Vytvoření upozornění aktivátoru z sady dotazů KQL

Tento článek vysvětluje, jak vytvořit výstrahy aktivace prostředků infrastruktury z sady dotazů KQL. Další informace naleznete v tématu Co je aktivátor. Aktivaci v sadě dotazů KQL můžete použít k aktivaci oznámení ve dvou režimech:

• když naplánovaný dotaz KQL vrátí výsledky
• když naplánovaný dotaz KQL vrátí výsledky obsahující vizualizaci, která splňuje definovanou sadu podmínek.

Pošlete oznámení o upozorněních sami sobě nebo ostatním uživatelům ve vaší organizaci. Oznámení se dají posílat e-mailem nebo zprávou Microsoft Teams.

Ukázkové scénáře

Tady je několik způsobů, jak používat upozornění aktivátoru s dotazy KQL:

• Předpokládejme, že máte databázi KQL a ukládáte protokoly aplikací.
  • Obdržíte upozornění, když kterýkoliv záznam z posledních pěti minut obsahuje řetězec ve sloupci zprávy tabulky .
• V jiném scénáři máte streamovaná data pro dostupná kola v různých sousedstvích. Vytvoří se dotaz KQL, který vykreslí výsečový graf pro počet dostupných kol na okolí.
  • Dostanete upozornění, když počet dostupných jízdních kol v jakékoli čtvrti klesne pod přijatelné číslo.

Požadavky

• Pracovní prostor s kapacitou s podporou Microsoft Fabric
• Databáze KQL s daty
• Sada dotazů KQL připojená k databázi KQL. Další informace najdete v tématu Dotazování dat v sadě dotazů KQL.

Důležité

Podporují se pouze dotazy na databáze KQL v rámci eventhouse. Pokud je vaše sada dotazů KQL připojená k externímu clusteru Azure Data Exploreru, vytvoření upozornění se nepodporuje.

Následující kroky ukazují, jak vytvořit upozornění na dotaz, který vytvoří vizualizaci, nebo dotaz, který nevytvoří vizualizaci.

Zvolte kartu odpovídající požadovanému pracovnímu postupu.

S vizualizací

Nastavení upozornění v sadě dotazů KQL

Důležité

Vizualizace časových diagramů nejsou v tomto scénáři podporované. Podporují se v upozorněních create activator z řídicího panelu v reálném čase.

1. Otevřete pracovní prostor, který obsahuje vaši sadu dotazů KQL.

2. Přejděte do sady dotazů KQL a vyberte ji, abyste ji otevřeli.

3. Spusťte dotaz, který vrací vizualizaci.

4. Jakmile dotaz vrátí výsledky, vyberte Nastavit upozornění na horním pásu karet.

   Následující dotaz je například založený na ukázkových datech o kolech z kurzu analýzy v reálném čase.

   TutorialTable
   | where Timestamp < ago(5m)
   | summarize NumberOfBikes=sum(No_Bikes) by Neighbourhood
   | render columnchart
   

   Dotaz vrátí sloupcový graf, který zobrazuje počet kol dostupných v každé čtvrti. Pomocí tohoto grafu můžete nastavit podmínky upozornění.

Definování podmínek upozornění

1. Nastavte frekvenci času pro to, jak často se dotaz spouští. Výchozí hodnota je pět minut.

2. V Podmínkyzadejte podmínky upozornění následujícím způsobem:

   • Pokud vizualizace nemá žádné dimenze, můžete vybrat možnost Při každé události, když podmínka monitoruje změny v datovém streamu, a to výběrem konkrétního pole, které chcete monitorovat.
   • Pokud vizualizace obsahuje dimenze, můžete vybrat možnost Při každé události seskupené podle podmínky a monitorovat změny datového proudu výběrem pole pro seskupení, které rozdělí data do různých skupin.
   • V rozevíracím seznamu Při nastavte hodnotu, která se má vyhodnotit.
   • V rozevíracím seznamu Podmínka nastavte podmínku, která se má vyhodnotit. Další informace naleznete v tématu Podmínky.
   • V poli Hodnota nastavte hodnotu, která se má porovnat.

3. V akci určete, jestli chcete upozornění poslat e-mailem nebo přes Microsoft Teams. V bočním podokně můžete nakonfigurovat oznámení, která se odesílají sami sobě. Pokud chcete posílat oznámení jinému uživateli, přečtěte si článek Volitelné: Úprava pravidla v aktivátoru.

