-version}

Yanıt

{
        "properties": {
        "retentionInDays": 30,
        "totalRetentionInDays": 30,
        "archiveRetentionInDays": 0,
        "plan": "Analytics",
        "lastPlanModifiedDate": "Mon, 01 Nov 2021 16:38:01 GMT",
        "schema": {
            "name": "Syslog_SRCH",
            "tableType": "SearchResults",
            "description": "This table was created using a Search Job with the following query: 'Syslog | where * has 'suspected.exe'.'",
            "columns": [...],
            "standardColumns": [...],
            "solutions": [
                "LogManagement"
            ],
            "searchResults": {
                "query": "Syslog | where * has 'suspected.exe'",
                "limit": 1000,
                "startSearchTime": "Wed, 01 Jan 2020 00:00:00 GMT",
                "endSearchTime": "Fri, 31 Jan 2020 00:00:00 GMT",
                "sourceTable": "Syslog"
            }
        },
        "provisioningState": "Succeeded"
    },
    "id": "subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/ContosoResourceGroup/providers/Microsoft.OperationalInsights/workspaces/ContosoWorkspace/tables/Syslog_SRCH",
    "name": "Syslog_SRCH"
}

CLI

Arama işi tablosunun durumunu ve ayrıntılarını denetlemek için az monitor log-analytics workspace table show komutunu çalıştırın.

Örnek

az monitor log-analytics workspace table show --subscription aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e --resource-group ContosoResourceGroup --workspace-name ContosoWorkspace --name HeartbeatByIp_SRCH --output table \

PowerShell

Arama işi tablosunun durumunu ve ayrıntılarını denetlemek için Get-AzOperationalInsightsTable komutunu çalıştırın.

Örnek

Get-AzOperationalInsightsTable -ResourceGroupName "ContosoResourceGroup" -WorkspaceName "ContosoWorkspace" -tableName "HeartbeatByIp_SRCH"

Not

"-TableName" sağlanmayan komut, çalışma alanıyla ilişkili tüm tabloları listeler.

Arama işi tablosunu silme

Tabloyu sorgulamayı bitirdiğinizde arama işi tablosunu silmenizi öneririz. Bu en iyi yöntem, veri saklama için çalışma alanı dağınıklığı ve ek ücretleri azaltır.

Değerlendirmeler

Arama işleri aşağıdaki noktalara tabidir:

• Bir kerede bir tabloyu sorgulamak için iyileştirilmiş
• Arama tarihi aralığı, toplam saklama içindeki herhangi bir dönemdir
• 24 saatlik zaman aşımına kadar uzun süreli aramaları destekler
• Sonuçlar kayıt kümesindeki 100 milyon kayıtla sınırlıdır. Sınır aşılırsa Azure İzleyici kısmi başarı durumuyla işi durdurur ve tabloda yalnızca o noktaya kadar alınan kayıtlar bulunur
• Eşzamanlı yürütme, çalışma alanı başına on arama işiyle sınırlıdır.
• Çalışma alanı başına 200 arama sonuçları tablosuyla sınırlıdır
• Çalışma alanı başına günde 200 arama işi yürütmesi ile sınırlıdır
• Kiracılar arası arama işleri desteklenmez
• Azure Lighthouse aracılığıyla sağlanan erişim, uygun searchJobs/write iznini içerse bile arama işleri için desteklenmez; hata mesajıyla başarısız olur.
  Kullanıcımanaging-tenant-userId, Microsoft.OperationalInsights/workspaces/searchJobs/write eylemine delegated-workspace-resourceID kapsamındaki işlemlerde sürekli erişime sahip değildir.

KQL sorgusunda dikkat edilmesi gerekenler

Arama işleri belirli bir tablodaki büyük hacimlerdeki verileri taramaya yöneliktir, bu nedenle arama işi sorgularının her zaman bir tablo adıyla başlaması gerekir. Dağıtım ve segmentasyon kullanarak zaman uyumsuz yürütmeyi etkinleştirmek için sorgu, şu tablo işleçleri de dahil olmak üzere KQL'nin bir alt kümesini destekler:

• where
• extend
• project
• project-away
• project-keep
• project-rename
• project-reorder
• parse
• parse-where

Bu işleçler içindeki tüm işlevler ve ikili işleçler kullanılabilir.

contains Gelişmiş metin eşleşmelerinin performansı önemli ölçüde etkilemesi nedeniyle dize işlecinin arama işlerinde kullanılması engellenir. Bunun yerine dize işlecini has kullanın. Performansla ilgili dikkat edilmesi gerekenler hakkında daha fazla bilgi için bkz. Azure İzleyici'de günlük sorgularını iyileştirme.

Fiyatlandırma modeli

Arama işi ücreti aşağıdakileri temel alır:

• Arama görevinin yürütülmesi

  • Analiz planı - Arama işinin taradığı ve uzun süreli saklama sırasında bulunan veri miktarı. Analitik tablolarında analiz saklama sürecinde olan verilerin taranması için ücret alınmaz.

  • Temel veya Yardımcı planlar - Arama görevinin uzun vadeli saklamada taradığı tüm veriler.

    Taranan veriler, belirttiğiniz zaman aralığında arama işini çalıştırdığınız tablodaki veri hacmi olarak tanımlanır. Analiz ve uzun süreli saklama hakkında daha fazla bilgi için bkz. Log Analytics çalışma alanında veri saklamayı yönetme.

• Arama işi sonuçları - Analiz tablolarının veri alma oranına bağlı olarak, arama işinin bulduğu ve sonuçlar tablosuna alınan veri miktarı.

Örneğin, Temel tablodaki bir arama 30 güne yayılmışsa ve tablo günde 500 GB veri barındırıyorsa, taranan 15.000 GB veri için ücretlendirilirsiniz. Arama işi 1.000 kayıt döndürürse, bu 1.000 kaydı sonuçlar tablosuna yerleştirmek için ücretlendirilirsiniz.

Daha fazla bilgi için bkz . Azure İzleyici fiyatlandırması.

İlgili içerik

• Log Analytics çalışma alanında veri saklamayı yönetme hakkında daha fazla bilgi edinin.
• Temel ve Yardımcı tabloları doğrudan sorgulama hakkında bilgi edinin.