Spouštění úloh hledání ve službě Azure Monitor
Úloha hledání je asynchronní dotaz, který spustíte na všech datech ve službě Log Analytics – v interaktivním i dlouhodobém uchovávání , který zpřístupňuje výsledky dotazu pro interaktivní dotazy v nové vyhledávací tabulce v rámci vašeho pracovního prostoru. Úloha hledání používá paralelní zpracování a může běžet několik hodin napříč velkými datovými sadami. Tento článek popisuje, jak vytvořit úlohu vyhledávání a jak se dotazovat na výsledná data.
Toto video vysvětluje, kdy a jak používat úlohy vyhledávání:
Požadována oprávnění
Akce | Požadována oprávnění |
---|---|
Spuštění úlohy hledání | Microsoft.OperationalInsights/workspaces/tables/write a Microsoft.OperationalInsights/workspaces/searchJobs/write oprávnění k pracovnímu prostoru služby Log Analytics, například předdefinovaná role přispěvatele Log Analytics. |
Poznámka:
Úlohy vyhledávání napříč tenanty se v současné době nepodporují, i když jsou tenanti Entra ID spravováni prostřednictvím Služby Azure Lighthouse.
Kdy se používají úlohy hledání
Pomocí úloh hledání můžete:
- Načtěte záznamy z dlouhodobého uchovávání a tabulek pomocí plánů Basic a Auxiliary do nové tabulky Analytics, ve které můžete využívat možnosti úplné analýzy protokolu služby Azure Monitor.
- Zkontrolujte velké objemy dat, pokud časový limit dotazu protokolu 10 minut nestačí.
Co úloha hledání dělá?
Úloha hledání odešle výsledky do nové tabulky ve stejném pracovním prostoru jako zdrojová data. Tabulka výsledků je dostupná hned po zahájení úlohy hledání, ale může to chvíli trvat, než se výsledky začnou zobrazovat.
Tabulka výsledků úlohy hledání je tabulka Analýzy, která je k dispozici pro dotazy na protokoly a další funkce služby Azure Monitor, které používají tabulky v pracovním prostoru. Tabulka používá hodnotu uchovávání informací nastavenou pro pracovní prostor, ale tuto hodnotu můžete po vytvoření tabulky upravit.
Schéma tabulky výsledků hledání je založené na schématu zdrojové tabulky a zadaném dotazu. Následující další sloupce vám pomůžou sledovat zdrojové záznamy:
Column | Hodnota |
---|---|
_OriginalType | Zadejte hodnotu ze zdrojové tabulky. |
_OriginalItemId | _ItemID hodnotu ze zdrojové tabulky. |
_OriginalTimeGenerated | Hodnota TimeGenerated ze zdrojové tabulky |
TimeGenerated | Čas spuštění úlohy vyhledávání |
Dotazy na tabulku výsledků se zobrazují v auditování dotazů protokolu, ale ne v počáteční úloze vyhledávání.
Spuštění úlohy hledání
Spusťte úlohu vyhledávání, která načte záznamy z velkých datových sad do nové tabulky výsledků hledání ve vašem pracovním prostoru.
Tip
Účtují se vám poplatky za spuštění úlohy vyhledávání. Proto před spuštěním úlohy vyhledávání zapište a optimalizujte dotaz v interaktivním režimu dotazu.
Pokud chcete spustit úlohu vyhledávání, na webu Azure Portal:
V nabídce pracovního prostoru služby Log Analytics vyberte Protokoly.
Vyberte nabídku se třemi tečky na pravé straně obrazovky a zapněte režim úlohy vyhledávání.
Azure Monitor Logs IntelliSense podporuje omezení dotazů KQL v režimu úlohy vyhledávání, aby vám pomohla psát dotaz na úlohu vyhledávání.
Pomocí nástroje pro výběr času zadejte rozsah dat úlohy vyhledávání.
Zadejte dotaz úlohy vyhledávání a vyberte tlačítko Hledat úlohu .
