Creación de alertas de Activator a partir de un conjunto de consultas KQL en Inteligencia en tiempo real

Este artículo explica cómo crear alertas de Fabric Activator a partir de un conjunto de consultas KQL. Para obtener más información, consulta ¿Qué es Activador? Puedes usar Activator en un conjunto de consultas KQL para desencadenar notificaciones en dos modos:

• Cuando una consulta KQL programada devuelve resultados
• Cuando una consulta KQL programada que devuelve resultados que contienen una visualización cumple un conjunto definido de condiciones.

Debes enviar notificaciones de alerta a usted mismo o a otros usuarios de su organización. Las notificaciones se pueden enviar por correo electrónico o por mensaje de Microsoft Teams.

Escenarios de ejemplo

Estas son algunas maneras de usar alertas de Activator con consultas KQL:

• Supongamos que tiene una base de datos KQL y almacena registros de aplicación.
  • Recibirá una alerta cuando alguno de los registros de los últimos 5 minutos contenga la cadena authorization error en la columna de mensajes de la tabla.
• En un escenario diferente, tiene datos de streaming para bicicletas disponibles en diferentes barrios. Se crea una consulta KQL a fin de representar un gráfico circular para el número de bicicletas disponibles por barrio.
  • Recibirá una alerta cuando el número de bicicletas disponibles en cualquier barrio cae por debajo de un número aceptable.

Requisitos previos

• Un área de trabajo con una capacidad habilitada para Microsoft Fabric
• Una base de datos KQL con datos
• Un conjunto de consultas KQL conectado a la base de datos KQL. Para obtener más información, consulte Datos de consulta en un conjunto de consultas KQL.

Importante

Solo se admiten consultas contra bases de datos KQL dentro de un centro de eventos. Si su conjunto de consultas KQL está conectado a un clúster externo de Azure Data Explorer, la creación de una alerta no es compatible.

Los siguientes pasos muestran cómo crear una alerta en una consulta que cree una visualización o en una consulta que no cree una visualización.

Elija la pestaña correspondiente al flujo de trabajo deseado.

Con visualización

Establecer alertas en un conjunto de consultas KQL

Importante

Las visualizaciones de gráficos de tiempo no son compatibles con este escenario. Se admiten en Crear alertas de Activator desde un panel en tiempo real.

1. Vaya al conjunto de consultas KQL.

2. Ejecute una consulta que devuelva una visualización.

3. Una vez que la consulta devuelva resultados, seleccione Establecer alerta en la cinta de opciones superior.

   Por ejemplo, la siguiente consulta se basa en los datos de muestra Bicicletas del tutorial de Real-Time Intelligence.

   TutorialTable
   | where Timestamp < ago(5m)
   | summarize NumberOfBikes=sum(No_Bikes) by Neighbourhood
   | render columnchart
   

   La consulta devuelve un gráfico de columnas que muestra el número de bicicletas disponibles en cada barrio, y este gráfico se utiliza para establecer condiciones de alerta.

Definir las condiciones de la alerta

1. Establezca una frecuencia de tiempo para la frecuencia con la que se ejecuta la consulta. El valor predeterminado es 5 minutos.
2. En Condiciones, especifique las condiciones de alerta de la siguiente manera:
   • Si la visualización no tiene dimensiones, puede seleccionar la condición En cada evento cuando para supervisar los cambios en el flujo de datos eligiendo un campo específico para supervisar.
   • Si la visualización incluye dimensiones, puede seleccionar la condición En cada evento agrupado por para supervisar los cambios en el flujo de datos seleccionando un campo para agrupar, que divide los datos en grupos distintos
   • En la lista desplegable Cuando, establezca el valor que se va a evaluar.
   • En la lista desplegable Condición, establezca la condición que debe evaluarse. Para obtener más información, consulte Condiciones.
   • En el campo Valor, establezca el valor con el que se va a comparar.
3. En Acción, especifique si desea la alerta por correo electrónico o Microsoft Teams. En el panel lateral, puede configurar las notificaciones que se envían a sí mismo. Para enviar notificaciones a otro usuario, consulta Opcional: Editar la regla en Activator.
4. En Guardar ubicación, especifica dónde guardar la alerta de Activator. Elige un área de trabajo existente y guárdala en un activador ya existente o en uno nuevo.
5. Selecciona Crear para crear la regla de Activator.

