Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Log Analytics'inizdeki tüm verilerde, hem etkileşimli hem de uzun süreli saklama için çalıştırdığınız asenkron bir arama sorgusudur ve bu sorgu, sonuçları çalışma alanınızdaki yeni bir arama tablosunda etkileşimli sorgular için erişilebilir hale getirir. Arama işi, paralel işleme yaklaşımını kullanır ve büyük veri kümelerinde saatlerce çalışabilir. Bu makalede arama işinin nasıl oluşturulacağı ve sonuçta elde edilen verilerin nasıl sorgulandığı açıklanmaktadır.
Bu videoda arama işlerinin ne zaman ve nasıl kullanılacağı açıklanmaktadır:
Gerekli izinler
| Eylem | Gerekli izinler |
|---|---|
| Arama işini çalıştır |
Microsoft.OperationalInsights/workspaces/tables/writeve Microsoft.OperationalInsights/workspaces/searchJobs/write Log Analytics çalışma alanına yönelik izinler( örneğin, Log Analytics Katkıda Bulunanı yerleşik rolü tarafından sağlanmıştır). |
Not
Entra ID kiracıları Azure Lighthouse aracılığıyla yönetilse bile kiracılar arası arama görevleri şu anda desteklenmemektedir.
Arama işlerinin kullanım alanları
Arama işlerini kullanarak:
- Temel ve Yardımcı planlarla uzun süreli saklama ve tablolardan kayıtları Azure İzleyici Günlüğü'nün tam analiz özelliklerinden yararlanabileceğiniz yeni bir Analiz tablosuna alın.
- 10 dakikalık günlük sorgusu zaman aşımı yeterli değilse, büyük hacimli verileri tarayın.
Arama işi ne yapar?
Arama işi, sonuçlarını kaynak verilerle aynı çalışma alanında bulunan yeni bir tabloya gönderir. Sonuçlar tablosu, arama işi başlar başlamaz kullanılabilir, ancak sonuçların görünmeye başlaması zaman alabilir.
Arama sonuçları tablosu, çalışma alanındaki tabloları kullanan günlük sorguları ve diğer Azure Monitor özellikleri için kullanılabilen bir Analytics tablosudur. Tablo, çalışma alanı için ayarlanan bekletme değerini kullanır, ancak tablo oluşturulduktan sonra bu değeri değiştirebilirsiniz.
Arama sonuçları tablosu şeması, kaynak tablo şemasını ve belirtilen sorguyu temel alır. Aşağıdaki diğer sütunlar kaynak kayıtları izlemenize yardımcı olur:
| Sütun | Değer |
|---|---|
| _OriginalType | Kaynak tablodan değer yazın . |
| _OriginalItemId | _ItemID değeri, kaynak tablosundan. |
| _OriginalTimeGenerated | Kaynak tablodan TimeGenerated değeri. |
| TimeGenerated | Arama işinin çalıştırıldığı saat. |
Sonuçlar tablosundaki sorgular, günlük sorgusu denetiminde görünür ancak ilk arama işinde görünmez.
Arama işini çalıştır
Büyük veri kümelerindeki kayıtları çalışma alanınızdaki yeni bir arama sonuçları tablosuna getirmek için bir arama işi çalıştırın.
İpucu
Arama işini çalıştırmak için ücret ödersiniz. Bu nedenle, arama işini çalıştırmadan önce sorgunuzu etkileşimli sorgu modunda yazın ve iyileştirin.
Arama işini çalıştırmak için Azure portalında:
Log Analytics çalışma alanı menüsünde Günlükler'i seçin.
Bir arama işi sorgusu yazın veya yalnızca istediğiniz tabloyu seçin.
Ekranın sağ tarafındaki üç nokta menüsünü seçin ve İş ara'yı tıklayın.
Zaman seçiciyi kullanarak arama işi tarih aralığını belirtin. Maksimum aralık bir yıldır, ancak veri saklama süresinin izin verdiği herhangi bir yıllık dönem olabilir.
Kusto sorgunuz da bir zaman aralığı belirtiyorsa, arama işi için zaman aralıklarının birleşimi kullanılır.
Arama işi sonuç tablosu için bir ad girin ve Arama işini çalıştır'ı seçin.
Azure İzleyici Günlükleri arama işini çalıştırır ve arama işi sonuçlarınız için çalışma alanınızda yeni bir tablo oluşturur.
Yeni tablo hazır olduğunda, Tabloyu Log Analytics'te görüntülemek için Görünüm '<searchtablename>_SRCH' öğesini seçin.
