تشغيل مهام البحث في Azure Monitor

مقالة
09/29/2024

مهمة البحث هي استعلام غير متزامن تقوم بتشغيله على أي بيانات في Log Analytics - في كل من الاستبقاء التفاعلي والطويل الأجل - الذي يجعل نتائج الاستعلام متاحة للاستعلامات التفاعلية في جدول بحث جديد داخل مساحة العمل الخاصة بك. تستخدم مهمة البحث معالجة متوازية ويمكن تشغيلها لساعات عبر مجموعات البيانات الكبيرة. توضح هذه المقالة كيفية إنشاء مهمة بحث وكيفية الاستعلام عن بياناتها الناتجة.

يشرح هذا الفيديو وقت وكيفية استخدام مهام البحث:

الأذونات المطلوبة

الإجراء	الأذونات المطلوبة
تشغيل مهمة بحث	`Microsoft.OperationalInsights/workspaces/tables/write` وأذونات `Microsoft.OperationalInsights/workspaces/searchJobs/write` لمساحة عمل Log Analytics، على سبيل المثال، كما هو منصوص عليه في الدور المضمن ل Log Analytics Contributor.

إشعار

مهام البحث عبر المستأجرين غير مدعومة حاليا، حتى عندما تتم إدارة مستأجري معرف إنترا من خلال Azure Lighthouse.

متى تستخدم مهام البحث

استخدم مهام البحث من أجل:

استرداد السجلات من الاستبقاء طويل المدى والجداول باستخدام الخطط الأساسية والإضافية في جدول تحليلات جديد حيث يمكنك الاستفادة من قدرات التحليلات الكاملة لسجل مراقبة Azure.
المسح الضوئي عبر كميات كبيرة من البيانات، إذا لم تكن مهلة استعلام السجل التي تبلغ 10 دقائق كافية.

ماذا تفعل مهمة البحث؟

ترسل مهمة البحث نتائجها إلى جدول جديد في نفس مساحة العمل مثل البيانات المصدر. يتوفر جدول النتائج بمجرد بدء مهمة البحث، ولكن قد يستغرق ظهور النتائج وقتًا.

جدول نتائج مهمة البحث هو جدول تحليلات متوفر للاستعلامات السجل وميزات Azure Monitor الأخرى التي تستخدم الجداول في مساحة العمل. يستخدم الجدول مجموعة قيمة الاستبقاء لمساحة العمل، ولكن يمكنك تعديل هذه القيمة بعد إنشاء الجدول.

يستند مخطط جدول نتائج البحث إلى مخطط الجدول المصدر والاستعلام المحدد. تساعدك الأعمدة الأخرى التالية في تعقب السجلات المصدر:

العمود	القيمة‬
_OriginalType	اكتب قيمة من الجدول المصدر.
_OriginalItemId	_ItemID قيمة من الجدول المصدر.
_OriginalTimeGenerated	قيمة TimeGenerated من الجدول المصدر.
TimeGenerated	الوقت الذي تم فيه تشغيل مهمة البحث.

تظهر الاستعلامات في جدول النتائج في تدقيق استعلام السجل ولكن ليس مهمة البحث الأولية.

تشغيل مهمة بحث

قم بتشغيل مهمة بحث لجلب السجلات من مجموعات البيانات الكبيرة إلى جدول نتائج بحث جديد في مساحة العمل الخاصة بك.

تلميح

تتحمل رسوما لتشغيل مهمة بحث. لذلك، اكتب الاستعلام وقم بتحسينه في وضع الاستعلام التفاعلي قبل تشغيل مهمة البحث.

لتشغيل مهمة بحث، في مدخل Microsoft Azure:

من قائمة مساحة عمل Log Analytics، حدد Logs.
حدد قائمة علامة الحذف على الجانب الأيمن من الشاشة وقم بتبديل وضع وظيفة البحث.

يدعم Intellisense سجلات Azure Monitor قيود استعلام KQL في وضع مهمة البحث لمساعدتك في كتابة استعلام مهمة البحث.
حدد نطاق تاريخ مهمة البحث باستخدام منتقي الوقت.
اكتب استعلام مهمة البحث وحدد الزر Search Job .

تطالبك سجلات Azure Monitor بتوفير اسم لجدول مجموعة النتائج وإعلامك بأن مهمة البحث تخضع للفوترة.
أدخل اسما لجدول نتائج مهمة البحث وحدد تشغيل مهمة بحث.

تقوم سجلات Azure Monitor بتشغيل مهمة البحث وإنشاء جدول جديد في مساحة العمل الخاصة بك لنتائج مهمة البحث.
عندما يكون الجدول الجديد جاهزا، حدد View tablename_SRCH لعرض الجدول في Log Analytics.

يمكنك مشاهدة نتائج مهمة البحث عند بدء تدفقها إلى جدول نتائج مهمة البحث الذي تم إنشاؤه حديثا.

