Uruchamianie zadań wyszukiwania w usłudze Azure Monitor
Zadanie wyszukiwania to zapytanie asynchroniczne uruchamiane na dowolnych danych w usłudze Log Analytics — zarówno w interaktywnym, jak i długoterminowym przechowywaniu — dzięki czemu wyniki zapytania są dostępne dla interakcyjnych zapytań w nowej tabeli wyszukiwania w obszarze roboczym. Zadanie wyszukiwania używa przetwarzania równoległego i może działać przez wiele godzin w dużych zestawach danych. W tym artykule opisano sposób tworzenia zadania wyszukiwania i wykonywania zapytań dotyczących danych wynikowych.
W tym filmie wideo wyjaśniono, kiedy i jak używać zadań wyszukiwania:
Wymagane uprawnienia
Akcja | Wymagane uprawnienia |
---|---|
Uruchamianie zadania wyszukiwania | Microsoft.OperationalInsights/workspaces/tables/write i Microsoft.OperationalInsights/workspaces/searchJobs/write uprawnienia do obszaru roboczego usługi Log Analytics, na przykład udostępniane przez wbudowaną rolę Współautor usługi Log Analytics. |
Uwaga
Zadania wyszukiwania między dzierżawami nie są obecnie obsługiwane, nawet jeśli dzierżawy entra ID są zarządzane za pośrednictwem usługi Azure Lighthouse.
Kiedy używać zadań wyszukiwania
Użyj zadań wyszukiwania, aby:
- Pobieranie rekordów z długoterminowego przechowywania i tabel z planami podstawowymi i pomocniczymi w nowej tabeli analizy, w której można korzystać z pełnych możliwości analizy dzienników usługi Azure Monitor.
- Przeskanuj duże ilości danych, jeśli limit czasu zapytania dziennika nie jest wystarczający.
Jak działa zadanie wyszukiwania?
Zadanie wyszukiwania wysyła wyniki do nowej tabeli w tym samym obszarze roboczym, w którym znajdują się dane źródłowe. Tabela wyników jest dostępna zaraz po rozpoczęciu zadania wyszukiwania, ale wyświetlenie wyników może zająć trochę czasu.
Tabela wyników zadania wyszukiwania to tabela Analizy, która jest dostępna dla zapytań dzienników i innych funkcji usługi Azure Monitor, które używają tabel w obszarze roboczym. Tabela używa wartości przechowywania ustawionej dla obszaru roboczego, ale można ją zmodyfikować po utworzeniu tabeli.
Schemat tabeli wyników wyszukiwania jest oparty na schemacie tabeli źródłowej i określonym zapytaniu. Poniższe inne kolumny ułatwiają śledzenie rekordów źródłowych:
Kolumna | Wartość |
---|---|
_OriginalType | Wpisz wartość z tabeli źródłowej. |
_OriginalItemId | _ItemID wartość z tabeli źródłowej. |
_OriginalTimeGenerated | TimeGenerated wartość z tabeli źródłowej. |
TimeGenerated | Godzina uruchomienia zadania wyszukiwania. |
Zapytania dotyczące tabeli wyników są wyświetlane w inspekcji zapytań dzienników, ale nie w początkowym zadaniu wyszukiwania.
Uruchamianie zadania wyszukiwania
Uruchom zadanie wyszukiwania, aby pobrać rekordy z dużych zestawów danych do nowej tabeli wyników wyszukiwania w obszarze roboczym.
Napiwek
Opłaty są naliczane za uruchomienie zadania wyszukiwania. W związku z tym napisz i zoptymalizuj zapytanie w trybie interaktywnym przed uruchomieniem zadania wyszukiwania.
Aby uruchomić zadanie wyszukiwania, w witrynie Azure Portal:
Z menu obszaru roboczego usługi Log Analytics wybierz pozycję Dzienniki.
Wybierz menu wielokropka po prawej stronie ekranu i przełącz tryb zadania wyszukiwania.
Funkcja IntelliSense dzienników usługi Azure Monitor obsługuje ograniczenia zapytań KQL w trybie zadania wyszukiwania, które ułatwiają pisanie zapytania zadania wyszukiwania.
Określ zakres dat zadania wyszukiwania przy użyciu selektora czasu.
Wpisz zapytanie zadania wyszukiwania i wybierz przycisk Wyszukaj zadanie .
Dzienniki usługi Azure Monitor monituje o podanie nazwy tabeli zestawu wyników i informuje o tym, że zadanie wyszukiwania podlega rozliczeniam.
Wprowadź nazwę tabeli wyników zadania wyszukiwania i wybierz pozycję Uruchom zadanie wyszukiwania.
