Créer des alertes Activator à partir d’un ensemble de requêtes KQL dans Real-Time Intelligence

Cet article explique comment créer des alertes Fabric Activator à partir d’un ensemble de requêtes KQL. Pour plus d’informations, consultez Présentation d’Activator. Vous pouvez utiliser Activator sur un ensemble de requêtes KQL pour déclencher des notifications en deux modes :

• lorsqu’une requête KQL planifiée retourne des résultats
• lorsqu’une requête KQL planifiée retourne des résultats qui contiennent une visualisation répond à un ensemble défini de conditions.

Envoyez-vous des notifications d’alerte ou envoyez-les à d’autres personnes de votre organisation. Les notifications peuvent être envoyées par e-mail ou par message Microsoft Teams.

Exemples de scénarios

Voici quelques façons d’utiliser les alertes Activator avec les requêtes KQL :

• Supposons que vous avez une base de données KQL et que vous stockez des journaux d’application.
  • Vous recevez une alerte quand les enregistrements des 5 dernières minutes contiennent la chaîne authorization error dans la colonne message de la table.
• Dans un autre scénario, vous avez des données de streaming concernant les vélos disponibles dans différents quartiers. Une requête KQL est créée pour afficher un graphique en secteurs du nombre de vélos disponibles par quartier.
  • Vous recevez une alerte quand le nombre de vélos disponibles d’un quartier est en dessous d’un nombre acceptable.

Prérequis

• Un espace de travail avec une capacité compatible Microsoft Fabric
• Une base de données KQL avec des données
• Un ensemble de requêtes KQL connecté à la base de données KQL. Pour plus d’informations, consultez Interroger des données dans un ensemble de requêtes KQL.

Important

Seules les requêtes sur les bases de données KQL au sein d’un Eventhouse sont prises en charge. Si votre ensemble de requêtes KQL est connecté à un cluster Azure Data Explorer externe, la création d’une alerte n’est pas prise en charge.

Les étapes suivantes vous montrent comment créer une alerte sur une requête qui crée une visualisation ou sur une requête qui ne crée pas de visualisation.

Choisissez l’onglet correspondant au workflow qui vous convient.

Avec visualisation

Définir une alerte sur un ensemble de requêtes KQL

Important

Les visualisations en graphique temporel ne sont pas prises en charge dans ce scénario. Elles sont prises en charge dans Créer des alertes Activator à partir d’un tableau de bord en temps réel.

1. Accédez à votre ensemble de requêtes KQL.

2. Exécutez une requête qui renvoie une visualisation.

3. Une fois que la requête a renvoyé les résultats, sélectionnez Définir une alerte dans le ruban supérieur.

   Par exemple, la requête suivante est basée sur l’échantillon de données Vélos du tutoriel Real-Time Intelligence.

   TutorialTable
   | where Timestamp < ago(5m)
   | summarize NumberOfBikes=sum(No_Bikes) by Neighbourhood
   | render columnchart
   

   La requête renvoie un histogramme qui indique le nombre de vélos disponibles dans chaque quartier, et ce graphique est utilisé pour définir des conditions d’alerte.

Définir les conditions d’alerte

1. Définissez la fréquence d’exécution de la requête. La valeur par défaut est 5 minutes.
2. Dans Conditions, spécifiez vos conditions d’alerte de la façon suivante :
   • Si votre visualisation n’a pas de dimension, vous pouvez sélectionner la condition À chaque événement lorsque pour monitorer les changements dans le flux de données en choisissant un champ spécifique à surveiller.
   • Si votre visualisation inclut des dimensions, vous pouvez sélectionner la condition À chaque événement regroupé par pour monitorer les changements dans le flux de données en sélectionnant un champ pour le regroupement, qui divise les données en groupes distincts
   • Dans la liste déroulante Lorsque, définissez la valeur à évaluer.
   • Dans la liste déroulante Condition, définissez la condition à évaluer. Pour plus d’informations, consultez l’article Conditions (Conditions MSBuild).
   • Dans le champ Valeur, définissez la valeur à comparer.
3. Dans Action, spécifiez si vous souhaitez que votre alerte soit envoyée par e-mail ou Microsoft Teams. Dans le volet latéral, vous pouvez configurer les notifications à vous envoyer. Pour envoyer des notifications à un autre utilisateur, consultez Facultatif : modifier votre règle dans Activator.
4. Dans Emplacement d’enregistrement, spécifiez où enregistrer votre alerte Activator. Choisissez un espace de travail existant et enregistrez votre alerte un dans un Activator existant ou dans un nouvel Activator.
5. Sélectionnez Créer pour créer votre règle Activator.

