Partilhar via


Executar trabalhos de pesquisa no Azure Monitor

Um trabalho de pesquisa é uma consulta assíncrona executada em qualquer dado do Log Analytics - em retenção interativa e de longo prazo - que disponibiliza os resultados da consulta para consultas interativas em uma nova tabela de pesquisa em seu espaço de trabalho. O trabalho de pesquisa utiliza o processamento paralelo e pode ser executado durante horas em grandes conjuntos de dados. Este artigo descreve como criar um trabalho de pesquisa e como consultar seus dados resultantes.

Este vídeo explica quando e como usar a pesquisa de empregos:

Permissões necessárias

Ação Permissões necessárias
Executar um trabalho de pesquisa Microsoft.OperationalInsights/workspaces/tables/writee Microsoft.OperationalInsights/workspaces/searchJobs/write permissões para o espaço de trabalho do Log Analytics, por exemplo, conforme fornecido pela função interna Colaborador do Log Analytics.

Nota

Atualmente, não há suporte para trabalhos de pesquisa entre locatários, mesmo quando os locatários do Entra ID são gerenciados por meio do Azure Lighthouse.

Quando utilizar trabalhos de pesquisa

Use a pesquisa de vagas para:

  • Recupere registros de retenção de longo prazo e tabelas com os planos Básico e Auxiliar em uma nova tabela do Google Analytics onde você pode aproveitar todos os recursos de análise do Azure Monitor Log.
  • Analise grandes volumes de dados, se o tempo limite de consulta de log de 10 minutos não for suficiente.

O que faz um trabalho de pesquisa?

Um trabalho de pesquisa envia os resultados para uma nova tabela na mesma área de trabalho que os dados de origem. A tabela de resultados fica disponível assim que a vaga de pesquisa começa, mas pode levar algum tempo para que os resultados comecem a aparecer.

A tabela de resultados do trabalho de pesquisa é uma tabela do Google Analytics que está disponível para consultas de log e outros recursos do Azure Monitor que usam tabelas em um espaço de trabalho. A tabela usa o valor de retenção definido para o espaço de trabalho, mas você pode modificar esse valor depois que a tabela é criada.

O esquema da tabela de resultados da pesquisa é baseado no esquema da tabela de origem e na consulta especificada. As outras colunas a seguir ajudam a controlar os registros de origem:

Column Value
_OriginalType Digite o valor da tabela de origem.
_OriginalItemId _ItemID valor da tabela de origem.
_OriginalTimeGenerated Valor TimeGenerated da tabela de origem.
TimeGenerated Hora em que a procura de emprego correu.

As consultas na tabela de resultados aparecem na auditoria de consulta de log, mas não no trabalho de pesquisa inicial.

Executar um trabalho de pesquisa

Execute um trabalho de pesquisa para buscar registros de grandes conjuntos de dados em uma nova tabela de resultados de pesquisa em seu espaço de trabalho.

Gorjeta

Você incorre em encargos para executar uma vaga de pesquisa. Portanto, escreva e otimize sua consulta no modo de consulta interativo antes de executar o trabalho de pesquisa.

Para executar um trabalho de pesquisa, no portal do Azure:

  1. No menu do espaço de trabalho do Log Analytics, selecione Logs.

  2. Selecione o menu de reticências no lado direito da tela e ative o modo Pesquisar trabalho.

    Captura de ecrã do ecrã Registos com o parâmetro Modo de trabalho de pesquisa realçado.

    O intellisense de Logs do Azure Monitor dá suporte a limitações de consulta KQL no modo de trabalho de pesquisa para ajudá-lo a escrever sua consulta de trabalho de pesquisa.

  3. Especifique o intervalo de datas do trabalho de pesquisa usando o seletor de horas.

  4. Digite a consulta de vaga de pesquisa e selecione o botão Pesquisar vaga.

    Os Logs do Monitor do Azure solicitam que você forneça um nome para a tabela do conjunto de resultados e informam que o trabalho de pesquisa está sujeito a cobrança.

    Captura de tela que mostra o prompt Logs do Azure Monitor para fornecer um nome para a tabela de resultados de trabalho de pesquisa.

  5. Insira um nome para a tabela de resultados de trabalho de pesquisa e selecione Executar um trabalho de pesquisa.

    Os Logs do Azure Monitor executam o trabalho de pesquisa e criam uma nova tabela em seu espaço de trabalho para os resultados do trabalho de pesquisa.

