Creare avvisi di attivazione da un set di query KQL in Intelligence in tempo reale

Questo articolo illustra come creare avvisi di Activator di Infrastruttura da un set di query KQL. Per altre informazioni, vedere Che cos'è Activator. È possibile usare Activator in un queryset KQL per attivare le notifiche in due modalità:

• quando una query KQL pianificata restituisce risultati
• quando una query KQL pianificata restituisce risultati che contengono una visualizzazione soddisfa un set definito di condizioni.

Inviare notifiche di avviso a se stessi o ad altri utenti dell'organizzazione. Le notifiche possono essere inviate tramite posta elettronica o messaggio di Microsoft Teams.

Scenari di esempio

Ecco alcuni modi per usare gli avvisi di Activator con query KQL:

• Si supponga di avere un database KQL e di archiviare i log dell'applicazione.
  • Viene visualizzato un avviso quando tutti i record degli ultimi 5 minuti contengono la stringa authorization error nella colonna del messaggio della tabella.
• In uno scenario diverso, si hanno dati in streaming per le biciclette disponibili in diversi quartieri. Viene creata una query KQL per eseguire il rendering di un grafico a torta per il numero di biciclette disponibili per quartiere.
  • Si riceve un avviso quando il numero di biciclette disponibili in qualsiasi quartiere scende al di sotto di un numero accettabile.

Prerequisiti

• Un'area di lavoro con una capacità abilitata per Microsoft Fabric
• Un database KQL con dati
• Set di query KQL connesso al database KQL. Per altre informazioni, vedere Eseguire query sui dati in un set di query KQL.

Importante

Sono supportate solo le query sui database KQL all'interno di una eventhouse. Se il set di query KQL è connesso a un cluster di Azure Esplora dati esterno, la creazione di un avviso non è supportata.

I passaggi seguenti illustrano come creare un avviso in una query che crea una visualizzazione o in una query che non crea una visualizzazione.

Scegliere la scheda corrispondente al flusso di lavoro desiderato.

Con la visualizzazione

Impostare un avviso in un set di query KQL

Importante

Le visualizzazioni del grafico a tempo non sono supportate in questo scenario. Sono supportati in Creare avvisi di attivazione da un dashboard in tempo reale.

1. Passare al set di query KQL.

2. Eseguire una query che restituisce una visualizzazione.

3. Dopo aver restituito i risultati della query, selezionare Imposta avviso nella barra multifunzione superiore.

   Ad esempio, la query seguente si basa sui dati delle biciclette di esempio dell'esercitazione sull'intelligenza in tempo reale.

   TutorialTable
   | where Timestamp < ago(5m)
   | summarize NumberOfBikes=sum(No_Bikes) by Neighbourhood
   | render columnchart
   

   La query restituisce un istogramma che mostra il numero di biciclette disponibili in ogni quartiere e questo grafico viene usato per impostare le condizioni di avviso.

Definire le condizioni di avviso

1. Impostare una frequenza di tempo per la frequenza di esecuzione della query. Il valore predefinito è 5 minuti.
2. In Condizioni specificare le condizioni di avviso come indicato di seguito:
   • Se la visualizzazione non ha dimensioni, è possibile selezionare On each event when condition to monitor changes in the data stream scegliendo un campo specifico da monitorare.If your visualization has no dimensions, you can select the On each event when condition to monitor changes in the data stream by choosing a specific field to monitor.
   • Se la visualizzazione include dimensioni, è possibile selezionare la condizione Su ogni evento raggruppato per per monitorare le modifiche nel flusso di dati selezionando un campo per il raggruppamento, che divide i dati in gruppi distinti
   • Nell'elenco a discesa When (Quando) impostare il valore da valutare.
   • Nell'elenco a discesa Condizione impostare la condizione da valutare. Per altre informazioni, vedere Condizioni.
   • Nel campo Valore impostare il valore da confrontare.
3. In Azione specificare se si vuole ricevere l'avviso tramite posta elettronica o Microsoft Teams. Nel riquadro laterale è possibile configurare le notifiche inviate a se stessi. Per inviare notifiche a un utente diverso, vedere Facoltativo: Modificare la regola in Activator.
4. In Salva percorso specificare dove salvare l'avviso Activator. Scegliere un'area di lavoro esistente e salvarla in un attivatore esistente o in una nuova.
5. Selezionare Crea per creare la regola di attivazione.