Sans visualisation

Définir une alerte sur un ensemble de requêtes KQL

1. Accédez à votre ensemble de requêtes KQL.
2. Exécutez une requête . Activator vérifie les résultats de cette requête en fonction de la fréquence définie dans une étape ultérieure, et envoie une alerte pour chaque enregistrement renvoyé dans le jeu de résultats. Par exemple, si une requête planifiée renvoie cinq enregistrements, Activator envoie cinq alertes.
3. Une fois que la requête a été exécutée, sélectionnez Définir une alerte dans le ruban supérieur.

Exemple 1 - Un seul résultat quand le nombre est supérieur au seuil

Par exemple, la requête suivante renvoie une alerte s’il y a des enregistrements dépassant le seuil depuis les 5 dernières minutes dans la table. Les deux dernières lignes de la requête sont essentielles, elles contiennent le nombre d’enregistrements correspondant aux filtres, et un résultat est renvoyé uniquement si le nombre est supérieur au seuil.

SampleTable 
| where ingestion_time() > ago (5min)
// Add any other optional filters
| count 
| where Count > threshold

Exemple 2 - Créer un seul résultat avec un tableau de plusieurs valeurs

Dans l’exemple suivant, la requête renvoie une alerte si le nombre de vélos d’un quartier dépasse le seuil donné. Pour obtenir une seule alerte pour tous les quartiers dont le nombre dépasse le seuil, la requête est conçue pour renvoyer un seul enregistrement (c’est-à-dire une seule alerte). Pour ce faire, utilisez l’opérateur make_list(). Pour modifier l’alerte afin qu’elle contienne la liste des quartiers qui ont atteint le seuil, consultez Facultatif : modifier votre règle dans Activator.

TableForReflex
| where ingestion_time() > ago (5min)
| summarize NeighborhoodCount = count() by Neighbourhood
| where NeighborhoodCount > threshold
| summarize NeighbourhoodList = make_list(Neighbourhood)

Définir les conditions d’alerte

Ensuite, définissez vos conditions d’alerte. Dans la boîte de dialogue Définir une alerte qui s’affiche, procédez comme suit :

1. Définissez la fréquence d’exécution de la requête. La valeur par défaut est 5 minutes. La seule condition disponible dans ce scénario est À chaque événement, ce qui signifie que la condition est remplie quand un enregistrement est renvoyé.
2. Dans Action, spécifiez si vous souhaitez que votre alerte soit envoyée par e-mail ou Microsoft Teams. Dans le volet latéral, vous pouvez configurer les notifications à vous envoyer. Pour envoyer des notifications à un autre utilisateur, consultez Facultatif : modifier votre règle dans Activator.
3. Dans Emplacement d’enregistrement, spécifiez où enregistrer votre alerte Activator. Choisissez un espace de travail existant et enregistrez votre alerte un dans un Activator existant ou dans un nouvel Activator.
4. Sélectionnez Créer pour créer votre règle Activator.

Facultatif : modifier votre règle dans Activator

Lorsque votre activateur est enregistré, le volet latéral affiche un lien vers votre élément. Sélectionnez le lien pour faire des modifications dans Activator. Cette étape peut être utile si vous voulez faire une des actions suivantes :

• ajoutez d’autres destinataires à votre alerte.
• Changer le contenu de l’alerte pour refléter les données spécifiques qui ont déclenché l’alerte.
• Définissez une condition d’alerte plus complexe que possible dans le volet Définir une alerte.

Pour plus d’informations sur la modification des règles dans Activator, consultez Créer des règles Activator.

Dans l’Activator lui-même, vous pouvez également voir l’historique des résultats de requête et l’historique des activations de la règle. Pour plus d’informations, consultez Créer des règles Activator.

Contenu connexe

• Interroger des données dans un ensemble de requêtes KQL
• Prise en main d’Activator
• Guide de référence rapide sur KQL