分享方式:


在 Azure 監視器中執行搜尋工作

搜尋作業是您在 Log Analytics 中任何資料上執行的非同步查詢,無論是互動式還是長期保留,都會讓您在工作區內的新搜尋資料表中,針對互動式查詢提供查詢結果。 搜尋作業運用平行處理,並能在大型資料集中執行數小時。 本文說明如何建立搜尋作業,以及如何查詢其產生的資料。

這段影片說明使用搜尋作業的時機和方式:

需要的權限

動作 需要的權限
執行搜尋作業 例如,Log Analytics 參與者內建角色所提供的 Log Analytics 工作區 Microsoft.OperationalInsights/workspaces/tables/writeMicrosoft.OperationalInsights/workspaces/searchJobs/write 權限。

注意

目前不支援跨租用戶搜尋作業,即使 Entra ID 租用戶是透過 Azure Lighthouse 進行管理。

使用搜尋作業的時機

使用搜尋作業可讓您:

搜尋作業有哪些功能?

搜尋作業能將結果傳送至與來源資料相同工作區中的新資料表。 搜尋作業開始時,即可使用結果資料表,但結果可能需要一些時間才會開始出現。

搜尋工作結果資料表是 Analytics 資料表,可用於記錄查詢,以及其他在工作區中使用資料表的 Azure 監視器功能。 資料表會使用為工作區設定的保留值,但您可以在建立資料表之後修改此值。

搜尋結果資料表結構描述是以來源資料表結構描述和指定的查詢為基礎。 下列其他資料行可協助您追蹤來源記錄:

資料行
_OriginalType 從來源資料表輸入值。
_OriginalItemId 從來源資料表 _ItemID 值。
_OriginalTimeGenerated 從來源資料表 TimeGenerated 值。
TimeGenerated 搜尋作業執行的時間。

結果資料表上的查詢會出現在記錄查詢稽核中,但不會出現在初始搜尋作業中。

執行搜尋作業

執行搜尋工作,以將大型資料集中的記錄擷取到工作區中的新搜尋結果資料表。

提示

執行搜尋工作會產生費用。 因此,在執行搜尋工作之前,請以互動式查詢模式撰寫和最佳化查詢。

若要執行搜尋工作,請在 Azure 入口網站中:

  1. 從 [Log Analytics 工作區] 功能表中,選取 [記錄]

  2. 選取畫面右側的省略符號功能表,然後切換 [搜尋工作模式]

    此螢幕擷取畫面顯示 [記錄] 畫面,其中已醒目提示 [搜尋工作模式] 切換。

    Azure 監視器記錄 intellisense 支援搜尋工作模式中的 KQL 查詢限制,以協助您撰寫搜尋工作查詢。

  3. 使用時間選擇器指定搜尋工作日期範圍。

  4. 輸入搜尋工作查詢,然後選取 [搜尋工作] 按鈕。

    Azure 監視器記錄會提示您提供結果集資料表的名稱,並通知您搜尋工作受限於計費。

    此螢幕擷取畫面顯示 [Azure 監視器記錄] 提示,以提供搜尋工作結果資料表的名稱。

  5. 輸入搜尋工作結果資料表的名稱,然後選取 [執行搜尋工作]

    Azure 監視器記錄會執行搜尋工作,並在工作區中為您的搜尋工作結果建立新的資料表。

    此螢幕擷取畫面顯示正在執行搜尋工作的 Azure 監視器記錄訊息,而且很快就會提供搜尋工作結果資料表。

  6. 當新的資料表就緒時,請選取 [檢視 tablename_SRCH],以在 Log Analytics 中檢視資料表。

    此螢幕擷取畫面顯示搜尋工作結果資料表可供檢視的 Azure 監視器記錄訊息。

    搜尋工作結果開始流入新建立的搜尋工作結果資料表時,您可以看到搜尋工作結果。

    此螢幕擷取畫面顯示含有資料的搜尋工作結果資料表。

    Azure 監視器記錄會在搜尋工作結束時顯示 [搜尋工作完成] 訊息。 結果資料表現在已就緒,其中具有符合搜尋查詢的所有記錄。

    此螢幕擷取畫面顯示搜尋工作完成的 Azure 監視器記錄訊息。

取得搜尋作業狀態和詳細資料

  1. 從 [Log Analytics 工作區] 功能表中,選取 [記錄]

  2. 從 [資料表] 索引標籤中,選取 [搜尋結果] 以檢視所有搜尋工作結果資料表。

    除非搜尋工作完成,否則搜尋工作結果資料表上的圖示會顯示更新指示。

    此螢幕擷取畫面顯示 Azure 入口網站中 [記錄] 畫面上的 [資料表] 索引標籤,而搜尋結果資料表列在 [搜尋結果] 下方。

刪除搜尋工作資料表

當您完成資料表的查詢時,建議您刪除搜尋工作資料表。 這可減少資料保留的工作區雜亂和額外費用。

限制

搜尋作業受到下列限制:

  • 最好一次只查詢一個資料表。
  • 搜尋日期範圍上限為一年。
  • 支援長時間執行的搜尋,逾時上限為 24 小時。
  • 結果僅限於記錄集中的一百萬筆記錄。
  • 每個工作區的搜尋作業平行執行上限為 5 個。
  • 每個工作區的搜尋結果資料表上限為 100 個。
  • 每個工作區每天只能執行 100 個搜尋作業。

當您達到記錄限制時,Azure 會中止作業,狀態為「部分成功」,而資料表只會包含擷取到該點的記錄。

KQL 查詢限制

搜尋工作旨在掃描特定資料表中的大量資料。 因此,搜尋工作查詢的開頭一律必須為資料表名稱。 若要使用散發和分割來啟用非同步執行,查詢會支援 KQL 子集,包括運算子:

您可以在這些運算子內使用所有函式和二元運算子。

計價模式

搜尋作業費用取決於:

  • 搜尋作業執行:

    • 分析方案 - 搜尋作業掃描長期保留的資料量。 掃描 Analytics 資料表互動式保留中的資料不會產生費用。
    • 基本或輔助方案 - 互動式和長期保留中搜尋作業掃描的所有資料。

    如需互動式和長期保留的詳細資訊,請參閱管理 Log Analytics 工作區中的資料保留

  • 搜尋作業結果 - 根據 Analytics 資料表的資料擷取率,搜尋作業找到以及在結果資料表中所擷取的資料量。

例如,如果基本資料表的搜尋跨越 30 天,且資料表每天會保留 500 GB 的資料,則您需支付 15,000 GB 的掃描資料費用。 如果搜尋作業傳回 1,000 筆記錄,您需要支付將這 1,000 筆記錄擷取到結果資料表的費用。

如需詳細資訊,請參閱 Azure 監視器計量價格

下一步