Azure İzleyici'de arama işlerini çalıştırma
Arama işi, Log Analytics'inizdeki tüm verilerde (hem etkileşimli hem de uzun süreli saklamada ) çalıştırdığınız zaman uyumsuz bir sorgudur ve bu da sorgu sonuçlarını çalışma alanınızdaki yeni bir arama tablosundaki etkileşimli sorgular için kullanılabilir hale getirir. Arama işi, paralel işleme yaklaşımını kullanır ve büyük veri kümelerinde saatlerce çalışabilir. Bu makalede arama işinin nasıl oluşturulacağı ve sonuçta elde edilen verilerin nasıl sorgulandığı açıklanmaktadır.
Bu videoda arama işlerinin ne zaman ve nasıl kullanılacağı açıklanmaktadır:
Gerekli izinler
Eylem | Gerekli izinler |
---|---|
Arama işi çalıştırma | Microsoft.OperationalInsights/workspaces/tables/write ve Microsoft.OperationalInsights/workspaces/searchJobs/write Log Analytics çalışma alanına yönelik izinler( örneğin, Log Analytics Katkıda Bulunanı yerleşik rolü tarafından sağlanmıştır). |
Not
Kiracılar arası arama işleri, Entra ID kiracıları Azure Lighthouse aracılığıyla yönetilse bile şu anda desteklenmemektedir.
Arama işlerinin kullanım alanları
Arama işlerini kullanarak:
- Temel ve Yardımcı planlarla uzun süreli saklama ve tablolardaki kayıtları Azure İzleyici Günlüğü'nin tam analiz özelliklerinden yararlanabileceğiniz yeni bir Analiz tablosuna alın.
- 10 dakikalık günlük sorgusu zaman aşımı yeterli değilse büyük hacimli verileri tarayın.
Arama işi ne yapar?
Arama işi, sonuçlarını kaynak verilerle aynı çalışma alanında bulunan yeni bir tabloya gönderir. Sonuçlar tablosu, arama işi başlar başlamaz kullanılabilir, ancak sonuçların görünmeye başlaması zaman alabilir.
Arama işi sonuçları tablosu, günlük sorguları ve çalışma alanında tabloları kullanan diğer Azure İzleyici özellikleri için kullanılabilen bir Analytics tablosudur . Tablo, çalışma alanı için ayarlanan bekletme değerini kullanır, ancak tablo oluşturulduktan sonra bu değeri değiştirebilirsiniz.
Arama sonuçları tablosu şeması, kaynak tablo şemasını ve belirtilen sorguyu temel alır. Aşağıdaki diğer sütunlar kaynak kayıtları izlemenize yardımcı olur:
Sütun | Değer |
---|---|
_OriginalType | Kaynak tablodan değer yazın . |
_OriginalItemId | Kaynak tablodan değer _ItemID. |
_OriginalTimeGenerated | Kaynak tablodan TimeGenerated değeri. |
TimeGenerated | Arama işinin çalıştırıldığı saat. |
Sonuçlar tablosundaki sorgular günlük sorgusu denetiminde görünür ancak ilk arama işinde görünmez.
Arama işi çalıştırma
Büyük veri kümelerindeki kayıtları çalışma alanınızdaki yeni bir arama sonuçları tablosuna getirmek için bir arama işi çalıştırın.
İpucu
Arama işini çalıştırmak için ücretlendirilirsiniz. Bu nedenle, arama işini çalıştırmadan önce sorgunuzu etkileşimli sorgu modunda yazın ve iyileştirin.
Arama işini çalıştırmak için Azure portalında:
Log Analytics çalışma alanı menüsünde Günlükler'i seçin.
Ekranın sağ tarafındaki üç nokta menüsünü seçin ve Arama işi modunu açık konuma getirin.
Azure İzleyici Günlükleri intellisense, arama işi sorgunuzu yazmanıza yardımcı olmak için arama işi modundaki KQL sorgu sınırlamalarını destekler.
