Ausführen von Suchaufträgen in Azure Monitor
Ein Suchauftrag ist eine asynchrone Abfrage, die Sie sowohl bei interaktiver Aufbewahrung als auch bei Langzeitaufbewahrung für alle Daten in Ihrer Log Analytics-Instanz ausführen und die die Abfrageergebnisse für interaktive Abfragen in einer neuen Suchtabelle innerhalb Ihres Arbeitsbereichs verfügbar macht. Der Suchauftrag arbeitet mit Parallelverarbeitung und kann für große Datasets über Stunden ausgeführt werden. In diesem Artikel wird beschrieben, wie Sie einen Suchauftrag erstellen und die resultierenden Daten abfragen.
In diesem Video wird erläutert, wann und wie Sie Suchaufträge verwenden:
Erforderliche Berechtigungen
Aktion | Erforderliche Berechtigungen |
---|---|
Ausführen eines Suchauftrags | Die Berechtigungen Microsoft.OperationalInsights/workspaces/tables/write und Microsoft.OperationalInsights/workspaces/searchJobs/write für den Log Analytics-Arbeitsbereich, wie sie beispielsweise von der integrierten Rolle „Log Analytics-Mitwirkender“ bereitgestellt werden |
Hinweis
Mandantenübergreifende Suchaufträge werden derzeit nicht unterstützt, obwohl Entra ID-Mandanten über Azure Lighthouse verwaltet werden.
Verwendung von Suchaufträgen
Verwendung Sie Suchaufträge für Folgendes:
- Rufen Sie Datensätze aus Langzeitaufbewahrung und Tabellen mit den Basic- und Hilfsplänen in einer neuen Analytics-Tabelle ab, in der Sie die vollständigen Analysefunktionen von Azure Monitor-Protokollen nutzen können.
- Scannen Sie große Datenmengen, wenn das Timeout der Protokollabfrage von 10 Minuten nicht ausreicht.
Funktionsweise eines Suchauftrags
Ein Suchauftrag sendet seine Ergebnisse an eine neue Tabelle im gleichen Arbeitsbereich wie die Quelldaten. Die Ergebnistabelle ist verfügbar, sobald der Suchauftrag beginnt, es kann aber einige Zeit dauern, bis Ergebnisse angezeigt werden.
Die Ergebnistabelle des Suchauftrags ist eine Analytics-Tabelle, die für Protokollabfragen und andere Azure Monitor-Features verfügbar ist, die Tabellen in einem Arbeitsbereich verwenden. Die Tabelle verwendet den für den Arbeitsbereich festgelegten Aufbewahrungswert. Sie können diesen Wert jedoch nach der Tabellenerstellung ändern.
Das Tabellenschema für Suchergebnisse basiert auf dem Quelltabellenschema und der angegebenen Abfrage. Mithilfe der folgenden zusätzlichen Spalten können Sie die Quelldatensätze nachverfolgen:
Spalte | Wert |
---|---|
_OriginalType | Type-Wert aus der Quelltabelle. |
_OriginalItemId | _ItemID-Wert aus der Quelltabelle. |
_OriginalTimeGenerated | TimeGenerated-Wert aus der Quelltabelle. |
TimeGenerated | Zeitpunkt, zu dem der Suchauftrag ausgeführt wurde. |
Abfragen für die Ergebnistabelle werden in der Protokollabfrageüberwachung, aber nicht im anfänglichen Suchauftrag angezeigt.
Ausführen eines Suchauftrags
Führen Sie einen Suchauftrag aus, um Datensätze aus großen Datasets in eine neue Suchergebnistabelle in Ihrem Arbeitsbereich abzurufen.
Tipp
Für die Ausführung eines Suchauftrags fallen Gebühren an. Schreiben und optimieren Sie daher Ihre Abfrage im interaktiven Abfragemodus, bevor Sie den Suchauftrag ausführen.
So führen Sie einen Suchauftrag im Azure-Portal aus:
Wählen Sie im Menü Log Analytics-Arbeitsbereich die Option Protokolle aus.
Wählen Sie das Menü mit den Auslassungspunkten auf der rechten Seite des Bildschirms aus, und aktivieren Sie den Suchauftragsmodus.
Azure Monitor Logs Intellisense unterstützt KQL-Abfragebeschränkungen im Suchauftragsmodus, damit Sie Ihre Suchauftragsabfrage schreiben können.
Geben Sie den Datumsbereich für den Suchauftrag mithilfe der Uhrzeitauswahl an.
Geben Sie die Suchauftragsabfrage ein, und wählen Sie die Schaltfläche Suchauftrag aus.
Azure Monitor Logs fordert Sie auf, einen Namen für die Ergebnistabelle bereitzustellen, und informiert Sie darüber, dass der Suchauftrag abrechnungspflichtig ist.
