リアルタイム インテリジェンスの KQL クエリセットから Activator アラートを作成する

この記事では、KQL クエリセットから Fabric Activator アラートを作成する方法について説明します。 詳細については、「Activator とは」を参照してください。 KQL クエリセットで Activator を使うと、次の 2 つのモードで通知をトリガーできます。

• スケジュールされた KQL クエリが結果を返したとき
• スケジュールされた KQL クエリが視覚化を含む結果を返し、それが定義された条件のセットを満たすとき。

自分または組織内の他のユーザーにアラート通知を送信します。 通知は、メールまたは Microsoft Teams メッセージで送信できます。

サンプル事例

KQL クエリと共に Activator アラートを使用する方法の例を、次にいくつか示します。

• KQL データベースがあり、アプリケーション ログを格納するとします。
  • 過去 5 分間のレコードに、テーブル内のメッセージの列に文字列 authorization error が含まれている場合、アラートが表示されます。
• 別のシナリオでは、さまざまな地域で利用可能な自転車のストリーミング データがあります。 地域ごとに、使用可能な自転車の数を表す円グラフを表示するための KQL クエリが作成されます。
  • 近隣の利用可能な自転車の数が許容される数を下回ると、アラートを受け取ります。

前提条件

• Microsoft Fabric 対応の容量を持つワークスペース
• データを含む KQL データベース
• KQL データベースに接続されている KQL クエリセット。 詳細については、「KQL クエリセット内のデータのクエリを実行する」を参照してください。

重要

Eventhouse 内の KQL データベースに対するクエリのみがサポートされます。 KQL クエリセットが外部の Azure Data Explorer クラスター に接続されている場合、アラートの作成はサポートされていません。

次の手順では、視覚化を作成するクエリまたは視覚エフェクトを作成しないクエリに対してアラートを作成する方法を示します。

目的のワークフローに対応するタブを選択します。

視覚化あり

KQL クエリセットにアラートを設定する

重要

タイムチャート 視覚化は、このシナリオではサポートされていません。 これらは、「リアルタイム ダッシュボードから Activator アラートを作成する」でサポートされています。

1. KQL クエリセットを参照します。

2. 視覚化を返すクエリを実行します。

3. クエリから結果が返されたら、上部のリボン [アラートの設定] を選択します。

   たとえば、次のクエリは、「リアルタイム インテリジェンス チュートリアル」のサンプル Bicyclesデータに基づいています。

   TutorialTable
   | where Timestamp < ago(5m)
   | summarize NumberOfBikes=sum(No_Bikes) by Neighbourhood
   | render columnchart
   

   クエリは、各近隣で使用可能な自転車の数を示す縦棒グラフを返します。このグラフは、アラート条件を設定するために使用されます。

アラートの条件を定義する

1. クエリを実行する頻度の時間頻度を設定します。 既定値は 5 分です。
2. [条件] で、アラートの条件を次のように指定します:
   • 視覚化にディメンションがない場合は、監視する特定のフィールドを選択して、データ ストリームの変更を監視する条件を各イベントで選択できます。
   • 視覚化にディメンションが含まれている場合は、 条件でグループ化された各イベントで を選択し、グループ化するフィールドを選択してデータ ストリームの変更を監視できます。このフィールドは、データを個別のグループに分割します
   • [タイミング] ドロップダウンで、評価する値を設定します。
   • [条件] ドロップダウンで、評価する条件を設定します。 詳細については、「条件」を参照してください。
   • [値] フィールドで、比較対象の値を設定します。
3. [アクション] で、メールまたは Microsoft Teams を使用してアラートを送信するかどうかを指定します。 サイド ウィンドウでは、自分に送信される通知を構成できます。 別のユーザーに通知を送信するには、「省略可能: Activator でルールを編集する」を参照してください。
4. [保存場所] で、Activator アラートを保存する場所を指定します。 既存のワークスペースを選択し、既存の Activator または新しい Activator に保存します。
5. [作成] を選択して Activator ルールを作成します。

視覚化なし

KQL クエリセットにアラートを設定する

1. KQL クエリセットを参照します。
2. クエリを実行します。 Activator は、後の手順で設定する時間頻度に基づいてこのクエリの結果をチェックし、結果セットで返されたレコードごとにアラートを送信します。 たとえば、スケジュールされたクエリから 5 つのレコードが返された場合、Activator は 5 つのアラートを送信します。
3. クエリの実行が完了したら、上部のリボン [アラートの設定] を選択します。

例 1 - カウントがしきい値より大きい場合の単一の結果

たとえば、次のクエリは、過去 5 分間にテーブル内のレコード しきい値 を超える場合にアラートを返します。 クエリの最後の 2 行はキーであり、フィルターに一致するレコードの数が作成され、カウントがしきい値より大きい場合にのみ結果が返されます。

SampleTable 
| where ingestion_time() > ago (5min)
// Add any other optional filters
| count 
| where Count > threshold

例 2 - 複数の値の配列を含む単一の結果を作成する

次の例では、任意の近隣の自転車の数が指定されたしきい値を超えている場合、クエリはアラートを返します。 数値がしきい値を超えているすべての地域に対して 1 つのアラートを取得するために、クエリは 1 つのレコード (つまり、1 つのアラート) を返すように構築されます。 これは、make_list() 演算子を使って行います。しきい値に達した地域のリストを含めるようにアラートを編集するには、「省略可能: Activator でルールを編集する」を参照してください。

TableForReflex
| where ingestion_time() > ago (5min)
| summarize NeighborhoodCount = count() by Neighbourhood
| where NeighborhoodCount > threshold
| summarize NeighbourhoodList = make_list(Neighbourhood)

アラートの条件を定義する

次に、アラートの条件を定義します。 表示される [アラートの設定] ウィンドウで、次の手順を実行します。

1. クエリを実行する頻度の時間頻度を設定します。 既定値は 5 分です。 このシナリオで使用できる唯一の条件は 各イベントです。つまり、レコードが返されたときに条件が満たされます。
2. [アクション] で、メールまたは Microsoft Teams を使用してアラートを送信するかどうかを指定します。 サイド ウィンドウでは、自分に送信される通知を構成できます。 別のユーザーに通知を送信するには、「省略可能: Activator でルールを編集する」を参照してください。
3. [保存場所] で、Activator アラートを保存する場所を指定します。 既存のワークスペースを選択し、既存の Activator または新しい Activator に保存します。
4. [作成] を選択して Activator ルールを作成します。

省略可能: Activator でルールを編集する

Activator が保存されると、サイド ペインにアイテムへのリンクが表示されます。 Activator でさらに編集するには、リンクを選択します。 この手順は、次のいずれかの操作を行う場合に役立ちます。

• 他の受信者をアラートに追加します。
• アラートをトリガーした特定のデータを反映するようにアラートの内容を変更します。
• [アラートの設定] ウィンドウで可能なよりも複雑なアラート条件を定義します。

Activator でルールを編集する方法については、「Activator ルールの作成」を参照してください。

Activator 自体で、クエリ結果の履歴とルールのアクティブ化の履歴を表示することもできます。 詳しくは、「Activator ルールの作成」を参照してください。

関連するコンテンツ

• KQL クエリセット内のデータにクエリを実行する
• Activator の概要
• KQL のクイック リファレンス ガイド