Udostępnij za pośrednictwem


Tworzenie alertów aktywatora na podstawie zestawu zapytań KQL

W tym artykule wyjaśniono, jak utworzyć alerty aktywatora sieci szkieletowej z zestawu zapytań KQL. Aby uzyskać więcej informacji, zobacz Co to jest aktywacja. Możesz użyć aktywatora w zestawie zapytań KQL, aby wyzwolić powiadomienia w dwóch trybach:

  • gdy zaplanowane zapytanie KQL zwraca wyniki
  • gdy zaplanowane zapytanie KQL zwraca wyniki zawierające wizualizację spełniającą zdefiniowany zestaw warunków.

Wysyłaj powiadomienia o alertach do siebie lub do innych osób w organizacji. Powiadomienia mogą być wysyłane pocztą e-mail lub wiadomością usługi Microsoft Teams.

Przykładowe scenariusze

Poniżej przedstawiono kilka sposobów używania alertów aktywatora z zapytaniami KQL:

  • Załóżmy, że masz bazę danych KQL i przechowujesz dzienniki aplikacji.
    • Otrzymasz alert, gdy jakiekolwiek rekordy z ostatnich pięciu minut zawierają ciąg w kolumnie komunikatu w tabeli .
  • W innym scenariuszu masz dane przesyłane strumieniowo dla dostępnych rowerów w różnych dzielnicach. Utworzono zapytanie KQL w celu renderowania wykresu kołowego dla liczby dostępnych rowerów na okolicę.
    • Otrzymasz alert, gdy liczba dostępnych rowerów w dowolnej okolicy spadnie poniżej dopuszczalnej liczby.

Wymagania wstępne

Ważne

Obsługiwane są tylko zapytania dotyczące baz danych KQL w usłudze Eventhouse. Jeśli zestaw zapytań KQL jest połączony z zewnętrznym klastrem usługi Azure Data Explorer, tworzenie alertu nie jest obsługiwane.

W poniższych krokach pokazano, jak utworzyć alert dla zapytania, które tworzy wizualizację lub w zapytaniu, które nie tworzy wizualizacji.

Wybierz kartę odpowiadającą żądanemu przepływowi pracy.

Ustawianie alertu w zestawie zapytań KQL

Ważne

Wizualizacje schematu czasowego nie są obsługiwane w tym scenariuszu. Są one obsługiwane w artykule Tworzenie alertów aktywatora na pulpicie nawigacyjnym w czasie rzeczywistym.

  1. Otwórz obszar roboczy zawierający zestaw zapytań KQL.

  2. Przejdź do zestawu zapytań KQL i wybierz go, aby go otworzyć.

  3. Uruchom zapytanie zwracające wizualizację.

  4. Gdy zapytanie zwróci wyniki, wybierz pozycję Ustaw alert na górnej wstążce.

    Na przykład poniższe zapytanie jest oparte na przykładowych danych Rowery z samouczka analizy czasu rzeczywistego.

    TutorialTable
    | where Timestamp < ago(5m)
    | summarize NumberOfBikes=sum(No_Bikes) by Neighbourhood
    | render columnchart
    

    Zapytanie zwraca wykres kolumnowy, który pokazuje liczbę rowerów dostępnych w poszczególnych dzielnicach. Użyj tego wykresu, aby ustawić warunki alertu.

Definiowanie warunków alertu

  1. Ustaw częstotliwość czasu uruchamiania zapytania. Wartość domyślna to pięć minut.

  2. W Warunkiokreśl warunki alertu w następujący sposób:

    • Jeśli wizualizacja nie ma wymiarów, możesz wybrać opcję W każdym zdarzeń, gdy warunek będzie monitorować zmiany w strumieniu danych, wybierając określone pole do monitorowania.
    • Jeśli wizualizacja zawiera wymiary, możesz wybrać opcję W każdym zdarzeń pogrupowanych według warunku, aby monitorować zmiany w strumieniu danych, wybierając pole do grupowania, które dzieli dane na odrębne grupy
    • Na liście rozwijanej When (Kiedy) ustaw wartość, która ma zostać obliczona.
    • Na liście rozwijanej Warunek ustaw warunek, który ma zostać oceniony. Aby uzyskać więcej informacji, zobacz Warunki.
    • W polu Wartość ustaw wartość do porównania.
  3. W obszarze Akcja określ, czy alert ma być otrzymywany za pośrednictwem poczty e-mail, czy usługi Microsoft Teams. W okienku bocznym można skonfigurować powiadomienia wysyłane do siebie. Aby wysyłać powiadomienia do innego użytkownika, zobacz Opcjonalne: Edytowanie reguły w aktywatorze.

  4. W obszarze Zapisz lokalizację określ miejsce zapisania alertu aktywatora. Wybierz istniejący obszar roboczy i zapisz go w istniejącym aktywatorze lub nowym.

  5. Wybierz pozycję Utwórz , aby utworzyć regułę aktywatora.

    Zrzut ekranu przedstawiający okienko alertu ustawionego w zestawie zapytań KQL na potrzeby tworzenia alertu aktywatora.

Opcjonalnie: Edytuj regułę w aktywatorze

Po zapisaniu aktywatora w okienku bocznym zostanie wyświetlony link do elementu. Wybierz link, aby kontynuować edycję w module Aktywator. Ten krok może być przydatny, jeśli chcesz wykonać jedną z następujących akcji:

  • Dodaj innych adresatów do alertu.
  • Zmień zawartość alertu, aby odzwierciedlić określone dane, które wyzwoliły alert.
  • Zdefiniuj bardziej złożony warunek alertu niż jest to możliwe w okienku Ustawianie alertu.

Aby uzyskać informacje na temat edytowania reguł w aktywatorze, zobacz Create Activator rules (Tworzenie reguł aktywatora).

W samym aktywatorze można również wyświetlić historię wyników zapytania i historię aktywacji reguł. Aby uzyskać więcej informacji, zobacz Tworzenie reguł aktywatora.