Dzienniki usługi Azure Monitor uruchamiają zadanie wyszukiwania i tworzą nową tabelę w obszarze roboczym dla wyników zadania wyszukiwania.
Gdy nowa tabela będzie gotowa, wybierz pozycję Wyświetl tablename_SRCH , aby wyświetlić tabelę w usłudze Log Analytics.
Wyniki zadania wyszukiwania można zobaczyć, gdy zaczynają przepływać do nowo utworzonej tabeli wyników zadania wyszukiwania.
Dzienniki usługi Azure Monitor pokazują, że zadanie wyszukiwania jest wykonywane na końcu zadania wyszukiwania. Tabela wyników jest teraz gotowa ze wszystkimi rekordami zgodnymi z zapytaniem wyszukiwania.
Pobieranie stanu i szczegółów zadania wyszukiwania
Z menu obszaru roboczego usługi Log Analytics wybierz pozycję Dzienniki.
Na karcie Tabele wybierz pozycję Wyniki wyszukiwania, aby wyświetlić wszystkie tabele wyników zadań wyszukiwania.
Ikona w tabeli wyników zadania wyszukiwania wyświetla wskazanie aktualizacji do momentu ukończenia zadania wyszukiwania.
Usuwanie tabeli zadań wyszukiwania
Zalecamy usunięcie tabeli zadań wyszukiwania po zakończeniu wykonywania zapytań dotyczących tabeli. Zmniejsza to bałagan obszaru roboczego i dodatkowe opłaty za przechowywanie danych.
Ograniczenia
Zadania wyszukiwania podlegają następującym ograniczeniom:
- Zoptymalizowane pod kątem wykonywania zapytań względem jednej tabeli naraz.
- Zakres dat wyszukiwania wynosi do jednego roku.
- Obsługuje długotrwałe wyszukiwanie do 24-godzinnego limitu czasu.
- Wyniki są ograniczone do miliona rekordów w zestawie rekordów.
- Współbieżne wykonywanie jest ograniczone do pięciu zadań wyszukiwania na obszar roboczy.
- Ograniczenie do 100 tabel wyników wyszukiwania na obszar roboczy.
- Ograniczone do 100 wykonań zadań wyszukiwania dziennie na obszar roboczy.
Po osiągnięciu limitu rekordu platforma Azure przerywa zadanie ze stanem częściowego powodzenia, a tabela zawiera tylko rekordy pozyskane do tego momentu.
Ograniczenia zapytań języka KQL
Zadania wyszukiwania są przeznaczone do skanowania dużych ilości danych w określonej tabeli. W związku z tym zapytania dotyczące zadań wyszukiwania muszą zawsze zaczynać się od nazwy tabeli. Aby włączyć asynchroniczne wykonywanie przy użyciu dystrybucji i segmentacji, zapytanie obsługuje podzestaw języka KQL, w tym operatory:
- gdzie
- rozszerzyć
- projekt
- odchodzi od projektu
- utrzymanie projektu
- zmiana nazwy projektu
- zmiana kolejności projektu
- Parse
- parse-where
W tych operatorach można używać wszystkich funkcji i operatorów binarnych.
Model cen
Opłata za zadanie wyszukiwania jest oparta na:
Wykonywanie zadania wyszukiwania:
Plan analizy — ilość danych skanowanych przez zadanie wyszukiwania, które są w długoterminowym przechowywaniu. Nie są naliczane opłaty za skanowanie danych, które są w interaktywnym przechowywaniu w tabelach analizy.
Plany podstawowe lub pomocnicze — wszystkie dane, które skanują zadania wyszukiwania zarówno w interaktywnym, jak i długoterminowym przechowywaniu.
Zeskanowane dane są definiowane jako ilość danych pozyskanych w zakresie czasu określonym przez zapytanie dla tabeli, której dotyczy zapytanie. Aby uzyskać więcej informacji na temat interakcyjnego i długoterminowego przechowywania, zobacz Zarządzanie przechowywaniem danych w obszarze roboczym usługi Log Analytics.
Wyniki zadania wyszukiwania — ilość danych, które znajduje zadanie wyszukiwania i które jest pozyskiwane do tabeli wyników na podstawie współczynnika pozyskiwania danych dla tabel analizy.
Jeśli na przykład wyszukiwanie w tabeli Podstawowa obejmuje 30 dni, a tabela zawiera 500 GB danych dziennie, opłata jest naliczana za 15 000 GB zeskanowanych danych. Jeśli zadanie wyszukiwania zwróci 1000 rekordów, opłata jest naliczana za pozyskiwanie tych 1000 rekordów do tabeli wyników.
Aby uzyskać więcej informacji, zobacz Cennik usługi Azure Monitor.