Exécuter des travaux de recherche dans Azure Monitor

Les tâches de recherche sont des requêtes asynchrones qui extraient des enregistrements dans une nouvelle table de recherche dans votre espace de travail pour une analyse plus poussée. La tâche de recherche utilise le traitement parallèle et peut s’exécuter pendant des heures sur des jeux de données volumineux. Cet article explique comment créer une tâche de recherche et comment interroger ses données résultantes.

Notes

La fonctionnalité relative aux travaux de recherche n’est pas prise en charge pour les espaces de travail ayant des clés gérées par le client.

Autorisations

Pour exécuter une tâche de recherche, vous avez besoin d’autorisations Microsoft.OperationalInsights/workspaces/tables/write et Microsoft.OperationalInsights/workspaces/searchJobs/write sur l’espace de travail Log Analytics, par exemple, comme fourni par le rôle intégré Contributeur Log Analytics.

Quand utiliser les tâches de recherche

Utilisez un travail de recherche quand le délai d’expiration de requête de journal de 10 minutes n’est pas suffisant pour effectuer une recherche dans de grands volumes de données, ou si vous exécutez une requête lente.

Les tâches de recherche vous permettent également de récupérer des enregistrements à partir de journaux archivés et de tables de journaux de base dans une nouvelle table de journal que vous pouvez utiliser pour les requêtes. De cette façon, l’exécution d’une tâche de recherche peut être une alternative à ce qui suit :

  • Restauration de données à partir de journaux archivés pour une période spécifique.
    Utilisez restore lorsque vous avez un besoin temporaire d’exécuter de nombreuses requêtes sur un volume important de données.

  • Interrogation directe des journaux de base et paiement pour chaque requête.
    Pour déterminer quelle est la solution de remplacement la plus rentable, comparez le coût de l’interrogation des journaux d’activité basiques au coût de l’exécution d’un travail de recherche et au coût du stockage des résultats correspondants.

Qu’est-ce qu’une tâche de recherche ?

Une tâche de recherche envoie ses résultats à une nouvelle table dans le même espace de travail que les données sources. La table de résultats est disponible dès le début de la tâche de recherche, mais l’affichage des résultats peut prendre du temps.

La table des résultats du travail de recherche est une table Analytics disponible pour les requêtes de journal et les autres fonctionnalités Azure Monitor qui utilisent des tables dans un espace de travail. La table utilise la valeur de rétention définie pour l’espace de travail, mais vous pouvez modifier cette valeur une fois la table créée.

Le schéma de la table des résultats de la recherche est basé sur le schéma de la table source et la requête spécifiée. Les autres colonnes suivantes vous permettent d’effectuer le suivi des enregistrements sources :

Colonne Valeur
_OriginalType Valeur Type dans la table source.
_OriginalItemId Valeur _ItemID dans la table source.
_OriginalTimeGenerated Valeur TimeGenerated dans la table source.
TimeGenerated Heure à laquelle le travail de recherche a été exécuté.

Les requêtes sur la table de résultats s’affichent dans l’audit de requête de journal, mais pas dans la tâche de recherche initiale.

Exécuter une tâche de recherche

Exécutez un travail de recherche pour extraire les enregistrements de jeux de données volumineux dans une nouvelle table des résultats de la recherche au sein de votre espace de travail.

Conseil

Des frais vous sont facturés pour l’exécution d’un travail de recherche. Vous devez donc écrire et optimiser votre requête en mode de requête interactive avant d’exécuter le travail de recherche.

Pour exécuter un travail de recherche dans le portail Azure :

  1. Dans le menu Espace de travail Log Analytics, sélectionnez Journaux.

  2. Sélectionnez le menu représenté par des points de suspension sur le côté droit de l’écran, puis activez l’option Mode de travail de recherche.

    Screenshot of the Logs screen with the Search job mode switch highlighted.

    IntelliSense pour la fonctionnalité Journaux Azure Monitor prend en charge les limitations de requête KQL en mode de travail de recherche pour vous aider à écrire votre requête de travail de recherche.