تظهر سجلات Azure Monitor رسالة تم تنفيذ مهمة البحث في نهاية مهمة البحث. جدول النتائج جاهز الآن مع جميع السجلات التي تطابق استعلام البحث.

لتشغيل مهمة بحث، اتصل واجهة برمجة التطبيقات Tables - Create أو Update. يتضمن الاستدعاء اسم جدول النتائج الذي سيتم إنشاؤه. يجب أن ينتهي اسم جدول النتائج بـ _SRCH.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/<TableName>_SRCH?api-version=2021-12-01-preview

نص الطلب

قم بتضمين القيم التالية في نص الطلب:

Name	كتابة	‏‏الوصف
properties.searchResults.query	سلسلة	سجل الاستعلام المكتوب في KQL لاسترداد البيانات.
properties.searchResults.limit	integer	الحد الأقصى لعدد السجلات في مجموعة النتائج، ما يصل إلى مليون سجل. (اختياري)
properties.searchResults.startSearchTime	سلسلة	بداية النطاق الزمني للبحث.
properties.searchResults.endSearchTime	سلسلة	نهاية النطاق الزمني للبحث.

نموذج الطلب

ينشئ هذا المثال جدولاً يسمى Syslog_suspected_SRCH مع نتائج استعلام يبحث عن سجلات معينة في جدول Syslog.

Request

PUT https://management.azure.com/subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/Syslog_suspected_SRCH?api-version=2021-12-01-preview

نص الطلب

{
    "properties": { 
        "searchResults": {
                "query": "Syslog | where * has 'suspected.exe'",
                "limit": 1000,
                "startSearchTime": "2020-01-01T00:00:00Z",
                "endSearchTime": "2020-01-31T00:00:00Z"
            }
    }
}

Response

حالة التعليمة البرمجية: 202 مقبول.

لتشغيل مهمة بحث، قم بتشغيل الأمر az monitor log-analytics workspace table search-job create. يجب أن ينتهي اسم جدول النتائج، الذي قمت بتعيينه باستخدام المعلمة --name، بـ _SRCH.

مثال

az monitor log-analytics workspace table search-job create --subscription ContosoSID --resource-group ContosoRG  --workspace-name ContosoWorkspace --name HeartbeatByIp_SRCH --search-query 'Heartbeat | where ComputerIP has "00.000.00.000"' --limit 1500 --start-search-time "2022-01-01T00:00:00.000Z" --end-search-time "2022-01-08T00:00:00.000Z" --no-wait

لتشغيل مهمة بحث، قم بتشغيل الأمر New-AzOperationalInsightsSearchTable . يجب أن ينتهي اسم جدول النتائج، الذي قمت بتعيينه باستخدام المعلمة TableName، بـ _SRCH.

مثال

New-AzOperationalInsightsSearchTable -ResourceGroupName ContosoRG -WorkspaceName ContosoWorkspace -TableName HeartbeatByIp_SRCH -SearchQuery "Heartbeat" -StartSearchTime "01-01-2022 00:00:00" -EndSearchTime "01-01-2022 00:00:00"

الحصول على حالة مهمة البحث وتفاصيلها

من قائمة مساحة عمل Log Analytics، حدد Logs.
من علامة التبويب جداول، حدد نتائج البحث لعرض كافة جداول نتائج مهمة البحث.

تعرض الأيقونة الموجودة في جدول نتائج مهمة البحث إشارة تحديث حتى اكتمال مهمة البحث.

استدعاء واجهة برمجة التطبيقات Tables - Get للحصول على حالة وتفاصيل مهمة البحث:

GET https://management.azure.com/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/tables/<TableName>_SRCH?api-version=2021-12-01-preview

حالة الجدول

يحتوي كل جدول مهمة بحث على خاصية تسمى provisioningState، والتي يمكن أن تحتوي على إحدى القيم التالية:

‏الحالة	‏‏الوصف
Updating	تعبئة الجدول ومخططه.
قيد التقدم	مهمة البحث قيد التشغيل، وجلب البيانات.
نجح	اكتملت مهمة البحث.
الحذف	حذف جدول مهمة البحث.

نموذج الطلب

يسترد هذا المثال حالة الجدول لمهمة البحث في المثال السابق.

Request

GET https://management.azure.com/subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/Syslog_SRCH?api-version=2021-12-01-preview

Response

{
        "properties": {
        "retentionInDays": 30,
        "totalRetentionInDays": 30,
        "archiveRetentionInDays": 0,
        "plan": "Analytics",
        "lastPlanModifiedDate": "Mon, 01 Nov 2021 16:38:01 GMT",
        "schema": {
            "name": "Syslog_SRCH",
            "tableType": "SearchResults",
            "description": "This table was created using a Search Job with the following query: 'Syslog | where * has 'suspected.exe'.'",
            "columns": [...],
            "standardColumns": [...],
            "solutions": [
                "LogManagement"
            ],
            "searchResults": {
                "query": "Syslog | where * has 'suspected.exe'",
                "limit": 1000,
                "startSearchTime": "Wed, 01 Jan 2020 00:00:00 GMT",
                "endSearchTime": "Fri, 31 Jan 2020 00:00:00 GMT",
                "sourceTable": "Syslog"
            }
        },
        "provisioningState": "Succeeded"
    },
    "id": "subscriptions/00000000-0000-0000-0000-00000000000/resourcegroups/testRG/providers/Microsoft.OperationalInsights/workspaces/testWS/tables/Syslog_SRCH",
    "name": "Syslog_SRCH"
}

للتحقق من حالة جدول وظيفة البحث وتفاصيله، قم بتشغيل الأمر az monitor log-analytics workspace table show.

