Azure Izleyici 'de işleri ara (Önizleme)

Arama işleri, daha fazla analiz için çalışma alanınızdaki yeni bir arama tablosuna kayıtları getiren zaman uyumsuz sorgulardır. Arama işi paralel işleme kullanır ve çok büyük veri kümelerinde saat boyunca çalıştırılabilir. Bu makalede, bir arama işinin nasıl oluşturulduğu ve elde edilen verilerin nasıl sorgulanmakta olduğu açıklanır.

Arama işlerinin ne zaman kullanılacağı

10 dakikalık günlük sorgusu zaman aşımı, büyük miktarlarda veri aramak için yeterli zaman olmadığında veya yavaş bir sorgu çalıştırırken bir arama işi kullanın.

Ayrıca, arama işleri arşivlenmiş günlüklere ve temel günlük tablolarına ait kayıtları, sorgular için kullanabileceğiniz yeni bir günlük tablosuna almanızı sağlar. Bu şekilde, bir arama işi çalıştırmak için bir alternatif olabilir:

  • Belirli bir zaman aralığı için arşivlenen günlüklerden verileri geri yükleme .
    Büyük hacimde çok sayıda sorgu çalıştırmak için geçici bir gereksiniminiz varsa restore 'ı kullanın.

  • Temel günlükleri doğrudan sorgulama ve her sorgu için ödeme yapma.
    Hangisinin daha uygun maliyetli olduğuna karar vermek için, temel günlükleri sorgulama maliyetini bir arama işi gerçekleştirme ve elde edilen verileri gereksinimlerinize göre depolama maliyetiyle karşılaştırın.

Bir arama işi ne yapar?

Bir arama işi, sonuçlarını kaynak verilerle aynı çalışma alanında bulunan yeni bir tabloya gönderir. Sonuçlar tablosu, arama işi başladıktan hemen sonra kullanılabilir, ancak sonuçların görünemesinin başlaması zaman alabilir.

Arama işi sonuçları tablosu, bir çalışma alanındaki tabloları kullanan günlük sorguları ve diğer Azure Izleyici özellikleri için kullanılabilen bir Log Analytics tablosudur. Tablo, çalışma alanı için ayarlanan saklama değerini kullanır, ancak bu değeri tablo oluşturulduktan sonra değiştirebilirsiniz.

Arama sonuçları tablosu şeması, kaynak tablo şemasını ve belirtilen sorguyu temel alır. Aşağıdaki ek sütunlar, kaynak kayıtlarını izlemenize yardımcı olur:

Sütun Değer
_OriginalType Kaynak tablodan değer yazın .
_OriginalItemId Kaynak tablodan değer _ItemID .
_OriginalTimeGenerated Kaynak tablodan TimeGenerated değeri.
TimeGenerated Asıl tablodan, arama işinin kaydı aldığı zaman.

Sonuçlar tablosundaki sorgular, günlük sorgusu denetiminde görüntülenir, ancak ilk arama işi görüntülenmez.

Arama işi oluşturma

Bir arama işi çalıştırmak için, tabloları çağırın -Create veya Update API. Çağrı, oluşturulacak sonuç tablosunun adını içerir. Sonuç tablosunun adı _SRCHile bitmelidir.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/<TableName>_SRCH?api-version=2021-12-01-preview

İstek gövdesi

İsteğin gövdesine aşağıdaki değerleri ekleyin:

Ad Tür Description
Properties. searchResults. Query string Verileri almak için KQL 'de yazılan günlük sorgusu.
Properties. searchResults. limit tamsayı 1.000.000 kayda kadar sonuç kümesindeki en fazla kayıt sayısı. (İsteğe bağlı)
Properties. searchResults. startSearchTime string Arama için zaman aralığının başlangıcı.
Properties. searchResults. endSearchTime string Arama için zaman aralığının sonu.

Örnek istek

Bu örnek, Syslog tablosundaki belirli kayıtları arayan sorgunun sonuçlarıyla birlikte Syslog_suspected_SRCH adlı bir tablo oluşturur.

İstek

PUT https://management.azure.com/subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/Syslog_suspected_SRCH?api-version=2021-12-01-preview

İstek gövdesi

{
    "properties": { 
        "searchResults": {
                "query": "Syslog | where * has 'suspected.exe'",
                "limit": 1000,
                "startSearchTime": "2020-01-01T00:00:00Z",
                "endSearchTime": "2020-01-31T00:00:00Z"
            }
    }
}

Response

Durum kodu: 202 kabul edildi.

