Criar alertas do Activator a partir de um conjunto de consultas KQL

Este artigo explica como criar alertas do Activator de malha a partir de um conjunto de consultas KQL. Para obter mais informações, consulte O que é o Ativador. Você pode usar o Activator em um conjunto de consultas KQL para disparar notificações em dois modos:

• quando uma consulta KQL agendada retorna resultados
• quando uma consulta KQL agendada retorna resultados que contêm uma visualização que atende a um conjunto definido de condições.

Envie notificações de alerta para si mesmo ou para outras pessoas na sua organização. As notificações podem ser enviadas por e-mail ou mensagem do Microsoft Teams.

Cenários de exemplo

Aqui estão algumas maneiras de usar alertas do Activator com consultas KQL:

• Suponha que você tenha um banco de dados KQL e esteja armazenando logs de aplicativos.
  • Você recebe um alerta quando qualquer registro dos últimos cinco minutos contém a cadeia de caracteres authorization error na coluna de mensagem da tabela.
• Em um cenário diferente, você tem dados de streaming para bicicletas disponíveis em diferentes bairros. Uma consulta KQL é criada para renderizar um gráfico de pizza para o número de bicicletas disponíveis por bairro.
  • Você recebe um alerta quando o número de bicicletas disponíveis em qualquer bairro cai abaixo de um número aceitável.

Pré-requisitos

• Um espaço de trabalho com uma capacidade habilitada para Microsoft Fabric
• Um banco de dados KQL com dados
• Um conjunto de consultas KQL conectado ao banco de dados KQL. Para obter mais informações, consulte Consultar dados em um conjunto de consultas KQL.

Importante

Somente consultas em bancos de dados KQL dentro de uma Eventhouse são suportadas. Se o conjunto de consultas KQL estiver conectado a um cluster externo do Azure Data Explorer, não há suporte para a criação de um alerta.

As etapas a seguir mostram como criar um alerta em uma consulta que cria uma visualização ou em uma consulta que não cria uma visualização.

Escolha a guia que corresponde ao fluxo de trabalho desejado.

Com visualização

Definir alerta em um conjunto de consultas KQL

Importante

Não há suporte para visualizações de gráfico de tempo nesse cenário. Eles são suportados em Criar alertas do Ativador a partir de um Painel em Tempo Real.

1. Abra o espaço de trabalho que contém o conjunto de consultas KQL.

2. Navegue até o seu conjunto de consultas KQL e selecione-o para abrir.

3. Execute uma consulta que retorna uma visualização.

4. Quando a consulta retornar os resultados, selecione Definir alerta na faixa de opções superior.

   Por exemplo, a consulta a seguir é baseada nos dados de exemplo de Bicicletas do tutorial de Inteligência em Tempo Real.

   TutorialTable
   | where Timestamp < ago(5m)
   | summarize NumberOfBikes=sum(No_Bikes) by Neighbourhood
   | render columnchart
   

   A consulta retorna um gráfico de colunas que mostra o número de bicicletas disponíveis em cada bairro. Use este gráfico para definir condições de alerta.

Definir condições de alerta

1. Defina uma frequência de tempo para a frequência com que a consulta é executada. O padrão é cinco minutos.

2. Em Condições, especifique as suas condições de alerta da seguinte forma:

   • Se sua visualização não tiver dimensões, você poderá selecionar a condição Em cada evento quando para monitorar alterações no fluxo de dados escolhendo um campo específico para monitorar.
   • Se sua visualização incluir dimensões, você poderá selecionar a condição Em cada evento agrupado por para monitorar as alterações no fluxo de dados selecionando um campo para agrupamento, que divide os dados em grupos distintos
   • Na lista suspensa Quando, defina o valor a ser avaliado.
   • Na lista suspensa Condição, defina a condição a ser avaliada. Para obter mais informações, consulte Condições.
   • No campo Valor, defina o valor com o qual comparar.