Sin visualización

Establecer alertas en un conjunto de consultas KQL

1. Vaya al conjunto de consultas KQL.
2. Ejecute una consulta . Activator comprueba los resultados de esta consulta según la frecuencia de tiempo establecida en un paso posterior y envía una alerta para cada registro devuelto en el conjunto de resultados. Por ejemplo, si una consulta programada devuelve cinco registros, Activator envía cinco alertas.
3. Una vez finalizada la ejecución de la consulta, seleccione Establecer alerta en la cinta de opciones superior.

Ejemplo 1: resultado único cuando el recuento es mayor que el umbral

Por ejemplo, la siguiente consulta devuelve una alerta si hay más registros de umbral en la tabla de los últimos 5 minutos. Las dos últimas líneas de la consulta son clave, en la que se crea el recuento de registros que coinciden con los filtros y solo se devuelve un resultado si el recuento es mayor que el umbral.

SampleTable 
| where ingestion_time() > ago (5min)
// Add any other optional filters
| count 
| where Count > threshold

Ejemplo 2: Crear un único resultado con una matriz de varios valores

En el siguiente ejemplo, la consulta devuelve una alerta si el número de bicicletas de cualquier barrio está por encima del umbral especificado. Para obtener una sola alerta para todos los barrios para los que el número está por encima del umbral, la consulta se crea para devolver un único registro (es decir, una sola alerta). Esto se hace con el operador make_list() Para editar la alerta para que contenga la lista de los barrios que alcanzaron el umbral, consulta Opcional: Editar la regla en Activator.

TableForReflex
| where ingestion_time() > ago (5min)
| summarize NeighborhoodCount = count() by Neighbourhood
| where NeighborhoodCount > threshold
| summarize NeighbourhoodList = make_list(Neighbourhood)

Definir las condiciones de la alerta

A continuación, defina las condiciones de alerta. En el panel Establecer alerta que aparece, siga estos pasos:

1. Establezca una frecuencia de tiempo para la frecuencia con la que se ejecuta la consulta. El valor predeterminado es 5 minutos. La única condición disponible en este escenario es En cada evento, lo que significa que cuando se devuelve cualquier registro, se cumple la condición.
2. En Acción, especifique si desea la alerta por correo electrónico o Microsoft Teams. En el panel lateral, puede configurar las notificaciones que se envían a sí mismo. Para enviar notificaciones a otro usuario, consulta Opcional: Editar la regla en Activator.
3. En Guardar ubicación, especifica dónde guardar la alerta de Activator. Elige un área de trabajo existente y guárdala en un activador ya existente o en uno nuevo.
4. Selecciona Crear para crear la regla de Activator.

Opcional: Editar la regla en Activator

Cuando se guarda el activador, el panel lateral muestra un vínculo al elemento. Selecciona el vínculo para seguir editando en Activator. Este paso puede ser útil si quieres realizar una de las siguientes acciones:

• Agregar otros destinatarios a la alerta.
• Cambie el contenido de la alerta para reflejar los datos específicos que desencadenaron la alerta.
• Defina una condición de alerta más compleja de la que es posible en el panel Establecer alerta.

Para obtener información sobre cómo editar reglas en Activator, consulta Creación de reglas de Activator.

En el propio activador, también puedes ver el historial de los resultados de la consulta y el de las activaciones de la regla. Para obtener más información, consulta Creación de reglas de Activator.

Contenido relacionado

• Consulta de datos en un conjunto de consultas KQL
• Introducción a Activator
• Guía de referencia rápida de KQL