Exécuter des travaux de recherche dans Azure Monitor

Un travail de recherche est une requête asynchrone que vous exécutez sur toutes les données dans votre Log Analytics (à la fois en mode interactif et en conservation à long terme) qui rend les résultats de la requête disponibles pour des requêtes interactives dans une nouvelle table de recherche au sein de votre espace de travail. La tâche de recherche utilise le traitement parallèle et peut s’exécuter pendant des heures sur des jeux de données volumineux. Cet article explique comment créer une tâche de recherche et comment interroger ses données résultantes.

Cette vidéo explique quand et comment utiliser des travaux de recherche :

Autorisations requises

Action Autorisations requises
Exécuter une tâche de recherche Les autorisations Microsoft.OperationalInsights/workspaces/tables/write et Microsoft.OperationalInsights/workspaces/searchJobs/write sur l’espace de travail Log Analytics, par exemple, comme fourni par le rôle intégré contributeur Log Analytics.

Remarque

Les travaux de recherche entre locataires ne sont actuellement pas pris en charge, même lorsque les locataires Entra ID sont gérés via Azure Lighthouse.

Quand utiliser les tâches de recherche

Utilisez les travaux de recherche pour :

  • Récupérez les enregistrements de la conservation à long terme et des tables avec les plans De base et Auxiliaires dans une nouvelle table Analytics où vous pouvez tirer parti de toutes les fonctionnalités analytiques des journaux Azure Monitor.
  • Analysez de grands volumes de données si le délai d’expiration de la requête de journal de 10 minutes n’est pas suffisant.

Qu’est-ce qu’une tâche de recherche ?

Une tâche de recherche envoie ses résultats à une nouvelle table dans le même espace de travail que les données sources. La table de résultats est disponible dès le début de la tâche de recherche, mais l’affichage des résultats peut prendre du temps.

La table des résultats du travail de recherche est une table Analytics disponible pour les requêtes de journal et les autres fonctionnalités Azure Monitor qui utilisent des tables dans un espace de travail. La table utilise la valeur de rétention définie pour l’espace de travail, mais vous pouvez modifier cette valeur une fois la table créée.

Le schéma de la table des résultats de la recherche est basé sur le schéma de la table source et la requête spécifiée. Les autres colonnes suivantes vous permettent d’effectuer le suivi des enregistrements sources :

Colonne Valeur
_OriginalType Valeur Type dans la table source.
_OriginalItemId Valeur _ItemID dans la table source.
_OriginalTimeGenerated Valeur TimeGenerated dans la table source.
TimeGenerated Heure à laquelle le travail de recherche a été exécuté.

Les requêtes sur la table de résultats s’affichent dans l’audit de requête de journal, mais pas dans la tâche de recherche initiale.

Exécuter une tâche de recherche

Exécutez un travail de recherche pour extraire les enregistrements de jeux de données volumineux dans une nouvelle table des résultats de la recherche au sein de votre espace de travail.

Conseil

Des frais vous sont facturés pour l’exécution d’un travail de recherche. Vous devez donc écrire et optimiser votre requête en mode de requête interactive avant d’exécuter le travail de recherche.

Pour exécuter un travail de recherche dans le portail Azure :

  1. Dans le menu Espace de travail Log Analytics, sélectionnez Journaux.

  2. Sélectionnez le menu représenté par des points de suspension sur le côté droit de l’écran, puis activez l’option Mode de travail de recherche.

    Capture d’écran de l’écran Journaux avec mise en évidence de l’option permettant d’activer/de désactiver le mode de travail de recherche.

    IntelliSense pour la fonctionnalité Journaux Azure Monitor prend en charge les limitations de requête KQL en mode de travail de recherche pour vous aider à écrire votre requête de travail de recherche.

  3. Spécifiez la plage de dates du travail de recherche à l’aide du sélecteur correspondant.

  4. Tapez la requête du travail de recherche, puis sélectionnez le bouton Travail de recherche.

    La fonctionnalité Journaux Azure Monitor vous invite à fournir un nom pour la table du jeu de résultats, et vous informe que le travail de recherche est facturé.

    Capture d’écran de la fonctionnalité Journaux Azure Monitor invitant à fournir un nom pour la table des résultats du travail de recherche.

  5. Entrez un nom pour la table des résultats du travail de recherche, puis sélectionnez Exécuter un travail de recherche.

