Spouštění úloh hledání ve službě Azure Monitor

Úloha hledání je asynchronní dotaz, který spustíte na všech datech ve službě Log Analytics – v interaktivním i dlouhodobém uchovávání , který zpřístupňuje výsledky dotazu pro interaktivní dotazy v nové vyhledávací tabulce v rámci vašeho pracovního prostoru. Úloha hledání používá paralelní zpracování a může běžet několik hodin napříč velkými datovými sadami. Tento článek popisuje, jak vytvořit úlohu vyhledávání a jak se dotazovat na výsledná data.

Toto video vysvětluje, kdy a jak používat úlohy vyhledávání:

Požadována oprávnění

Akce Požadována oprávnění
Spuštění úlohy hledání Microsoft.OperationalInsights/workspaces/tables/write a Microsoft.OperationalInsights/workspaces/searchJobs/write oprávnění k pracovnímu prostoru služby Log Analytics, například předdefinovaná role přispěvatele Log Analytics.

Poznámka:

Úlohy vyhledávání napříč tenanty se v současné době nepodporují, i když jsou tenanti Entra ID spravováni prostřednictvím Služby Azure Lighthouse.

Kdy se používají úlohy hledání

Pomocí úloh hledání můžete:

  • Načtěte záznamy z dlouhodobého uchovávání a tabulek pomocí plánů Basic a Auxiliary do nové tabulky Analytics, ve které můžete využívat možnosti úplné analýzy protokolu služby Azure Monitor.
  • Zkontrolujte velké objemy dat, pokud časový limit dotazu protokolu 10 minut nestačí.

Co úloha hledání dělá?

Úloha hledání odešle výsledky do nové tabulky ve stejném pracovním prostoru jako zdrojová data. Tabulka výsledků je dostupná hned po zahájení úlohy hledání, ale může to chvíli trvat, než se výsledky začnou zobrazovat.

Tabulka výsledků úlohy hledání je tabulka Analýzy, která je k dispozici pro dotazy na protokoly a další funkce služby Azure Monitor, které používají tabulky v pracovním prostoru. Tabulka používá hodnotu uchovávání informací nastavenou pro pracovní prostor, ale tuto hodnotu můžete po vytvoření tabulky upravit.

Schéma tabulky výsledků hledání je založené na schématu zdrojové tabulky a zadaném dotazu. Následující další sloupce vám pomůžou sledovat zdrojové záznamy:

Column Hodnota
_OriginalType Zadejte hodnotu ze zdrojové tabulky.
_OriginalItemId _ItemID hodnotu ze zdrojové tabulky.
_OriginalTimeGenerated Hodnota TimeGenerated ze zdrojové tabulky
TimeGenerated Čas spuštění úlohy vyhledávání

Dotazy na tabulku výsledků se zobrazují v auditování dotazů protokolu, ale ne v počáteční úloze vyhledávání.

Spuštění úlohy hledání

Spusťte úlohu vyhledávání, která načte záznamy z velkých datových sad do nové tabulky výsledků hledání ve vašem pracovním prostoru.

Tip

Účtují se vám poplatky za spuštění úlohy vyhledávání. Proto před spuštěním úlohy vyhledávání zapište a optimalizujte dotaz v interaktivním režimu dotazu.

Pokud chcete spustit úlohu vyhledávání, na webu Azure Portal:

  1. V nabídce pracovního prostoru služby Log Analytics vyberte Protokoly.

  2. Vyberte nabídku se třemi tečky na pravé straně obrazovky a zapněte režim úlohy vyhledávání.

    Snímek obrazovky Protokoly se zvýrazněným přepínačem režimu úlohy vyhledávání

    Azure Monitor Logs IntelliSense podporuje omezení dotazů KQL v režimu úlohy vyhledávání, aby vám pomohla psát dotaz na úlohu vyhledávání.

  3. Pomocí nástroje pro výběr času zadejte rozsah dat úlohy vyhledávání.

  4. Zadejte dotaz úlohy vyhledávání a vyberte tlačítko Hledat úlohu .

    Protokoly služby Azure Monitor vás vyzve k zadání názvu tabulky sady výsledků a informuje vás, že úloha vyhledávání podléhá fakturaci.

    Snímek obrazovky znázorňující výzvu k zadání názvu tabulky výsledků úlohy hledání

  5. Zadejte název tabulky výsledků úlohy hledání a vyberte Spustit úlohu hledání.

    Protokoly služby Azure Monitor spouští úlohu vyhledávání a vytvoří novou tabulku ve vašem pracovním prostoru pro výsledky úlohy hledání.

