Skapa aktiveringsaviseringar från en KQL-frågeuppsättning

I den här artikeln beskrivs hur du skapar aviseringar för infrastrukturaktivering från en KQL-frågeuppsättning. Mer information finns i Vad är Activator. Du kan använda Activator på en KQL-frågeuppsättning för att utlösa meddelanden i två lägen:

• när en schemalagd KQL-fråga returnerar resultat
• när en schemalagd KQL-fråga returnerar resultat som innehåller en visualisering som uppfyller en definierad uppsättning villkor.

Skicka aviseringar antingen till dig själv eller till andra i din organisation. Meddelanden kan skickas via e-post eller Microsoft Teams-meddelande.

Exempelscenarier

Här följer några sätt att använda Aktivatoraviseringar med KQL-frågor:

• Anta att du har en KQL-databas och lagrar programloggar.
  • Du får en avisering när poster från de senaste fem minuterna innehåller strängen authorization error i tabellens meddelandekolumn .
• I ett annat scenario har du strömmande data för tillgängliga cyklar i olika stadsdelar. En KQL-fråga skapas för att återge ett cirkeldiagram för antalet tillgängliga cyklar per grannskap.
  • Du får en avisering när antalet tillgängliga cyklar i ett område understiger ett acceptabelt antal.

Förutsättningar

• En arbetsyta med en Microsoft Fabric-aktiverad kapacitet
• En KQL-databas med data
• En KQL-frågeuppsättning som är ansluten till KQL-databasen. Mer information finns i Fråga efter data i en KQL-frågeuppsättning.

Viktigt!

Endast frågor mot KQL-databaser i en Eventhouse stöds. Om din KQL-frågeuppsättning är ansluten till ett externt Azure Data Explorer-kluster stöds inte skapandet av en avisering.

Följande steg visar hur du skapar en avisering för en fråga som skapar en visualisering eller på en fråga som inte skapar en visualisering.

Välj den flik som motsvarar önskat arbetsflöde.

Med visualisering

Ange avisering för en KQL-frågeuppsättning

Viktigt!

Tidsschemavisualiseringar stöds inte i det här scenariot. De stöds i Skapa aktiveringsaviseringar från en instrumentpanel i realtid.

1. Öppna arbetsytan som innehåller din KQL-frågeuppsättning.

2. Bläddra till din KQL-frågeuppsättning och välj den för att öppna den.

3. Kör en fråga som returnerar en visualisering.

4. När frågan returnerar resultat väljer du Ange avisering i det övre menyfliksområdet.

   Följande fråga baseras till exempel på exempeldata för Cyklar från realtidsinformationsguiden.

   TutorialTable
   | where Timestamp < ago(5m)
   | summarize NumberOfBikes=sum(No_Bikes) by Neighbourhood
   | render columnchart
   

   Frågan returnerar ett kolumndiagram som visar antalet tillgängliga cyklar i varje grannskap. Använd det här diagrammet för att ange aviseringsvillkor.

Definiera aviseringsvillkor

1. Ange en tidsfrekvens för hur ofta frågan körs. Standardvärdet är fem minuter.

2. I Villkoranger du dina aviseringsvillkor enligt följande:

   • Om visualiseringen inte har några dimensioner kan du välja På varje händelse när villkoret för att övervaka ändringar i dataströmmen genom att välja ett specifikt fält att övervaka.
   • Om visualiseringen innehåller dimensioner kan du välja På varje händelse grupperad efter villkor för att övervaka ändringar i dataströmmen genom att välja ett fält för gruppering, vilket delar upp data i distinkta grupper
   • I listrutan När anger du värdet som ska utvärderas.
   • I listrutan Villkor anger du villkoret som ska utvärderas. Mer information finns i Villkor.
   • I fältet Värde anger du det värde som ska jämföras med.

3. I Åtgärd anger du om du vill ha din avisering via e-post eller Microsoft Teams. I sidofönstret kan du konfigurera meddelanden som skickas till dig själv. Information om hur du skickar meddelanden till en annan användare finns i Valfritt: Redigera regeln i Activator.

