在 Azure 監視器中執行搜尋工作

發行項
04/26/2024

搜尋作業為非同步查詢，可將記錄擷取至工作區中的新搜尋資料表以進行進一步分析。搜尋作業運用平行處理，並能在大型資料集中執行數小時。本文說明如何建立搜尋作業，以及如何查詢其產生的資料。

注意

在具有客戶自控金鑰的工作區中，目前不支援搜尋工作功能。

權限

若要執行搜尋工作，您對於 Log Analytics工作區需要 Microsoft.OperationalInsights/workspaces/tables/write 和 Microsoft.OperationalInsights/workspaces/searchJobs/write 權限，例如 Log Analytics 參與者內建角色所提供的權限。

使用搜尋作業的時機

10 分鐘的記錄查詢逾時不足以在大量資料中搜尋時，或執行緩慢的查詢時，請使用搜尋工作。

搜尋作業可讓您自封存記錄和基本記錄資料表中，將記錄擷取至可用於查詢的新記錄資料表。如此一來，執行搜尋作業可以是下列替代方案：

從特定時間範圍的封存記錄還原資料。
當您暫時需要對大量資料執行許多查詢時，請使用還原。
直接查詢基本記錄，並支付每個查詢的費用。
若要決定哪一個替代方案更符合成本效益，請比較查詢基本記錄的成本與執行搜尋工作以及儲存搜尋工作結果的成本。

搜尋作業有哪些功能？

搜尋作業能將結果傳送至與來源資料相同工作區中的新資料表。搜尋作業開始時，即可使用結果資料表，但結果可能需要一些時間才會開始出現。

搜尋工作結果資料表是 Analytics 資料表，可用於記錄查詢，以及其他在工作區中使用資料表的 Azure 監視器功能。資料表會使用為工作區設定的保留值，但您可以在建立資料表之後修改此值。

搜尋結果資料表結構描述是以來源資料表結構描述和指定的查詢為基礎。下列其他資料行可協助您追蹤來源記錄：

資料行	值
_OriginalType	從來源資料表輸入值。
_OriginalItemId	從來源資料表 _ItemID 值。
_OriginalTimeGenerated	從來源資料表 TimeGenerated 值。
TimeGenerated	搜尋作業執行的時間。

結果資料表上的查詢會出現在記錄查詢稽核中，但不會出現在初始搜尋作業中。

執行搜尋作業

執行搜尋工作，以將大型資料集中的記錄擷取到工作區中的新搜尋結果資料表。

提示

執行搜尋工作會產生費用。因此，在執行搜尋工作之前，請以互動式查詢模式撰寫和最佳化查詢。

若要執行搜尋工作，請在 Azure 入口網站中：

從 [Log Analytics 工作區] 功能表中，選取 [記錄]。
選取畫面右側的省略符號功能表，然後切換 [搜尋工作模式]。

Azure 監視器記錄 intellisense 支援搜尋工作模式中的 KQL 查詢限制，以協助您撰寫搜尋工作查詢。
使用時間選擇器指定搜尋工作日期範圍。
輸入搜尋工作查詢，然後選取 [搜尋工作] 按鈕。

Azure 監視器記錄會提示您提供結果集資料表的名稱，並通知您搜尋工作受限於計費。
輸入搜尋工作結果資料表的名稱，然後選取 [執行搜尋工作]。

Azure 監視器記錄會執行搜尋工作，並在工作區中為您的搜尋工作結果建立新的資料表。
當新的資料表就緒時，請選取 [檢視 tablename_SRCH]，以在 Log Analytics 中檢視資料表。

搜尋工作結果開始流入新建立的搜尋工作結果資料表時，您可以看到搜尋工作結果。

Azure 監視器記錄會在搜尋工作結束時顯示 [搜尋工作完成] 訊息。結果資料表現在已就緒，其中具有符合搜尋查詢的所有記錄。

若要執行搜尋作業，請呼叫 資料表 - 建立或更新 API。呼叫包含要建立的結果資料表名稱。結果資料表的名稱必須以 _SRCH 結尾。

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/<TableName>_SRCH?api-version=2021-12-01-preview

要求本文

在要求的本文中包含下列值：

名稱	類型	描述
properties.searchResults.query	string	以 KQL 撰寫的記錄查詢以擷取資料。
properties.searchResults.limit	整數	結果集中的記錄數目上限，最多一百萬筆記錄。 (選擇性)
properties.searchResults.startSearchTime	string	要搜尋的開始時間範圍。
properties.searchResults.endSearchTime	string	要搜尋的結束時間範圍。

範例要求

此範例會建立名為 Syslog_suspected_SRCH 的資料表，其中包含搜尋 Syslog 資料表中特定記錄的查詢結果。

要求

PUT https://management.azure.com/subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/Syslog_suspected_SRCH?api-version=2021-12-01-preview