    Snímek obrazovky znázorňující zprávu protokolů služby Azure Monitor, že je spuštěná úloha vyhledávání a za chvíli bude dostupná tabulka výsledků úlohy hledání.

  6. Až bude nová tabulka připravená, vyberte Zobrazit tablename_SRCH a zobrazte tabulku v Log Analytics.

    Snímek obrazovky znázorňující zprávu protokolů služby Azure Monitor, že je k dispozici tabulka výsledků úlohy hledání pro zobrazení

    Výsledky úlohy hledání uvidíte, jakmile začnou přetékat do nově vytvořené tabulky výsledků úlohy hledání.

    Snímek obrazovky znázorňující tabulku výsledků úlohy hledání s daty

    Protokoly služby Azure Monitor ukazují, že se na konci úlohy vyhledávání provádí zpráva o úloze vyhledávání. Tabulka výsledků je teď připravená se všemi záznamy, které odpovídají vyhledávacímu dotazu.

    Snímek obrazovky znázorňující zprávu protokolů služby Azure Monitor, že je úloha hledání hotová

Získání stavu a podrobností úlohy vyhledávání

  1. V nabídce pracovního prostoru služby Log Analytics vyberte Protokoly.

  2. Na kartě Tabulky vyberte Výsledky hledání a zobrazte všechny tabulky výsledků úloh hledání.

    Ikona v tabulce výsledků úlohy hledání zobrazí indikaci aktualizace, dokud se úloha vyhledávání nedokončila.

    Snímek obrazovky znázorňující kartu Tabulky na obrazovce Protokoly na webu Azure Portal s tabulkami výsledků hledání v části Výsledky hledání

Odstranění tabulky úloh vyhledávání

Po dotazování na tabulku doporučujeme odstranit tabulku úlohy vyhledávání. Tím se snižují nepotřebné pracovní prostory a za uchovávání dat se účtují další poplatky.

Omezení

Úlohy vyhledávání podléhají následujícím omezením:

  • Optimalizováno pro dotazování na jednu tabulku najednou.
  • Rozsah kalendářních dat hledání je až jeden rok.
  • Podporuje dlouhotrvající hledání až 24hodinový časový limit.
  • Výsledky jsou omezené na jeden milion záznamů v sadě záznamů.
  • Souběžné spouštění je omezené na pět úloh hledání na jeden pracovní prostor.
  • Omezeno na 100 tabulek výsledků hledání na pracovní prostor.
  • Omezeno na 100 spuštění úloh vyhledávání za den na pracovní prostor.

Když dosáhnete limitu záznamu, Azure přeruší úlohu se stavem částečného úspěchu a tabulka obsahuje pouze záznamy ingestované až do tohoto okamžiku.

Omezení dotazů KQL

Úlohy vyhledávání jsou určené ke kontrole velkých objemů dat v konkrétní tabulce. Proto musí dotazy na úlohu vyhledávání vždy začínat názvem tabulky. Pokud chcete povolit asynchronní spouštění pomocí distribuce a segmentace, dotaz podporuje podmnožinu KQL, včetně operátorů:

V rámci těchto operátorů můžete použít všechny funkce a binární operátory.

Cenový model

Poplatek za úlohu vyhledávání vychází z následujících:

  • Spuštění úlohy vyhledávání:

    • Plán analýzy – množství dat, která úloha vyhledávání prohledává v dlouhodobém uchovávání. Za prohledávání dat v tabulkách Analytics se neúčtují žádné poplatky.
    • Základní nebo pomocné plány – Všechna data prohledávají úlohy vyhledávání v interaktivním i dlouhodobém uchovávání.

    Další informace o interaktivním a dlouhodobém uchovávání najdete v tématu Správa uchovávání dat v pracovním prostoru služby Log Analytics.

  • Výsledky úlohy hledání – množství dat, která úloha vyhledávání najde a je ingestována do tabulky výsledků na základě míry příjmu dat pro tabulky Analytics.

Pokud například hledání v základní tabulce trvá 30 dní a tabulka obsahuje 500 GB dat za den, budou se vám účtovat 15 000 GB naskenovaných dat. Pokud vyhledávací úloha vrátí 1 000 záznamů, budou se vám účtovat poplatky za příjem těchto 1 000 záznamů do tabulky výsledků.

Další informace najdete v tématu o cenách služby Azure Monitor.

Další kroky