Compartir a través de


Ejecución de trabajos de búsqueda en Azure Monitor

Un trabajo de búsqueda es una consulta asincrónica que se ejecuta en cualquier dato de Log Analytics (tanto en retención interactiva como a largo plazo) que hace que los resultados de la consulta estén disponibles para las consultas interactivas en una nueva tabla de búsqueda dentro del área de trabajo. Los trabajos de búsqueda usan el procesamiento paralelo y pueden ejecutarse durante horas en conjuntos de datos grandes. En este artículo se describe cómo crear un trabajo de búsqueda y cómo consultar los datos resultantes.

En este vídeo se explica cuándo y cómo usar trabajos de búsqueda:

Permisos necesarios

Acción Permisos requeridos
Ejecución de un trabajo de búsqueda Los permisos Microsoft.OperationalInsights/workspaces/tables/write y Microsoft.OperationalInsights/workspaces/searchJobs/write del área de trabajo de Log Analytics, por ejemplo, según lo proporcionado por el rol integrado de colaborador de Log Analytics.

Nota:

Actualmente no se admiten trabajos de búsqueda entre inquilinos, incluso cuando los inquilinos de Entra ID se administran a través de Azure Lighthouse.

Cuándo usar trabajos de búsqueda

Use trabajos de búsqueda para:

  • Recupere registros de retención a largo plazo y tablas con los planes básicos y auxiliares en una nueva tabla de Analytics donde puede aprovechar las funcionalidades completas de análisis del registro de Azure Monitor.
  • Examine grandes volúmenes de datos si el tiempo de espera de la consulta de registro de 10 minutos no es suficiente.

¿Qué hace un trabajo de búsqueda?

Un trabajo de búsqueda envía los resultados a una nueva tabla en la misma área de trabajo que los datos de origen. La tabla de resultados está disponible en cuanto comienza el trabajo de búsqueda, pero los resultados pueden tardar un tiempo en empezar a aparecer.

La tabla de resultados del trabajo de búsqueda es una tabla de Analytics que está disponible para realizar consultas de registros o para cualquier otra característica de Azure Monitor que use tablas en un área de trabajo. La tabla usa el valor de retención establecido para el área de trabajo, pero este valor se puede modificar una vez creada la tabla.

El esquema de la tabla de resultados de búsqueda se basa en el esquema de la tabla de origen y la consulta especificada. Las siguientes columnas adicionales ayudan a realizar un seguimiento de los registros de origen:

Columna Valor
_OriginalType Valor Type de la tabla de origen.
_OriginalItemId Valor _ItemID de la tabla de origen.
_OriginalTimeGenerated Valor TimeGenerated de la tabla de origen.
TimeGenerated Hora en la que se ejecutó el trabajo de búsqueda.

Las consultas de la tabla de resultados aparecen en la auditoría de consultas de registros, pero no en el trabajo de búsqueda inicial.

Ejecución de un trabajo de búsqueda

Ejecute un trabajo de búsqueda para capturar registros de conjuntos de datos grandes en una nueva tabla de resultados de búsqueda que se encuentre en el área de trabajo.

Sugerencia

Se incurre en cargos por ejecutar un trabajo de búsqueda. Por consiguiente, escriba y optimice la consulta en modo de consulta interactiva antes de ejecutar el trabajo de búsqueda.

Para ejecutar un trabajo de búsqueda, en Azure Portal:

  1. En el menú Área de trabajo de Log Analytics, seleccione Registros.

  2. Seleccione el menú de puntos suspensivos en el lado derecho de la pantalla y active Modo de trabajo de búsqueda.

    Captura de pantalla de la pantalla Registros con el modificador Modo de trabajo de búsqueda resaltado.

    Azure Monitor Logs intellisense admite limitaciones de consultas KQL en el modo de trabajo de búsqueda para ayudarle a escribir la consulta del trabajo de búsqueda.

  3. Especifique el intervalo de fechas del trabajo de búsqueda mediante el selector de hora.

  4. Escriba la consulta del trabajo de búsqueda y seleccione el botón Trabajo de búsqueda.

    Azure Monitor Logs le pide que especifique un nombre para la tabla del conjunto de resultados y le informa de que el trabajo de búsqueda está sujeto a facturación.

    Captura de pantalla que muestra el símbolo del sistema de registros de Azure Monitor para proporcionar un nombre para la tabla de resultados del trabajo de búsqueda.

  5. Escriba un nombre para la tabla de resultados del trabajo de búsqueda y seleccione Ejecutar un trabajo de búsqueda.

    Azure Monitor Logs ejecuta el trabajo de búsqueda y crea en el área de trabajo una tabla para los resultados del trabajo de búsqueda.