4. I Spara plats anger du var aktiveringsaviseringen ska sparas. Välj en befintlig arbetsyta och spara antingen i en befintlig aktivator eller en ny.

5. Välj Skapa för att skapa aktiveringsregeln.

   

Utan visualisering

Ange avisering för en KQL-frågeuppsättning

1. Öppna arbetsytan som innehåller din KQL-frågeuppsättning.
2. Bläddra till din KQL-frågeuppsättning och välj den för att öppna den.
3. Kör en fråga. Aktivator kontrollerar resultatet av den här frågan enligt den tidsfrekvens som anges i ett senare steg och skickar en avisering för varje post som returneras i resultatuppsättningen. Om en schemalagd fråga till exempel returnerar fem poster skickar Activator fem aviseringar.
4. När frågan är klar väljer du Ange avisering i det övre menyfliksområdet.

Exempel 1 – Enskilt resultat när antalet är större än tröskelvärdet

Följande fråga returnerar till exempel en avisering om det finns fler än tröskelvärdesposter i tabellen från de senaste 5 minuterna. De två sista raderna i frågan är viktiga, där antalet poster som matchar filtren skapas och ett resultat returneras endast om antalet är större än tröskelvärdet.

SampleTable 
| where ingestion_time() > ago (5min)
// Add any other optional filters
| count 
| where Count > threshold

Exempel 2 – Skapa ett enda resultat med en matris med flera värden

I följande exempel returnerar frågan en avisering om antalet cyklar i något område ligger över det angivna tröskelvärdet. För att få en enda avisering för alla områden där talet ligger över tröskelvärdet skapas frågan för att returnera en enskild post (vilket innebär en enda avisering). Detta görs med operatorn make_list() Om du vill redigera aviseringen så att den innehåller listan över de stadsdelar som nått tröskelvärdet läser du Valfritt: Redigera regeln i Activator.

TableForReflex
| where ingestion_time() > ago (5min)
| summarize NeighborhoodCount = count() by Neighbourhood
| where NeighborhoodCount > threshold
| summarize NeighbourhoodList = make_list(Neighbourhood)

Definiera aviseringsvillkor

Definiera sedan dina aviseringsvillkor. I fönstret Ange avisering som visas utför du följande steg:

1. Ange en tidsfrekvens för hur ofta frågan körs. Standardvärdet är 5 minuter. Det enda villkor som är tillgängligt i det här scenariot är På varje händelse, vilket innebär att villkoret uppfylls när en post returneras.
2. I Åtgärd anger du om du vill ha din avisering via e-post eller Microsoft Teams. I sidofönstret kan du konfigurera meddelanden som skickas till dig själv. Information om hur du skickar meddelanden till en annan användare finns i Valfritt: Redigera regeln i Activator.
3. I Spara plats anger du var aktiveringsaviseringen ska sparas. Välj en befintlig arbetsyta och spara antingen i en befintlig aktivator eller en ny.
4. Välj Skapa för att skapa aktiveringsregeln.

Valfritt: Redigera regeln i Activator

När aktivatorn sparas visar sidofönstret en länk till objektet. Välj länken för ytterligare redigering i Activator. Det här steget kan vara användbart om du vill utföra någon av följande åtgärder:

• Lägg till andra mottagare i aviseringen.
• Ändra innehållet i aviseringen så att det återspeglar de specifika data som utlöste aviseringen.
• Definiera ett mer komplext aviseringsvillkor än vad som är möjligt i fönstret Ange avisering.

Information om hur du redigerar regler i Activator finns i Skapa aktivatorregler.

I själva aktivatorn kan du också visa historiken för frågeresultaten och historiken för regelaktiveringarna. Mer information finns i Skapa aktiveringsregler.

Relaterat innehåll

• Fråga efter data i en KQL-frågeuppsättning
• Kom igång med Activator
• Snabbreferensguide för KQL