要求本文

{
    "properties": { 
        "searchResults": {
                "query": "Syslog | where * has 'suspected.exe'",
                "limit": 1000,
                "startSearchTime": "2020-01-01T00:00:00Z",
                "endSearchTime": "2020-01-31T00:00:00Z"
            }
    }
}

回應

狀態碼：已接受 202。

若要執行搜尋作業，請執行 monitor log-analytics workspace table search-job create 命令。您使用參數 --name 設定的結果資料表名稱必須以 _SRCH 結尾。

例如：

az monitor log-analytics workspace table search-job create --subscription ContosoSID --resource-group ContosoRG  --workspace-name ContosoWorkspace --name HeartbeatByIp_SRCH --search-query 'Heartbeat | where ComputerIP has "00.000.00.000"' --limit 1500 --start-search-time "2022-01-01T00:00:00.000Z" --end-search-time "2022-01-08T00:00:00.000Z" --no-wait

取得搜尋作業狀態和詳細資料

從 [Log Analytics 工作區] 功能表中，選取 [記錄]。
從 [資料表] 索引標籤中，選取 [搜尋結果] 以檢視所有搜尋工作結果資料表。

除非搜尋工作完成，否則搜尋工作結果資料表上的圖示會顯示更新指示。

呼叫資料表 - 取得 API 以取得搜尋作業的狀態和詳細資料：

GET https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/<TableName>_SRCH?api-version=2021-12-01-preview

資料表狀態

每個搜尋作業資料表都有一個名為 provisioningState 的屬性，其可以有下列其中一個值：

狀態	描述
更新	填入資料表及其結構描述。
進行中	搜尋作業正在執行，正在擷取資料。
成功	搜尋作業已完成。
刪除中	刪除搜尋作業資料表。

範例要求

此範例會擷取上一個範例中搜尋作業的資料表狀態。

要求

GET https://management.azure.com/subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/Syslog_SRCH?api-version=2021-12-01-preview

回應

{
        "properties": {
        "retentionInDays": 30,
        "totalRetentionInDays": 30,
        "archiveRetentionInDays": 0,
        "plan": "Analytics",
        "lastPlanModifiedDate": "Mon, 01 Nov 2021 16:38:01 GMT",
        "schema": {
            "name": "Syslog_SRCH",
            "tableType": "SearchResults",
            "description": "This table was created using a Search Job with the following query: 'Syslog | where * has 'suspected.exe'.'",
            "columns": [...],
            "standardColumns": [...],
            "solutions": [
                "LogManagement"
            ],
            "searchResults": {
                "query": "Syslog | where * has 'suspected.exe'",
                "limit": 1000,
                "startSearchTime": "Wed, 01 Jan 2020 00:00:00 GMT",
                "endSearchTime": "Fri, 31 Jan 2020 00:00:00 GMT",
                "sourceTable": "Syslog"
            }
        },
        "provisioningState": "Succeeded"
    },
    "id": "subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/Syslog_SRCH",
    "name": "Syslog_SRCH"
}

若要檢查搜尋作業資料表的狀態和詳細資料，請執行 az monitor log-analytics workspace table show 命令。

例如：

az monitor log-analytics workspace table show --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name HeartbeatByIp_SRCH --output table \

刪除搜尋工作資料表

當您完成資料表的查詢時，建議您刪除搜尋工作資料表。這可減少資料保留的工作區雜亂和額外費用。

限制

搜尋作業受到下列限制：

最好一次只查詢一個資料表。
搜尋日期範圍上限為一年。
支援長時間執行的搜尋，逾時上限為 24 小時。
結果僅限於記錄集中的一百萬筆記錄。
每個工作區的搜尋作業平行執行上限為 5 個。
每個工作區的搜尋結果資料表上限為 100 個。
每個工作區每天只能執行 100 個搜尋作業。

當您達到記錄限制時，Azure 會中止作業，狀態為部分成功，而資料表只會包含擷取到該點的記錄。

KQL 查詢限制

搜尋工作旨在掃描特定資料表中的大量資料。因此，搜尋工作查詢的開頭一律必須為資料表名稱。若要使用散發和分割來啟用非同步執行，查詢會支援 KQL 子集，包括運算子：

您可以在這些運算子內使用所有函式和二元運算子。

計價模式

搜尋作業的費用是以下列為基礎：

搜尋工作執行 - 搜尋工作掃描的資料量。
搜尋工作結果 - 根據一般記錄資料內嵌價格，搜尋作業找到和在結果資料表中所擷取的資料量。

例如，如果您的資料表每天保留 500 GB，對於超過 30 天的搜尋，您會為 15,000 GB 的掃描資料支付費用。如果搜尋作業找到 1,000 筆符合查詢的記錄，您將需支付將這 1,000 筆記錄擷取到結果資料表的費用。

如需詳細資訊，請參閱 Azure 監視器計量價格。