Senza visualizzazione

Impostare un avviso in un set di query KQL

1. Passare al set di query KQL.
2. Eseguire una query . L'attivatore controlla i risultati di questa query in base alla frequenza temporale impostata in un passaggio successivo e invia un avviso per ogni record restituito nel set di risultati. Ad esempio, se una query pianificata restituisce cinque record, Activator invia cinque avvisi.
3. Al termine dell'esecuzione della query, selezionare Imposta avviso nella barra multifunzione superiore.

Esempio 1 - Risultato singolo quando count è maggiore della soglia

Ad esempio, la query seguente restituisce un avviso se nella tabella sono presenti più record di soglia degli ultimi 5 minuti. Le ultime due righe della query sono chiave, in cui viene creato il conteggio dei record corrispondenti ai filtri e viene restituito un risultato solo se il conteggio è maggiore della soglia.

SampleTable 
| where ingestion_time() > ago (5min)
// Add any other optional filters
| count 
| where Count > threshold

Esempio 2: Creare un singolo risultato con una matrice di diversi valori

Nell'esempio seguente la query restituisce un avviso se il numero di biciclette in qualsiasi quartiere supera la soglia specificata. Per ottenere un singolo avviso per tutti i quartieri per i quali il numero è superiore alla soglia, la query viene compilata per restituire un singolo record (vale a dire un singolo avviso). Questa operazione viene eseguita usando l'operatore make_list() Per modificare l'avviso in modo da contenere l'elenco dei quartieri che hanno raggiunto la soglia, vedere Facoltativo: Modificare la regola in Activator.

TableForReflex
| where ingestion_time() > ago (5min)
| summarize NeighborhoodCount = count() by Neighbourhood
| where NeighborhoodCount > threshold
| summarize NeighbourhoodList = make_list(Neighbourhood)

Definire le condizioni di avviso

Poi, definire le condizioni dell'avviso. Nel riquadro Imposta avviso che appare, seguire questa procedura:

1. Impostare una frequenza di tempo per la frequenza di esecuzione della query. Il valore predefinito è 5 minuti. L'unica condizione disponibile in questo scenario è On ogni evento, ovvero quando viene restituito un record, la condizione viene soddisfatta.
2. In Azione specificare se si vuole ricevere l'avviso tramite posta elettronica o Microsoft Teams. Nel riquadro laterale è possibile configurare le notifiche inviate a se stessi. Per inviare notifiche a un utente diverso, vedere Facoltativo: Modificare la regola in Activator.
3. In Salva percorso specificare dove salvare l'avviso Activator. Scegliere un'area di lavoro esistente e salvarla in un attivatore esistente o in una nuova.
4. Selezionare Crea per creare la regola di attivazione.

Facoltativo: modificare la regola in Activator

Quando l'attivatore viene salvato, nel riquadro laterale viene visualizzato un collegamento all'elemento. Selezionare il collegamento per modificare ulteriormente in Activator. Questo passaggio può essere utile se si vuole eseguire una delle azioni seguenti:

• Aggiungere altri destinatari all'avviso.
• Modificare il contenuto dell'avviso in modo da riflettere i dati specifici che hanno attivato l'avviso.
• Definire una condizione di avviso più complessa di quanto sia possibile nel riquadro Imposta avviso .

Per informazioni su come modificare le regole in Activator, vedere Creare regole di attivazione.

Nell'attivatore stesso è anche possibile visualizzare la cronologia dei risultati della query e la cronologia delle attivazioni delle regole. Per altre informazioni, vedere Creare regole di attivazione.

Contenuto correlato

• Dati query in un set di query KQL
• Introduzione a Activator
• Guida di riferimento rapido di KQL