Tworzenie alertów aktywatora na podstawie zestawu zapytań KQL
W tym artykule wyjaśniono, jak utworzyć alerty aktywatora sieci szkieletowej z zestawu zapytań KQL. Aby uzyskać więcej informacji, zobacz Co to jest aktywacja. Możesz użyć aktywatora w zestawie zapytań KQL, aby wyzwolić powiadomienia w dwóch trybach:
- gdy zaplanowane zapytanie KQL zwraca wyniki
- gdy zaplanowane zapytanie KQL zwraca wyniki zawierające wizualizację spełniającą zdefiniowany zestaw warunków.
Wysyłaj powiadomienia o alertach do siebie lub do innych osób w organizacji. Powiadomienia mogą być wysyłane pocztą e-mail lub wiadomością usługi Microsoft Teams.
Przykładowe scenariusze
Poniżej przedstawiono kilka sposobów używania alertów aktywatora z zapytaniami KQL:
- Załóżmy, że masz bazę danych KQL i przechowujesz dzienniki aplikacji.
- Otrzymasz alert, gdy jakiekolwiek rekordy z ostatnich pięciu minut zawierają ciąg
w kolumnie komunikatu w tabeli .
- Otrzymasz alert, gdy jakiekolwiek rekordy z ostatnich pięciu minut zawierają ciąg
- W innym scenariuszu masz dane przesyłane strumieniowo dla dostępnych rowerów w różnych dzielnicach. Utworzono zapytanie KQL w celu renderowania wykresu kołowego dla liczby dostępnych rowerów na okolicę.
- Otrzymasz alert, gdy liczba dostępnych rowerów w dowolnej okolicy spadnie poniżej dopuszczalnej liczby.
Wymagania wstępne
- Obszar roboczy z pojemnością z włączoną usługą Microsoft Fabric
- Baza danych KQL z danymi
- Zestaw zapytań KQL połączony z bazą danych KQL. Aby uzyskać więcej informacji, zobacz Query data in a KQL queryset (Wykonywanie zapytań w zestawie zapytań KQL).
Ważne
Obsługiwane są tylko zapytania dotyczące baz danych KQL w usłudze Eventhouse. Jeśli zestaw zapytań KQL jest połączony z zewnętrznym klastrem usługi Azure Data Explorer, tworzenie alertu nie jest obsługiwane.
W poniższych krokach pokazano, jak utworzyć alert dla zapytania, które tworzy wizualizację lub w zapytaniu, które nie tworzy wizualizacji.
Wybierz kartę odpowiadającą żądanemu przepływowi pracy.
Ustawianie alertu w zestawie zapytań KQL
Ważne
Wizualizacje schematu czasowego nie są obsługiwane w tym scenariuszu. Są one obsługiwane w artykule Tworzenie alertów aktywatora na pulpicie nawigacyjnym w czasie rzeczywistym.
Otwórz obszar roboczy zawierający zestaw zapytań KQL.
Przejdź do zestawu zapytań KQL i wybierz go, aby go otworzyć.
Uruchom zapytanie zwracające wizualizację.
Gdy zapytanie zwróci wyniki, wybierz pozycję Ustaw alert na górnej wstążce.
Na przykład poniższe zapytanie jest oparte na przykładowych danych Rowery z samouczka analizy czasu rzeczywistego.
TutorialTable | where Timestamp < ago(5m) | summarize NumberOfBikes=sum(No_Bikes) by Neighbourhood | render columnchart
Zapytanie zwraca wykres kolumnowy, który pokazuje liczbę rowerów dostępnych w poszczególnych dzielnicach. Użyj tego wykresu, aby ustawić warunki alertu.
Definiowanie warunków alertu
Ustaw częstotliwość czasu uruchamiania zapytania. Wartość domyślna to pięć minut.
W Warunkiokreśl warunki alertu w następujący sposób:
- Jeśli wizualizacja nie ma wymiarów, możesz wybrać opcję W każdym zdarzeń, gdy warunek będzie monitorować zmiany w strumieniu danych, wybierając określone pole do monitorowania.
- Jeśli wizualizacja zawiera wymiary, możesz wybrać opcję W każdym zdarzeń pogrupowanych według warunku, aby monitorować zmiany w strumieniu danych, wybierając pole do grupowania, które dzieli dane na odrębne grupy
- Na liście rozwijanej When (Kiedy) ustaw wartość, która ma zostać obliczona.
- Na liście rozwijanej Warunek ustaw warunek, który ma zostać oceniony. Aby uzyskać więcej informacji, zobacz Warunki.
- W polu Wartość ustaw wartość do porównania.
W obszarze Akcja określ, czy alert ma być otrzymywany za pośrednictwem poczty e-mail, czy usługi Microsoft Teams. W okienku bocznym można skonfigurować powiadomienia wysyłane do siebie. Aby wysyłać powiadomienia do innego użytkownika, zobacz Opcjonalne: Edytowanie reguły w aktywatorze.
W obszarze Zapisz lokalizację określ miejsce zapisania alertu aktywatora. Wybierz istniejący obszar roboczy i zapisz go w istniejącym aktywatorze lub nowym.
Wybierz pozycję Utwórz , aby utworzyć regułę aktywatora.
Opcjonalnie: Edytuj regułę w aktywatorze
Po zapisaniu aktywatora w okienku bocznym zostanie wyświetlony link do elementu. Wybierz link, aby kontynuować edycję w module Aktywator. Ten krok może być przydatny, jeśli chcesz wykonać jedną z następujących akcji:
- Dodaj innych adresatów do alertu.
- Zmień zawartość alertu, aby odzwierciedlić określone dane, które wyzwoliły alert.
- Zdefiniuj bardziej złożony warunek alertu niż jest to możliwe w okienku Ustawianie alertu.
Aby uzyskać informacje na temat edytowania reguł w aktywatorze, zobacz Create Activator rules (Tworzenie reguł aktywatora).
W samym aktywatorze można również wyświetlić historię wyników zapytania i historię aktywacji reguł. Aby uzyskać więcej informacji, zobacz Tworzenie reguł aktywatora.