Protokoly služby Azure Monitor vás vyzve k zadání názvu tabulky sady výsledků a informuje vás, že úloha vyhledávání podléhá fakturaci.
Zadejte název tabulky výsledků úlohy hledání a vyberte Spustit úlohu hledání.
Protokoly služby Azure Monitor spouští úlohu vyhledávání a vytvoří novou tabulku ve vašem pracovním prostoru pro výsledky úlohy hledání.
Až bude nová tabulka připravená, vyberte Zobrazit tablename_SRCH a zobrazte tabulku v Log Analytics.
Výsledky úlohy hledání uvidíte, jakmile začnou přetékat do nově vytvořené tabulky výsledků úlohy hledání.
Protokoly služby Azure Monitor ukazují, že se na konci úlohy vyhledávání provádí zpráva o úloze vyhledávání. Tabulka výsledků je teď připravená se všemi záznamy, které odpovídají vyhledávacímu dotazu.
Získání stavu a podrobností úlohy vyhledávání
Odstranění tabulky úloh vyhledávání
Po dotazování na tabulku doporučujeme odstranit tabulku úlohy vyhledávání. Tím se snižují nepotřebné pracovní prostory a za uchovávání dat se účtují další poplatky.
Omezení
Úlohy vyhledávání podléhají následujícím omezením:
- Optimalizováno pro dotazování na jednu tabulku najednou.
- Rozsah kalendářních dat hledání je až jeden rok.
- Podporuje dlouhotrvající hledání až 24hodinový časový limit.
- Výsledky jsou omezené na jeden milion záznamů v sadě záznamů.
- Souběžné spouštění je omezené na pět úloh hledání na jeden pracovní prostor.
- Omezeno na 100 tabulek výsledků hledání na pracovní prostor.
- Omezeno na 100 spuštění úloh vyhledávání za den na pracovní prostor.
Když dosáhnete limitu záznamu, Azure přeruší úlohu se stavem částečného úspěchu a tabulka obsahuje pouze záznamy ingestované až do tohoto okamžiku.
Omezení dotazů KQL
Úlohy vyhledávání jsou určené ke kontrole velkých objemů dat v konkrétní tabulce. Proto musí dotazy na úlohu vyhledávání vždy začínat názvem tabulky. Pokud chcete povolit asynchronní spouštění pomocí distribuce a segmentace, dotaz podporuje podmnožinu KQL, včetně operátorů:
- kde
- rozšířit
- projekt
- pryč od projektu
- zachování projektu
- přejmenování projektu
- změna pořadí projektu
- udělat rozbor
- parse-where
V rámci těchto operátorů můžete použít všechny funkce a binární operátory.
Cenový model
Poplatek za úlohu vyhledávání vychází z následujících:
Spuštění úlohy vyhledávání:
Plán analýzy – množství dat, která úloha vyhledávání prohledává v dlouhodobém uchovávání. Za prohledávání dat v tabulkách Analytics se neúčtují žádné poplatky.
Základní nebo pomocné plány – Všechna data prohledávají úlohy vyhledávání v interaktivním i dlouhodobém uchovávání.
Kontrola dat je definována jako objem dat přijatých v časovém rozsahu určeném dotazem na tabulku, která se dotazuje. Další informace o interaktivním a dlouhodobém uchovávání najdete v tématu Správa uchovávání dat v pracovním prostoru služby Log Analytics.
Výsledky úlohy hledání – množství dat, která úloha vyhledávání najde a je ingestována do tabulky výsledků na základě míry příjmu dat pro tabulky Analytics.
Pokud například hledání v základní tabulce trvá 30 dní a tabulka obsahuje 500 GB dat za den, budou se vám účtovat 15 000 GB naskenovaných dat. Pokud vyhledávací úloha vrátí 1 000 záznamů, budou se vám účtovat poplatky za příjem těchto 1 000 záznamů do tabulky výsledků.
Další informace najdete v tématu o cenách služby Azure Monitor.