3. Em Ação, especifique se deseja receber seu alerta por e-mail ou pelo Microsoft Teams. No painel lateral, você pode configurar notificações que são enviadas para si mesmo. Para enviar notificações a um utilizador diferente, consulte Opcional: editar a regra no Ativador.

4. Em Guardar localização, especifique onde guardar o alerta do Activator. Escolha um espaço de trabalho existente e salve em um ativador existente ou em um novo.

5. Selecione Criar para criar sua regra de Ativador.

   

Sem visualização

Definir alerta em um conjunto de consultas KQL

1. Abra o espaço de trabalho que contém o conjunto de consultas KQL.
2. Navegue até o seu conjunto de consultas KQL e selecione-o para abrir.
3. Execute uma consulta. O Activator verifica os resultados dessa consulta de acordo com a frequência de tempo definida em uma etapa posterior e envia um alerta para cada registro retornado no conjunto de resultados. Por exemplo, se uma consulta agendada retornar cinco registros, o Activator enviará cinco alertas.
4. Quando a execução da consulta estiver concluída, selecione Definir alerta na faixa de opções superior.

Exemplo 1 - Resultado único quando a contagem é maior que o limite

Por exemplo, a consulta a seguir retorna um alerta se houver mais de registros de limite na tabela dos últimos 5 minutos. As duas últimas linhas da consulta são chave, na qual a contagem de registros correspondentes aos filtros é criada, e um resultado é retornado somente se a contagem for maior que o limite.

SampleTable 
| where ingestion_time() > ago (5min)
// Add any other optional filters
| count 
| where Count > threshold

Exemplo 2 - Criar um único resultado com uma matriz de vários valores

No exemplo a seguir, a consulta retorna um alerta se o número de bicicletas em qualquer bairro estiver acima do limite determinado. Para obter um único alerta para todos os bairros para os quais o número está acima do limite, a consulta é criada para retornar um único registro (ou seja, um único alerta). Isso é feito usando o operador make_list() Para editar o alerta para conter a lista dos bairros que atingiram o limite, consulte Opcional: editar sua regra no Ativador.

TableForReflex
| where ingestion_time() > ago (5min)
| summarize NeighborhoodCount = count() by Neighbourhood
| where NeighborhoodCount > threshold
| summarize NeighbourhoodList = make_list(Neighbourhood)

Definir condições de alerta

Em seguida, defina as condições de alerta. No painel Definir Alerta que aparece, execute as seguintes etapas:

1. Defina uma frequência de tempo para a frequência com que a consulta é executada. O padrão é 5 minutos. A única condição disponível neste cenário é Em cada evento, o que significa que, quando qualquer registro é retornado, a condição é atendida.
2. Em Ação, especifique se deseja receber seu alerta por e-mail ou pelo Microsoft Teams. No painel lateral, você pode configurar notificações que são enviadas para si mesmo. Para enviar notificações a um utilizador diferente, consulte Opcional: editar a regra no Ativador.
3. Em Guardar localização, especifique onde guardar o alerta do Activator. Escolha um espaço de trabalho existente e salve em um ativador existente ou em um novo.
4. Selecione Criar para criar sua regra de Ativador.

Opcional: edite sua regra no Ativador

Quando o ativador é salvo, o painel lateral exibe um link para o item. Selecione o link para editar ainda mais no Activator. Esta etapa pode ser útil se você quiser executar uma das seguintes ações:

• Adicione outros destinatários ao seu alerta.
• Altere o conteúdo do alerta para refletir os dados específicos que dispararam o alerta.
• Defina uma condição de alerta mais complexa do que a possível no painel Definir alerta.

Para obter informações sobre como editar regras no Ativador, consulte Criar regras do Ativador.

No ativador em si, você também pode visualizar o histórico dos resultados da consulta e o histórico das ativações da regra. Para obter mais informações, consulte Criar regras do Activator.

Conteúdos relacionados

• Consultar dados em um conjunto de consultas KQL
• Introdução ao Activator
• Guia de referência rápida do KQL