مثال

az monitor log-analytics workspace table show --subscription ContosoSID --resource-group ContosoRG --workspace-name ContosoWorkspace --name HeartbeatByIp_SRCH --output table \

للتحقق من حالة جدول مهمة البحث وتفاصيله، قم بتشغيل الأمر Get-AzOperationalInsightsTable .

مثال

Get-AzOperationalInsightsTable -ResourceGroupName "ContosoRG" -WorkspaceName "ContosoWorkspace" -tableName "HeartbeatByIp_SRCH"

إشعار

عندما لا يتم توفير "-TableName"، سيقوم الأمر بدلا من ذلك بإدراج كافة الجداول المقترنة بمساحة عمل.

حذف جدول مهمة بحث

نوصي بحذف جدول مهمة البحث عند الانتهاء من الاستعلام عن الجدول. وهذا يقلل من الفوضى في مساحة العمل والرسوم الإضافية للاحتفاظ بالبيانات.

القيود

تخضع مهام البحث للقيود التالية:

محسن للاستعلام عن جدول واحد في كل مرة.
نطاق تاريخ البحث يصل إلى سنة واحدة.
يدعم عمليات البحث طويلة الأمد حتى مهلة 24 ساعة.
تقتصر النتائج على مليون سجل في مجموعة السجلات.
يقتصر التنفيذ المتزامن على خمس مهام بحث لكل مساحة عمل.
يقتصر على 100 جدول نتائج بحث لكل مساحة عمل.
يقتصر على 100 عملية تنفيذ مهمة بحث يومياً لكل مساحة عمل.

عند الوصول إلى حد السجلات، يقوم Azure بإجهاض المهمة بحالة نجاح جزئي، ويحتوي الجدول على السجلات التي تم استيعابها حتى تلك النقطة فقط.

قيود استعلام KQL

تهدف مهام البحث إلى مسح كميات كبيرة من البيانات في جدول معين. لذلك، يجب أن تبدأ استعلامات مهمة البحث دائما باسم جدول. لتمكين التنفيذ غير المتزامن باستخدام التوزيع والتجزئة، يدعم الاستعلام مجموعة فرعية من KQL، بما في ذلك عوامل التشغيل:

يمكنك استخدام جميع الوظائف والعوامل الثنائية داخل هذه العوامل.

نموذج الأسعار

تستند رسوم مهمة البحث إلى:

تنفيذ مهمة البحث:
- خطة التحليلات - كمية البيانات التي تفحصها مهمة البحث التي يتم استبقاءها على المدى الطويل. لا توجد رسوم مقابل مسح البيانات الموجودة في الاحتفاظ التفاعلي في جداول التحليلات.
- الخطط الأساسية أو المساعدة - جميع البيانات التي تقوم مهمة البحث بفحصها في كل من الاستبقاء التفاعلي وطويل الأجل.
  
  يتم تعريف البيانات الممسوحة ضوئيا على أنها حجم البيانات التي تم استيعابها ضمن النطاق الزمني المحدد بواسطة الاستعلام للجدول الذي يتم الاستعلام عنها. لمزيد من المعلومات حول الاستبقاء التفاعلي وطويل الأجل، راجع إدارة استبقاء البيانات في مساحة عمل Log Analytics.
نتائج مهمة البحث - كمية البيانات التي تعثر عليها مهمة البحث ويتم استيعابها في جدول النتائج، استنادا إلى معدل استيعاب البيانات لجداول التحليلات.

على سبيل المثال، إذا كان البحث في جدول أساسي يمتد 30 يوما وكان الجدول يحتوي على 500 غيغابايت من البيانات يوميا، فستتم محاسبتك على 15000 غيغابايت من البيانات الممسوحة ضوئيا. إذا كانت مهمة البحث ترجع 1000 سجل، فستتم محاسبتك على استيعاب هذه السجلات البالغ عددها 1000 سجل في جدول النتائج.

لمزيد من المعلومات، راجعAzure Monitor pricing.

مشاركة عبر

تشغيل مهام البحث في Azure Monitor

الأذونات المطلوبة

متى تستخدم مهام البحث

ماذا تفعل مهمة البحث؟

تشغيل مهمة بحث

الحصول على حالة مهمة البحث وتفاصيلها

حذف جدول مهمة بحث

القيود

قيود استعلام KQL

نموذج الأسعار

الخطوات التالية

الملاحظات

الموارد الإضافية