    Captura de tela que mostra uma mensagem de Logs do Azure Monitor informando que o trabalho de pesquisa está em execução e a tabela de resultados do trabalho de pesquisa estará disponível em breve.

  6. Quando a nova tabela estiver pronta, selecione Exibir tablename_SRCH para exibir a tabela no Log Analytics.

    Captura de tela que mostra uma mensagem de Logs do Azure Monitor que a tabela de resultados do trabalho de pesquisa está disponível para exibição.

    Você pode ver os resultados do trabalho de pesquisa à medida que eles começam a fluir para a tabela de resultados de trabalho de pesquisa recém-criada.

    Captura de ecrã que mostra a tabela de resultados de trabalhos de pesquisa com dados.

    Os Logs do Azure Monitor mostram uma mensagem de conclusão do trabalho de Pesquisa no final do trabalho de pesquisa. A tabela de resultados está agora pronta com todos os registos que correspondem à consulta de pesquisa.

    Captura de tela que mostra uma mensagem de Logs do Azure Monitor informando que o trabalho de pesquisa foi concluído.

Obter status e detalhes da vaga de pesquisa

  1. No menu do espaço de trabalho do Log Analytics, selecione Logs.

  2. Na guia Tabelas, selecione Resultados da pesquisa para exibir todas as tabelas de resultados de trabalhos de pesquisa.

    O ícone na tabela de resultados da pesquisa de empregos exibe uma indicação de atualização até que a vaga de pesquisa seja concluída.

    Captura de ecrã que mostra o separador Tabelas no ecrã Registos no portal do Azure com as tabelas de resultados de pesquisa listadas em Resultados da pesquisa.

Excluir uma tabela de trabalho de pesquisa

Recomendamos que elimine a tabela de trabalhos de pesquisa quando terminar de consultar a tabela. Isso reduz a confusão do espaço de trabalho e as cobranças extras pela retenção de dados.

Limitações

As ofertas de emprego na pesquisa estão sujeitas às seguintes limitações:

  • Otimizado para consultar uma tabela de cada vez.
  • O intervalo de datas de pesquisa é de até um ano.
  • Suporta pesquisas de longa duração até um tempo limite de 24 horas.
  • Os resultados são limitados a um milhão de recordes no conjunto de recordes.
  • A execução simultânea é limitada a cinco trabalhos de pesquisa por espaço de trabalho.
  • Limitado a 100 tabelas de resultados de pesquisa por espaço de trabalho.
  • Limitado a 100 execuções de trabalho de pesquisa por dia, por espaço de trabalho.

Quando você atinge o limite de registros, o Azure anula o trabalho com um status de êxito parcial e a tabela contém apenas registros ingeridos até esse ponto.

Limitações da consulta KQL

Os trabalhos de pesquisa destinam-se a analisar grandes volumes de dados numa tabela específica. Portanto, as consultas de trabalho de pesquisa devem sempre começar com um nome de tabela. Para habilitar a execução assíncrona usando distribuição e segmentação, a consulta suporta um subconjunto de KQL, incluindo os operadores:

Você pode usar todas as funções e operadores binários dentro desses operadores.

Modelo de preços

A taxa de procura de emprego baseia-se em:

  • Execução do trabalho de pesquisa:

    • Plano de análise - A quantidade de dados que a vaga de pesquisa verifica e que está em retenção a longo prazo. Não há cobrança para a verificação de dados que estão em retenção interativa nas tabelas do Google Analytics.

    • Planos básicos ou auxiliares - Todos os dados que a pesquisa de empregos verifica em retenção interativa e de longo prazo.

      Os dados digitalizados são definidos como o volume de dados que foi ingerido dentro do intervalo de tempo especificado pela consulta para a tabela que está sendo consultada. Para obter mais informações sobre retenção interativa e de longo prazo, consulte Gerenciar retenção de dados em um espaço de trabalho do Log Analytics.

  • Resultados da vaga de pesquisa - A quantidade de dados que a vaga de pesquisa encontra e é ingerida na tabela de resultados, com base na taxa de ingestão de dados das tabelas do Google Analytics.

Por exemplo, se uma pesquisa em uma tabela Basic durar 30 dias e a tabela contiver 500 GB de dados por dia, você será cobrado por 15.000 GB de dados digitalizados. Se o trabalho de pesquisa retornar 1.000 registros, você será cobrado por ingerir esses 1.000 registros na tabela de resultados.

Para obter mais informações, consulte Preços do Azure Monitor.

Próximos passos