Arama işi durumunu ve ayrıntılarını al

Tabloları çağırma - bir arama işinin durumunu ve ayrıntılarını almak Için API al:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/<TableName>_SRCH?api-version=2021-12-01-preview

Tablo durumu

Her arama işi tablosu, aşağıdaki değerlerden birine sahip olabilecek Provisioningstateadlı bir özelliğe sahiptir:

Durum Açıklama
Güncelleştirme Tablo ve şeması dolduruluyor.
Ediyor Arama işi çalışıyor, veri getiriliyor.
Başarılı Arama işi tamamlandı.
Siliniyor Arama işi tablosu siliniyor.

Örnek istek

Bu örnek, önceki örnekteki arama işinin tablo durumunu alır.

İstek

GET https://management.azure.com/subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/Syslog_SRCH?api-version=2021-12-01-preview

Response

{
        "properties": {
        "retentionInDays": 30,
        "totalRetentionInDays": 30,
        "archiveRetentionInDays": 0,
        "plan": "Analytics",
        "lastPlanModifiedDate": "Mon, 01 Nov 2021 16:38:01 GMT",
        "schema": {
            "name": "Syslog_SRCH",
            "tableType": "SearchResults",
            "description": "This table was created using a Search Job with the following query: 'Syslog | where * has 'suspected.exe'.'",
            "columns": [...],
            "standardColumns": [...],
            "solutions": [
                "LogManagement"
            ],
            "searchResults": {
                "query": "Syslog | where * has 'suspected.exe'",
                "limit": 1000,
                "startSearchTime": "Wed, 01 Jan 2020 00:00:00 GMT",
                "endSearchTime": "Fri, 31 Jan 2020 00:00:00 GMT",
                "sourceTable": "Syslog"
            }
        },
        "provisioningState": "Succeeded"
    },
    "id": "subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/Syslog_SRCH",
    "name": "Syslog_SRCH"
}

Arama işi tablosunu Sil

Tabloyu sorgulamayı bitirdiğinizde arama işi tablosunun silinmesini öneririz. Bu, çalışma alanı dağınıklığını ve veri saklama için ek ücretleri azaltır.

Bir tabloyu silmek için Tablolar-silme API 'sini çağırın:

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/<TableName>_SRCH?api-version=2021-12-01-preview

Sınırlamalar

Arama işleri aşağıdaki sınırlamalara tabidir:

  • Tek seferde bir tabloyu sorgulamak için iyileştirilmiştir.
  • Arama tarih aralığı bir yıla kadar.
  • 24 saatlik bir zaman aşımı ile uzun süredir çalışan aramaları destekler.
  • Sonuçlar, kayıt kümesinde bir milyon kayıtla sınırlıdır.
  • Eşzamanlı yürütme, çalışma alanı başına beş arama işiyle sınırlıdır.
  • Çalışma alanı başına 100 arama sonucu tablosuyla sınırlıdır.
  • Çalışma alanı başına günde 100 arama işi yürütmesi ile sınırlıdır.

Kayıt sınırına ulaştığınız zaman, Azure işi kısmi başarı durumuyla iptal eder ve tabloda yalnızca o noktaya kadar olan kayıtlar yer alır.

KQL sorgu sınırlamaları

Bir arama işteki günlük sorguları, çok büyük veri kümelerini taramak için tasarlanmıştır. Dağıtım ve segmentlereasyonu desteklemek için sorgular işleçler de dahil olmak üzere KQL'nin bir alt kümesini kullanır:

Bu işleçler içindeki tüm işlevleri ve ikili işleçleri kullanabilirsiniz.

Fiyatlandırma modeli

Arama işinin ücreti şu şekildedir:

  • Arama işinin taraması için gereken veri miktarı.
  • Sonuçlar tablosundan alan veri miktarı.

Örneğin, tablonuz günde 500 GB tutarsa, üç gündeki bir sorgu için 1500 GB taranmış veri için ücret alırsınız. İş 1000 kayıt döndürürse, bu 1000 kaydı sonuçlar tablosuna almak için ücret alırsınız.

Not

Genel önizleme sırasında arama işleri için herhangi bir ücret yoktur. Yalnızca sonuç kümesi alımı için ücret tahsil edileceksiniz.

Daha fazla bilgi için bkz . Azure İzleyici bakın.

Sonraki adımlar