Выполнение заданий поиска в Azure Monitor

Задание поиска — это асинхронный запрос, выполняемый на любых данных в Log Analytics , как в интерактивном, так и в долгосрочном хранении , что делает результаты запроса доступными для интерактивных запросов в новой таблице поиска в рабочей области. Задание поиска использует параллельную обработку и может выполняться в течение нескольких часов для больших наборов данных. В этой статье описано, как создать задание поиска и запросить полученные данные.

В этом видео объясняется, когда и как использовать задания поиска:

Требуемые разрешения

Действие Требуемые разрешения
Выполнение задания поиска Microsoft.OperationalInsights/workspaces/tables/write и Microsoft.OperationalInsights/workspaces/searchJobs/write разрешения для рабочей области Log Analytics, например, как указано встроенной ролью участника Log Analytics.

Примечание.

В настоящее время задания поиска между клиентами не поддерживаются, даже если клиенты идентификатора Записи управляются с помощью Azure Lighthouse.

Когда следует использовать задания поиска

Используйте задания поиска для:

  • Извлеките записи из долгосрочных таблиц хранения и таблиц с помощью базовых и вспомогательных планов в новую таблицу Аналитики, где можно воспользоваться возможностями полной аналитики журнала Azure Monitor.
  • Сканируйте большие объемы данных, если время ожидания запроса журнала в течение 10 минут недостаточно.

Что делает задание поиска?

Задание поиска отправляет результаты обработки в новую таблицу в той же рабочей области, что и исходные данные. Таблица результатов доступна, как только начинается поисковое задание, но может пройти некоторое время, прежде чем результаты начнут появляться.

Таблица результатов поиска — это таблица аналитики, доступная для запросов журналов и других функций Azure Monitor, использующих таблицы в рабочей области. В таблице используется значение хранения, установленное для рабочей области, но вы можете изменить это значение после создания таблицы.

Схема таблицы результатов поиска основана на схеме исходной таблицы и указанном запросе. Следующие другие столбцы помогают отслеживать исходные записи:

Столбец Значение
_OriginalType Значение Type из исходной таблицы.
_OriginalItemId Значение _ItemID из исходной таблицы.
_OriginalTimeGenerated Значение TimeGenerated из исходной таблицы.
TimeGenerated Время выполнения задания поиска.

Запросы в таблице результатов отображаются в журнале аудита запросов, но не в начальном задании поиска.

Выполнение задания поиска

Запустите задание поиска, чтобы получить записи из больших наборов данных в новую таблицу результатов поиска в рабочей области.

Совет

Плата за выполнение задания поиска взимается. Поэтому перед выполнением задания поиска напишите и оптимизируйте запрос в интерактивном режиме запроса.

Чтобы запустить задание поиска, в портал Azure выполните следующие действия:

  1. В меню рабочей области Log Analytics выберите журналы.

  2. Выберите меню с многоточием в правой части экрана и переключите режим задания поиска.

    Снимок экрана: экран

    Intellisense журналов Azure Monitor поддерживает ограничения запросов KQL в режиме задания поиска, чтобы помочь вам написать запрос задания поиска.

  3. Укажите диапазон дат задания поиска с помощью средства выбора времени.

  4. Введите запрос задания поиска и нажмите кнопку "Задание поиска".

    Журналы Azure Monitor запрашивают имя таблицы результирующих наборов и сообщают о том, что задание поиска подлежит выставлению счетов.

    Снимок экрана: запрос журналов Azure Monitor для указания имени таблицы результатов поиска.

  5. Введите имя таблицы результатов поиска и выберите команду "Выполнить задание поиска".

    Журналы Azure Monitor запускают задание поиска и создают новую таблицу в рабочей области для результатов поиска.

    Снимок экрана: сообщение журнала Azure Monitor о том, что задание поиска запущено, а таблица результатов поиска будет доступна в ближайшее время.

  6. Когда новая таблица будет готова, выберите "Вид tablename_SRCH" , чтобы просмотреть таблицу в Log Analytics.

    Снимок экрана: сообщение журнала Azure Monitor о том, что таблица результатов поиска доступна для просмотра.

    Результаты задания поиска отображаются при начале потока в только что созданную таблицу результатов задания поиска.

    Снимок экрана: таблица результатов поиска с данными.

    Журналы Azure Monitor показывают , что задание поиска выполняется в конце задания поиска. Теперь таблица результатов готова со всеми записями, соответствующими поисковому запросу.

    Снимок экрана: сообщение журнала Azure Monitor о том, что задание поиска выполнено.

Получение состояния и сведений о задании поиска

  1. В меню рабочей области Log Analytics выберите журналы.

  2. На вкладке "Таблицы" выберите результаты поиска, чтобы просмотреть все таблицы результатов задания поиска.

    Значок в таблице результатов поиска отображает указание обновления до завершения задания поиска.

    Снимок экрана: вкладка

Удаление таблицы заданий поиска

Мы рекомендуем удалить таблицу заданий поиска при выполнении запроса к таблице. Это очистит ненужные рабочие области и исключит начисление дополнительной платы за хранение данных.

Ограничения

Задания поиска имеют следующие ограничения:

  • Оптимизировано для запроса одной таблицы за раз.
  • Диапазон дат поиска: до одного года.
  • Поддержка длительного поиска, время ожидания: до 24 часов.
  • Результаты ограничены 1 млн записей в наборе записей.
  • Одновременное выполнение ограничено пятью заданиями поиска на рабочую область.
  • Существует ограничение до 100 таблиц результатов поиска на рабочую область.
  • Ограничено в 100 выполнений заданий поиска в день на рабочую область.

Когда вы достигнете предела записи, Azure прерывает задание с состоянием частичного успешного выполнения, а таблица содержит только записи, приемываемые до этой точки.

Ограничения запросов KQL

Задания поиска предназначены для сканирования больших объемов данных в определенной таблице. Поэтому запросы задания поиска должны всегда начинаться с имени таблицы. Чтобы включить асинхронное выполнение с помощью распределения и сегментации, запрос поддерживает подмножество KQL, включая операторы:

Вы можете использовать все функции и бинарные операторы внутри этих операторов.

Модель ценообразования

Плата за задание поиска основана на следующих принципах:

  • Выполнение задания поиска:

    • План аналитики — объем данных, которые задание поиска сканирует в долгосрочном хранении. Плата за сканирование данных в таблицах Аналитики не взимается.
    • Базовые или вспомогательные планы — все данные задания поиска сканируются как в интерактивном, так и в долгосрочном сроке хранения.

    Дополнительные сведения об интерактивном и долгосрочном хранении см. в разделе "Управление хранением данных" в рабочей области Log Analytics.

  • Результаты задания поиска — объем данных, которые находит задание поиска и вставляется в таблицу результатов на основе скорости приема данных для таблиц Аналитики.

Например, если поиск в таблице "Базовый" составляет 30 дней, а таблица содержит 500 ГБ данных в день, плата взимается за 15 000 ГБ отсканированных данных. Если задание поиска возвращает 1000 записей, вы платите за прием этих 1000 записей в таблицу результатов.

Дополнительные сведения см. на странице цен на Azure Monitor.

Следующие шаги