    La fonctionnalité Journaux Azure Monitor exécute le travail de recherche, et crée une table dans votre espace de travail pour les résultats de votre travail de recherche.

    Capture d’écran d’un message de la fonctionnalité Journaux Azure Monitor indiquant que le travail de recherche est en cours d’exécution, et que la table des résultats du travail de recherche sera disponible sous peu.

  6. Quand la nouvelle table est prête, sélectionnez Afficher tablename_SRCH pour voir la table dans Log Analytics.

    Capture d’écran d’un message de la fonctionnalité Journaux Azure Monitor indiquant que la table des résultats du travail de recherche est prête à être vue.

    Vous pouvez voir les résultats du travail de recherche au fur et à mesure de leur arrivée dans la table des résultats du travail de recherche qui vient d’être créée.

    Capture d’écran montrant la table des résultats du travail de recherche avec des données.

    La fonctionnalité Journaux Azure Monitor affiche un message indiquant que le travail de recherche est terminé à la fin de l’opération. La table des résultats est désormais prête avec tous les enregistrements qui correspondent à la requête de recherche.

    Capture d’écran d’un message de la fonctionnalité Journaux Azure Monitor indiquant que le travail de recherche est terminé.

Afficher l’état et les détails de la tâche de recherche

  1. Dans le menu Espace de travail Log Analytics, sélectionnez Journaux.

  2. Sous l’onglet Tables, sélectionnez Résultats de la recherche pour voir toutes les tables des résultats des travaux de recherche.

    L’icône dans la table des résultats du travail de recherche affiche une indication de mise à jour jusqu’à ce que le travail de recherche soit effectué.

    Capture d’écran montrant l’onglet Tables de l’écran Journaux du portail Azure avec les tables des résultats de la recherche listées sous Résultats de la recherche.

Supprimer la table de travaux de recherche

Nous vous recommandons de supprimer la table de travaux de recherche lorsque vous avez terminé de l’interroger. Cela réduit l’encombrement de l’espace de travail et les frais supplémentaires pour la conservation des données.

Limites

Les tâches de recherche sont soumises aux limitations suivantes :

  • Optimisé pour interroger une table à la fois.
  • La plage de dates de recherche est d’un an.
  • Prend en charge les recherches de longue durée jusqu’à un délai d’expiration de 24 heures.
  • Les résultats sont limités à 1 million d’enregistrements dans le jeu d’enregistrements.
  • L’exécution simultanée est limitée à cinq tâches de recherche par espace de travail.
  • Limité à 100 tables de résultats de recherche par espace de travail.
  • Limité à 100 exécutions de tâches de recherche par jour et par espace de travail.

Lorsque vous atteignez la limite d’enregistrements, Azure abandonne le travail dont l’état est partial success (réussite partielle), et la table contient uniquement les enregistrements ingérés jusqu’à ce point.

Limitations des requêtes KQL

Les travaux de recherche sont destinés à analyser de grands volumes de données dans une table spécifique. Les requêtes de travail de recherche doivent donc toujours commencer par un nom de table. Pour activer l’exécution asynchrone à l’aide de la distribution et de la segmentation, la requête prend en charge un sous-ensemble de KQL, notamment les opérateurs :

Vous pouvez utiliser toutes les fonctions et les opérateurs binaires au sein de ces opérateurs.

Modèle de tarification

Les frais de travail de recherche sont basés sur :

  • Exécution du travail de recherche :

    • Plan Analytics : quantité de données que le travail de recherche analyse et qui sont en conservation à long terme. Il n’y a aucun frais pour l’analyse des données qui sont en conservation interactive dans les tables Analytics.
    • Plans de base ou auxiliaires : toutes les données que le travail de recherche analyse à la fois en conservation interactive et à long terme.

    Pour plus d’informations sur la conservation interactive et à long terme, consultez Gérer la conservation des données dans un espace de travail Log Analytics.

  • Résultats du travail de recherche : quantité de données que la tâche de recherche trouve et est ingérée dans la table de résultats, en fonction du taux d’ingestion des données pour les tables Analytics.

Par exemple, si une recherche sur une table de base s’étend sur 30 jours et que la table contient 500 Go de données par jour, vous êtes facturé pour 15 000 Go de données analysées. Si le travail de recherche renvoie 1 000 enregistrements, vous êtes facturé pour la réception de ces 1 000 enregistrements dans la table des résultats.

Pour plus d’informations, consultez Tarification Azure Monitor.

Étapes suivantes