Zaman seçiciyi kullanarak arama işi tarih aralığını belirtin.
Arama işi sorgusunu yazın ve İş Ara düğmesini seçin.
Azure İzleyici Günlükleri, sonuç kümesi tablosu için bir ad girmenizi ister ve arama işinin faturalamaya tabi olduğunu size bildirir.
Arama işi sonuç tablosu için bir ad girin ve Arama işini çalıştır'ı seçin.
Azure İzleyici Günlükleri arama işini çalıştırır ve arama işi sonuçlarınız için çalışma alanınızda yeni bir tablo oluşturur.
Yeni tablo hazır olduğunda, Tabloyu Log Analytics'te görüntülemek için tablename_SRCH görüntüle'yi seçin.
Yeni oluşturulan arama işi sonuçları tablosuna akmaya başlarken arama işi sonuçlarını görebilirsiniz.
Azure İzleyici Günlükleri, arama işinin sonunda bir Arama işi tamamlandı iletisini gösterir. Sonuç tablosu artık arama sorgusuyla eşleşen tüm kayıtlarla hazır.
Arama işi durumunu ve ayrıntılarını alma
Arama işi tablosunu silme
Tabloyu sorgulamayı bitirdiğinizde arama işi tablosunu silmenizi öneririz. Bu, çalışma alanı dağınıklığı ve veri saklama için ek ücretleri azaltır.
Sınırlamalar
Arama işleri aşağıdaki sınırlamalara tabidir:
- Bir kerede bir tabloyu sorgulamak için iyileştirildi.
- Arama tarihi aralığı bir yıla kadardır.
- 24 saatlik zaman aşımına kadar uzun süre çalışan aramaları destekler.
- Sonuçlar, kayıt kümesindeki bir milyon kayıtla sınırlıdır.
- Eşzamanlı yürütme, çalışma alanı başına beş arama işiyle sınırlıdır.
- Çalışma alanı başına 100 arama sonuçları tablosuyla sınırlıdır.
- Çalışma alanı başına günde 100 arama işi yürütmesi ile sınırlıdır.
Kayıt sınırına ulaştığınızda, Azure işi kısmi başarı durumuyla durdurur ve tabloda yalnızca bu noktaya kadar alınan kayıtlar bulunur.
KQL sorgu sınırlamaları
Arama işleri, belirli bir tablodaki büyük hacimli verileri taramaya yöneliktir. Bu nedenle, arama işi sorguları her zaman bir tablo adıyla başlamalıdır. Dağıtım ve segmentasyon kullanarak zaman uyumsuz yürütmeyi etkinleştirmek için sorgu, işleçler de dahil olmak üzere KQL'nin bir alt kümesini destekler:
Bu işleçler içindeki tüm işlevleri ve ikili işleçleri kullanabilirsiniz.
Fiyatlandırma modeli
Arama işi ücreti aşağıdakileri temel alır:
Arama işi yürütme:
- Analiz planı - Arama işinin taradığını ve uzun süreli saklama süresine sahip olan veri miktarı. Analytics tablolarında etkileşimli saklamada olan verileri taramak için ücret alınmaz.
- Temel veya Yardımcı planlar - Arama işinin hem etkileşimli hem de uzun süreli saklamada taramış olduğu tüm veriler.
Etkileşimli ve uzun süreli saklama hakkında daha fazla bilgi için bkz . Log Analytics çalışma alanında veri saklamayı yönetme.
Arama işi sonuçları - Analiz tablolarının veri alma oranına bağlı olarak, arama işinin bulduğu ve sonuçlar tablosuna alınan veri miktarı.
Örneğin, Temel tablodaki bir arama 30 güne yayılmışsa ve tablo günde 500 GB veri barındırıyorsa, taranan 15.000 GB veri için ücretlendirilirsiniz. Arama işi 1.000 kayıt döndürürse, bu 1.000 kaydı sonuçlar tablosuna almak için ücretlendirilirsiniz.
Daha fazla bilgi için bkz . Azure İzleyici fiyatlandırması.