4. V umístění pro uložení určete, kam se má upozornění aktivátoru uložit. Zvolte existující pracovní prostor a uložte ho buď do existujícího aktivátoru, nebo do nového.

5. Výběrem možnosti Vytvořit vytvořte pravidlo aktivátoru.

   

Bez vizualizace

Nastavení upozornění v sadě dotazů KQL

1. Otevřete pracovní prostor, který obsahuje vaši sadu dotazů KQL.
2. Přejděte do sady dotazů KQL a vyberte ji, abyste ji otevřeli.
3. Spusťte dotaz. Aktivátor zkontroluje výsledky tohoto dotazu podle frekvence času nastaveného v pozdějším kroku a odešle výstrahu pro každý záznam vrácený v sadě výsledků. Pokud například naplánovaný dotaz vrátí pět záznamů, aktivátor odešle pět upozornění.
4. Po dokončení dotazu vyberte Nastavit upozornění na horním pásu karet.

Příklad 1 – Jeden výsledek, pokud je počet větší než prahová hodnota

Následující dotaz například vrátí výstrahu, pokud v tabulce za posledních 5 minut existuje více záznamů než prahová hodnota . Poslední dva řádky dotazu jsou klíčem, ve kterém se vytvoří počet záznamů odpovídajících filtrům a výsledek se vrátí pouze v případě, že je počet větší než prahová hodnota.

SampleTable 
| where ingestion_time() > ago (5min)
// Add any other optional filters
| count 
| where Count > threshold

Příklad 2 – Vytvoření jednoho výsledku s polem několika hodnot

V následujícím příkladu dotaz vrátí výstrahu, pokud počet kol v jakékoli čtvrti překročí danou prahovou hodnotu. Aby bylo možné získat jedno upozornění pro všechna okolí, pro které je číslo nad prahovou hodnotou, je dotaz vytvořen tak, aby vrátil jeden záznam (to znamená jedno upozornění). To se provádí pomocí operátoru make_list() k úpravě výstrahy tak, aby obsahovala seznam sousedství, které dosáhly prahové hodnoty, viz Volitelné: Úprava pravidla v aktivátoru.

TableForReflex
| where ingestion_time() > ago (5min)
| summarize NeighborhoodCount = count() by Neighbourhood
| where NeighborhoodCount > threshold
| summarize NeighbourhoodList = make_list(Neighbourhood)

Definování podmínek upozornění

Dále definujte podmínky upozornění. V podokně Nastavit výstrahu , které se zobrazí, proveďte následující kroky:

1. Nastavte frekvenci času pro to, jak často se dotaz spouští. Výchozí hodnota je 5 minut. Jedinou podmínkou dostupnou v tomto scénáři je každá událost, což znamená, že při vrácení jakéhokoli záznamu je podmínka splněna.
2. V akci určete, jestli chcete upozornění poslat e-mailem nebo přes Microsoft Teams. V bočním podokně můžete nakonfigurovat oznámení, která se odesílají sami sobě. Pokud chcete posílat oznámení jinému uživateli, přečtěte si článek Volitelné: Úprava pravidla v aktivátoru.
3. V umístění pro uložení určete, kam se má upozornění aktivátoru uložit. Zvolte existující pracovní prostor a uložte ho buď do existujícího aktivátoru, nebo do nového.
4. Výběrem možnosti Vytvořit vytvořte pravidlo aktivátoru.

Volitelné: Úprava pravidla v aktivátoru

Po uložení aktivátoru se v bočním podokně zobrazí odkaz na vaši položku. Vyberte odkaz pro další úpravy v aktivátoru. Tento krok může být užitečný, pokud chcete provést jednu z následujících akcí:

• Přidejte do výstrahy další příjemce.
• Změňte obsah výstrahy tak, aby odrážel konkrétní data, která výstrahu aktivovala.
• Definujte složitější podmínku upozornění, než je možné v podokně Nastavit výstrahu.

Informace o tom, jak upravit pravidla v aktivátoru, naleznete v tématu Vytvoření pravidel aktivace.

V samotném aktivátoru můžete také zobrazit historii výsledků dotazu a historii aktivací pravidel. Další informace naleznete v tématu Vytvoření pravidel aktivace.

Související obsah

• Dotazování dat v sadě dotazů KQL
• Začínáme s aktivátorem
• Stručná referenční příručka KQL