Arama işi sonuçları, yeni oluşturulan arama işi sonuçları tablosuna akmaya başladığında kullanılabilir.
Tamamlandığında Azure İzleyici Günlükleri, bir Arama işinin bittiğini gösterir. Bu iletiyi gördüğünüzde veya ilerleme durumu 100%gösterdiğinde, sonuç tablosu artık arama sorgusuyla eşleşen tüm kayıtlarla hazır olur.
Arama sorgusu durumunu ve ayrıntılarını gör
Log Analytics çalışma alanı menüsünde Günlükler'i seçin.
Tablolar>Arama sonuçları'ndan ilerleme durumunu görüntülemek için arama sonuçları tablonuzun üzerine gelin.
Arama işi sonuçları tablosundaki simge, arama işi tamamlanana kadar bir güncelleştirme göstergesi simgesi görüntüler.
Arama işi tablosunu silme
Tabloyu sorgulamayı bitirdiğinizde arama işi tablosunu silmenizi öneririz. Bu en iyi yöntem, veri saklama için çalışma alanı dağınıklığı ve ek ücretleri azaltır.
Sınırlamalar
Arama işleri aşağıdaki sınırlamalara tabidir:
- Bir kerede bir tabloyu sorgulamak için iyileştirildi.
- Arama tarihi aralığı bir yıla kadardır.
- 24 saatlik zaman aşımına kadar uzun süre çalışan aramaları destekler.
- Sonuçlar, kayıt kümesindeki bir milyon kayıtla sınırlıdır.
- Eşzamanlı yürütme, çalışma alanı başına beş arama işiyle sınırlıdır.
- Çalışma alanı başına 100 arama sonuçları tablosuyla sınırlıdır.
- Çalışma alanı başına günde 100 arama işi yürütmesi ile sınırlıdır.
Kayıt sınırına ulaştığınızda, Azure işi kısmi başarı durumuyla durdurur ve tabloda yalnızca bu noktaya kadar alınan kayıtlar bulunur.
KQL sorgu sınırlamaları
Arama işleri, belirli bir tablodaki büyük hacimli verileri taramaya yöneliktir. Bu nedenle, arama işi sorguları her zaman bir tablo adıyla başlamalıdır. Dağıtım ve segmentasyon kullanarak zaman uyumsuz yürütmeyi etkinleştirmek için sorgu, işleçler de dahil olmak üzere KQL'nin bir alt kümesini destekler:
[where](/azure/data-explorer/kusto/query/whereoperator)[extend](/azure/data-explorer/kusto/query/extendoperator)[project](/azure/data-explorer/kusto/query/projectoperator)[project-away](/azure/data-explorer/kusto/query/projectawayoperator)[project-keep](/azure/data-explorer/kusto/query/project-keep-operator)[project-rename](/azure/data-explorer/kusto/query/projectrenameoperator)[project-reorder](/azure/data-explorer/kusto/query/projectreorderoperator)[parse](/azure/data-explorer/kusto/query/parse-operator)[parse-where](/azure/data-explorer/kusto/query/parse-where-operator)
Bu işleçler içindeki tüm işlevleri ve ikili işleçleri kullanabilirsiniz.
Fiyatlandırma modeli
Arama işi ücreti aşağıdakileri temel alır:
Arama görevinin yürütülmesi
Analiz planı - Arama işinin taradığı ve uzun süreli saklama sırasında bulunan veri miktarı. Analytics tablolarında etkileşimli saklamada olan verileri taramak için ücret alınmaz.
Temel veya Yardımcı planlar - Arama işinin, hem etkileşimli hem de uzun süreli saklamada taradığı tüm veriler.
Taranan veriler, belirttiğiniz zaman aralığında arama işini çalıştırdığınız tablodaki veri hacmi olarak tanımlanır. Etkileşimli ve uzun süreli saklama hakkında daha fazla bilgi için bkz . Log Analytics çalışma alanında veri saklamayı yönetme.
Arama işi sonuçları - Analiz tablolarının veri alma oranına bağlı olarak, arama işinin bulduğu ve sonuçlar tablosuna alınan veri miktarı.
Örneğin, Temel tablodaki bir arama 30 güne yayılmışsa ve tablo günde 500 GB veri barındırıyorsa, taranan 15.000 GB veri için ücretlendirilirsiniz. Arama işi 1.000 kayıt döndürürse, bu 1.000 kaydı sonuçlar tablosuna yerleştirmek için ücretlendirilirsiniz.
Daha fazla bilgi için bkz . Azure İzleyici fiyatlandırması.