你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
KQL 作业是针对 Data Lake 层中的数据运行 KQL(Kusto 查询语言)查询的一次性或计划任务,用于将结果提升到分析层。 可以在 KQL 查询编辑器中创建作业,也可以在 Microsoft Defender 门户中的Microsoft Sentinel>下的“作业”页中创建。 有关详细信息,请参阅 KQL 作业。
“作业管理”页提供以下功能:
- 查看 Microsoft Sentinel 数据湖中的所有作业。 可以查看在 KQL 查询编辑器中创建的作业或为笔记本创建的作业。
- 查看 KQL 和笔记本作业的摘要。
- 查看所有作业的详细信息并应用筛选器以缩小列表范围。
- 查看近期的作业健康问题。
- 创建新作业以运行 KQL 查询。 有关创建作业的详细信息,请参阅 使用 KQL 在 Microsoft Sentinel data lake 中创建作业。
- 编辑作业详细信息。 你可以从作业页查看笔记本作业,但无法编辑笔记本作业。 有关编辑笔记本作业的详细信息,请参阅 笔记本文档。
- 禁用作业,防止其运行,直到再次启用它。
- 启用作业,使其在禁用后再次运行。
- 查看作业历史记录,包括运行时间和作业的状态。
- 删除作业,将其从作业列表中删除。 此操作是永久性的,无法撤销。
权限
Microsoft Entra ID 角色提供跨数据湖中所有工作区的广泛访问权限。 若要跨所有工作区读取表、写入分析层级并使用 KQL 查询来计划作业,必须具有受支持的 Microsoft Entra ID 角色之一。 有关角色和权限的详细信息,请参阅 Microsoft Sentinel data lake 角色和权限。
管理作业
“作业”页显示作业列表,包括作业名称、状态、作业类型、上次和下一个运行日期以及最近的作业运行状况。 可以按状态、上次运行日期和创建日期筛选作业。
作业状态 列显示作业是启用状态还是禁用状态。
作业类型列指示作业是 KQL 查询作业还是笔记本作业。
“近期运行状况问题”列会根据筛选器,显示作业是否在近期运行中遇到任何问题。 选择链接,查看作业的运行状况详细信息。
若要从作业页创建作业,请选择“ 创建新的 KQL 作业”。 有关创建作业的详细信息,请参阅 使用 KQL 在 Microsoft Sentinel data lake 中创建作业。
作业详细信息
若要查看作业的详细信息,请从表中选择作业。
此时会打开作业详细信息面板,其中显示了作业的详细信息。 可以启用和禁用作业、查看其历史记录、编辑或删除作业。
选择 “目标表 ”链接以在“高级搜寻”中的 KQL 查询编辑器中打开该表。
可以通过选择 “复制”查询来复制查询。
编辑作业
若要编辑作业,请在作业详细信息面板中选择 “编辑 ”。 此时将打开作业详细信息面板,允许编辑以下字段:
- 作业说明。
- KQL 查询。 可以更新查询,但必须返回与原始查询相同的输出架构。 例如,可以更改查询中的时间范围,但不能更改查询返回的列。
- 作业计划。 可以更改作业以运行一次或按计划运行,或者更改计划。
选择 “下一步 ”以继续下一个屏幕。
编辑作业后,选择“ 提交 ”以保存更改。 作业会根据新的计划或查询进行更新并运行。
注释
编辑单次任务会立即触发其执行。
查看作业的运行历史记录
若要查看作业的历史记录,请在作业详细信息面板中选择“ 查看历史记录 ”。 此时将打开作业历史记录面板,其中显示了作业运行时间和状态的列表。 行计数反映发送到分析层中目标表的行数。
启用或禁用作业
若要启用或禁用作业,请在作业详细信息面板中选择“启用或禁用”。 禁用任务后,任务将不会运行,直至您重新启用它。 作业的状态会更改,以反映其是已启用还是已禁用。
删除作业
若要删除作业,请在作业详细信息面板中选择“ 删除 ”。 此时会显示一个确认对话框,要求你确认删除。 如果确认,作业将被永久删除,无法恢复。 无法删除正在运行的作业。
注意事项和限制
有关在 Microsoft Sentinel data lake 中管理 KQL 作业时的注意事项和限制的信息,请参阅 KQL 作业。