Geben Sie einen Namen für die Suchauftragsergebnistabelle ein, und wählen Sie einen Suchauftrag aus.
Azure Monitor-Protokolle führen den Suchauftrag aus und erstellen eine neue Tabelle in Ihrem Arbeitsbereich für Ihre Suchauftragsergebnisse.
Wenn die neue Tabelle bereit ist, wählen Sie tablename_SRCH anzeigen aus, um die Tabelle in der Protokollanalyse anzuzeigen.
Sie können die Suchergebnisse des Suchauftrags sehen, während sie beginnen, in die neu erstellte Suchergebnistabelle fließen.
Azure Monitor-Protokolle zeigen die Meldung Suchauftrag abgeschlossen am Ende des Suchauftrags. Die Ergebnistabelle ist jetzt bereit mit allen Datensätzen, die der Suchabfrage entsprechen.
Abrufen von Status und Details des Suchauftrags
Wählen Sie im Menü Log Analytics-Arbeitsbereich die Option Protokolle aus.
Wählen Sie auf der Registerkarte „Tabellen“ Suchergebnisse aus, um alle Ergebnistabellen von Suchaufträgen anzuzeigen.
Das Symbol in der Ergebnistabelle des Suchauftrags zeigt eine Aktualisierungsanzeige an, bis der Suchauftrag abgeschlossen ist.
Löschen einer Suchauftragstabelle
Es wird empfohlen, die Suchauftragstabelle zu löschen, nachdem Sie die Tabelle abgefragt haben. Dadurch wird der Arbeitsbereich übersichtlicher, und Sie vermeiden zusätzliche Gebühren für die Datenaufbewahrung.
Einschränkungen
Suchaufträge unterliegen den folgenden Einschränkungen:
- Optimiert zum Abfragen einer Tabelle nach der anderen.
- Der Suchdatumsbereich kann bis zu einem Jahr sein.
- Unterstützt zeitintensive Suchvorgänge mit einem Timeout von bis zu 24 Stunden.
- Die Ergebnisse sind auf eine Million Datensätze im Recordset beschränkt.
- Die gleichzeitige Ausführung ist auf fünf Suchaufträge pro Arbeitsbereich beschränkt.
- Beschränkt auf 100 Suchergebnistabellen pro Arbeitsbereich.
- Beschränkt auf 100 Suchauftragsausführungen pro Tag und Arbeitsbereich.
Wenn Sie das Datensatzlimit erreichen, bricht Azure den Auftrag mit dem Status Teilweise erfolgreich ab, und die Tabelle enthält nur Datensätze, die bis zu diesem Zeitpunkt erfasst wurden.
KQL-Abfrageeinschränkungen
Suchaufträge sollen große Datenmengen in einer bestimmten Tabelle scannen. Daher müssen Suchauftragsabfragen immer mit einem Tabellennamen beginnen. Um eine asynchrone Ausführung mithilfe von Verteilung und Segmentierung zu aktivieren, unterstützt die Abfrage eine Teilmenge von KQL, einschließlich der Operatoren:
Sie können alle Funktionen und binären Operatoren innerhalb dieser Operatoren verwenden.
Preismodell
Die Kosten für den Suchauftrag basieren auf Folgendem:
Ausführung des Suchauftrags:
Analytics-Plan – Die Datenmenge, die der Suchauftrag in der Langzeitaufbewahrung scannt. Für das Scannen von Daten, die sich in der interaktiven Aufbewahrung in Analytics-Tabellen befinden, fallen keine Gebühren an.
Basic- oder Hilfspläne – Alle Daten, die der Suchauftrag in interaktiver Aufbewahrung und Langzeitaufbewahrung scannt.
Die überprüften Daten werden als das Datenvolumen definiert, das in dem von der Abfrage für die abgefragten Tabelle angegebenen Zeitbereichs erfasst wurde. Weitere Informationen zur interaktiven Aufbewahrung und zur Langzeitaufbewahrung finden Sie unter Verwalten der Datenaufbewahrung in einem Log Analytics-Arbeitsbereich.
Suchauftragsergebnisse – Die Menge der Daten, die der Suchauftrag findet und in der Ergebnistabelle erfasst, basierend auf der Datenerfassungsrate für Analytics-Tabellen.
Wenn beispielsweise eine Suche in einer Basic-Tabelle 30 Tage umfasst und die Tabelle 500 GB Daten pro Tag enthält, werden Ihnen 15.000 GB gescannte Daten in Rechnung gestellt. Wenn der Suchauftrag 1.000 Datensätze zurückgibt, wird Ihnen die Erfassung dieser 1.000 Datensätze in der Ergebnistabelle in Rechnung gestellt.
Weitere Informationen finden Sie unter Azure Monitor-Preise.