  3. Spécifiez la plage de dates du travail de recherche à l’aide du sélecteur correspondant.

  4. Tapez la requête du travail de recherche, puis sélectionnez le bouton Travail de recherche.

    La fonctionnalité Journaux Azure Monitor vous invite à fournir un nom pour la table du jeu de résultats, et vous informe que le travail de recherche est facturé.

    Screenshot that shows the Azure Monitor Logs prompt to provide a name for the search job results table.

  5. Entrez un nom pour la table des résultats du travail de recherche, puis sélectionnez Exécuter un travail de recherche.

    La fonctionnalité Journaux Azure Monitor exécute le travail de recherche, et crée une table dans votre espace de travail pour les résultats de votre travail de recherche.

    Screenshot that shows an Azure Monitor Logs message that the search job is running and the search job results table will be available shortly.

  6. Quand la nouvelle table est prête, sélectionnez Afficher tablename_SRCH pour voir la table dans Log Analytics.

    Screenshot that shows an Azure Monitor Logs message that the search job results table is available to view.

    Vous pouvez voir les résultats du travail de recherche au fur et à mesure de leur arrivée dans la table des résultats du travail de recherche qui vient d’être créée.

    Screenshot that shows search job results table with data.

    La fonctionnalité Journaux Azure Monitor affiche un message indiquant que le travail de recherche est terminé à la fin de l’opération. La table des résultats est désormais prête avec tous les enregistrements qui correspondent à la requête de recherche.

    Screenshot that shows an Azure Monitor Logs message that the search job is done.

Afficher l’état et les détails de la tâche de recherche

  1. Dans le menu Espace de travail Log Analytics, sélectionnez Journaux.

  2. Sous l’onglet Tables, sélectionnez Résultats de la recherche pour voir toutes les tables des résultats des travaux de recherche.

    L’icône dans la table des résultats du travail de recherche affiche une indication de mise à jour jusqu’à ce que le travail de recherche soit effectué.

    Screenshot that shows the Tables tab on Logs screen in the Azure portal with the search results tables listed under Search results.

Supprimer la table de travaux de recherche

Nous vous recommandons de supprimer la table de travaux de recherche lorsque vous avez terminé de l’interroger. Cela réduit l’encombrement de l’espace de travail et les frais supplémentaires pour la conservation des données.

Limites

Les tâches de recherche sont soumises aux limitations suivantes :

  • Optimisé pour interroger une table à la fois.
  • La plage de dates de recherche est d’un an.
  • Prend en charge les recherches de longue durée jusqu’à un délai d’expiration de 24 heures.
  • Les résultats sont limités à 1 million d’enregistrements dans le jeu d’enregistrements.
  • L’exécution simultanée est limitée à cinq tâches de recherche par espace de travail.
  • Limité à 100 tables de résultats de recherche par espace de travail.
  • Limité à 100 exécutions de tâches de recherche par jour et par espace de travail.

Lorsque vous atteignez la limite d’enregistrements, Azure abandonne le travail dont l’état est partial success (réussite partielle), et la table contient uniquement les enregistrements ingérés jusqu’à ce point.

Limitations des requêtes KQL

Les travaux de recherche sont destinés à analyser de grands volumes de données dans une table spécifique. Les requêtes de travail de recherche doivent donc toujours commencer par un nom de table. Pour activer l’exécution asynchrone à l’aide de la distribution et de la segmentation, la requête prend en charge un sous-ensemble de KQL, notamment les opérateurs :

Vous pouvez utiliser toutes les fonctions et les opérateurs binaires au sein de ces opérateurs.

Modèle de tarification

Les frais d’une tâche de recherche sont basés sur les éléments suivants :

  • Exécution du travail de recherche : quantité de données que le travail de recherche analyse.
  • Résultats du travail de recherche : quantité de données que le travail de recherche trouve et ingère dans la table des résultats, en fonction des tarifs d’ingestion des données de journal standard.

Par exemple, si votre table contient 500 Go par jour, pour une recherche sur 30 jours, vous êtes facturé sur la base de 15 000 Go de données analysées. Si le travail de recherche trouve 1 000 enregistrements correspondant à la requête de recherche, vous êtes facturé pour l’ingestion de ces 1 000 enregistrements dans la table des résultats.

Pour plus d’informations, consultez Tarification Azure Monitor.

Étapes suivantes