    Captura de pantalla que muestra un mensaje de Azure Monitor Logs que indica que el trabajo de búsqueda se está ejecutando y la tabla de resultados del trabajo de búsqueda estará disponible en breve.

  6. Cuando la nueva tabla esté lista, seleccione Ver tablename_SRCH para ver la tabla en Log Analytics.

    Captura de pantalla que muestra un mensaje de Azure Monitor Logs que indica que la tabla de resultados del trabajo de búsqueda esta disponible para verlo.

    Puede ver los resultados del trabajo de búsqueda a medida que comienzan a fluir en la tabla de resultados del trabajo de búsqueda recién creada.

    Captura de pantalla que muestra la tabla de resultados del trabajo de búsqueda con datos.

    Azure Monitor Logs muestra un mensaje que indica que se ha realizado el trabajo de búsqueda al final del trabajo de búsqueda. La tabla de resultados ya está lista con todos los registros que coinciden con la consulta de búsqueda.

    Captura de pantalla que muestra un mensaje de Azure Monitor Logs que indica que se ha realizado el trabajo de búsqueda.

Obtener el estado y los detalles del trabajo de búsqueda

  1. En el menú Área de trabajo de Log Analytics, seleccione Registros.

  2. En la pestaña Tablas, seleccione Resultados de la búsqueda para ver todas las tablas de resultados del trabajo de búsqueda.

    El icono de la tabla de resultados del trabajo de búsqueda muestra una indicación de actualización hasta que se completa el trabajo de búsqueda.

    Captura de pantalla que muestra la pestaña Tablas en la pantalla Registros de Azure Portal con las tablas de resultados de búsqueda que aparecen en Resultados de búsqueda.

Eliminación de una tabla de trabajo de búsqueda

Se recomienda eliminar la tabla del trabajo de búsqueda cuando haya terminado de consultar la tabla. Esto proporciona un área de trabajo más clara y reduce los cargos adicionales por la retención de datos.

Limitaciones

Los trabajos de búsqueda están sujetos a las siguientes limitaciones:

  • Optimizado para consultar una tabla a la vez.
  • El intervalo de fechas de búsqueda es de hasta un año.
  • Admite búsquedas de larga duración hasta un tiempo de espera de 24 horas.
  • Los resultados se limitan a un millón de registros en el conjunto de registros.
  • La ejecución simultánea se limita a cinco trabajos de búsqueda por área de trabajo.
  • Limitado a 100 tablas de resultados de búsqueda por área de trabajo.
  • Limitado a 100 ejecuciones de trabajos de búsqueda al día por área de trabajo.

Cuando se alcanza el límite de registros, Azure anula el trabajo con un estado de éxito parcial, y la tabla solo contiene registros ingeridos hasta ese momento.

Limitaciones de las consultas de KQL

Los trabajos de búsqueda están diseñados para examinar grandes volúmenes de datos en una tabla específica. Por consiguiente, las consultas del trabajo de búsqueda siempre deben comenzar con un nombre de tabla. Para habilitar la ejecución asincrónica mediante distribución y segmentación, la consulta admite un subconjunto de KQL, incluidos los operadores:

Puede usar todas las funciones y los operadores binarios dentro de estos operadores.

Modelo de precios

El cargo del trabajo de búsqueda se basa en:

  • Ejecución del trabajo de búsqueda:

    • Plan de análisis: la cantidad de datos que examina el trabajo de búsqueda que se encuentra en retención a largo plazo. No hay ningún cargo por examinar los datos que están en retención interactiva en tablas de Analytics.

    • Planes básicos o auxiliares: todos los datos que examina el trabajo de búsqueda en retención interactiva y a largo plazo.

      Los datos examinados se definen como el volumen de datos ingerido dentro del intervalo de tiempo especificado por la consulta de la tabla que se va a consultar. Para obtener más información sobre la retención interactiva y a largo plazo, consulte Administración de la retención de datos en un área de trabajo de Log Analytics.

  • Resultados del trabajo de búsqueda: la cantidad de datos que busca el trabajo de búsqueda y se ingiere en la tabla de resultados, en función de la tasa de ingesta de datos para las tablas de Analytics.

Por ejemplo, si una búsqueda en una tabla Básica abarca 30 días y la tabla contiene 500 GB de datos al día, se le cobra por 15 000 GB de datos escaneados. Si el trabajo de búsqueda devuelve 1000 registros, se le cobrará por ingerir estos 1000 registros en la tabla de resultados.

Para obtener más información, consulte Precios de Azure Monitor.

Pasos siguientes