Tworzenie alertów aktywatora na podstawie zestawu zapytań KQL

Ustawianie alertu w zestawie zapytań KQL

1. Otwórz obszar roboczy zawierający zestaw zapytań KQL.

2. Przejdź do zestawu zapytań KQL i wybierz go, aby go otworzyć.

3. Uruchom zapytanie zwracające wizualizację.

4. Gdy zapytanie zwróci wyniki, wybierz pozycję Ustaw alert na górnej wstążce.

   

Definiowanie warunków alertu

W okienku bocznym Dodawanie reguły, które się pojawi, wykonaj następujące kroki, aby zdefiniować warunki alertu:

1. W sekcji Szczegóły podaj nazwę reguły alertu aktywatora.

   

2. W sekcji Monitorowanie ustaw częstotliwość czasu uruchamiania zapytania. Wartość domyślna to 5 minut.

   

3. W sekcji Warunek określ warunki alertu w następujący sposób:

   

   • Jeśli wizualizacja nie ma wymiarów, możesz wybrać opcję W każdym zdarzeń, gdy warunek będzie monitorować zmiany w strumieniu danych, wybierając określone pole do monitorowania.
   • Na liście rozwijanej When (Kiedy) ustaw wartość, która ma zostać obliczona.
   • Na liście rozwijanej Warunek ustaw warunek, który ma zostać oceniony. Aby uzyskać więcej informacji, zobacz Warunki.
   • W polu Wystąpienie ustaw liczbę przypadków spełnienia warunku przed wyzwoleniem alertu.

4. W sekcji Akcja wybierz jedną z następujących akcji:

   • Wyślij powiadomienie e-mail:

     1. W obszarze Wybierz akcję wybierz pozycję Wyślij wiadomość e-mail.
     2. W polu Do wprowadź adres e-mail odbiorcy lub użyj listy rozwijanej, aby wybrać właściwość, której wartością jest adres e-mail. Domyślnie adres e-mail jest wypełniany tutaj.
     3. W polu Temat wprowadź temat powiadomienia e-mail.
     4. W polu Nagłówek wprowadź nagłówek powiadomienia e-mail.
     5. W obszarze Uwagi wprowadź notatki dotyczące powiadomienia e-mail.

        Uwaga / Notatka

        Podczas wprowadzania tematu, nagłówka lub notatek można odwoływać się do właściwości w danych, wpisując @ lub wybierając przycisk obok pól tekstowych. Na przykład @BikepointID.

     6. W polu Kontekst wybierz wartości z listy rozwijanej, którą chcesz uwzględnić w powiadomieniu e-mail.

     

   • Wyślij powiadomienie Microsoft Teams: wysyła wiadomość Microsoft Teams do ciebie samego. Możesz dostosować tytuł i zawartość wiadomości.

     1. W obszarze Wybierz akcję wybierz pozycję Teams; wiadomość do indywidualnych osób lub wiadomość czatu grupowego lub wpis w kanale.
     2. Wykonaj jedną z następujących czynności w zależności od wybranego wyboru:
        • W przypadku wybrania opcji Wiadomość do osób wprowadź adresy e-mail odbiorników lub użyj listy rozwijanej, aby wybrać właściwość, której wartość jest adresem e-mail. Po spełnieniu warunku wiadomość e-mail jest wysyłana do określonych osób.
        • Jeśli wybierzesz opcję Wiadomość na czacie grupowym, wybierz czat grupowy z listy rozwijanej. Po spełnieniu warunku zostanie wysłana wiadomość do czatu grupowego.
        • W przypadku wybrania opcji Wpis w kanale wybierz zespół i kanał z list rozwijanych. Po spełnieniu warunku zostanie wysłana wiadomość do wybranego kanału.
     3. W polu Nagłówek wprowadź nagłówek powiadomienia usługi Teams.
     4. W obszarze Uwagi wprowadź notatki dla powiadomienia Teams.

        Uwaga / Notatka

        Podczas wprowadzania tematu, nagłówka lub notatek można odwoływać się do właściwości w danych, wpisując @ lub wybierając przycisk obok pól tekstowych. Na przykład @BikepointID.

     5. W polu Kontekst wybierz wartości z listy rozwijanej, którą chcesz uwzględnić w powiadomieniu usługi Teams.

     

   • Uruchom działania Fabric: aby skonfigurować alert w celu uruchomienia potoku Fabric, zadania Spark lub notesu po spełnieniu odpowiedniego warunku, wykonaj następujące kroki:

     1. W obszarze Wybierz akcję wybierz pozycję Uruchom potok, Uruchom zadanie Spark, Uruchom notatnik lub Uruchom funkcję (wersja preview).
     2. Aby wybrać element Fabric do uruchomienia, wybierz element Fabric (potok, notatnik, zadanie Spark lub funkcja) z listy.
     3. Wybierz opcję Dodaj parametr i określ nazwę parametru dla elementu Fabric oraz jego wartość. Można dodać więcej niż jeden parametr. Parametry można przekazać z danych alertu, wpisując @ lub wybierając przycisk obok pola tekstowego. Na przykład @BikepointID.

   • Akcje niestandardowe: Aby skonfigurować alert w celu wywołania akcji niestandardowej po spełnieniu warunku, wykonaj następujące kroki:

     1. W obszarze Wybierz akcję wybierz pozycję Utwórz akcję niestandardową.

        

     2. Jak wspomniano w sekcji Działania, najpierw utwórz regułę, a następnie wykonaj konfigurację akcji niestandardowej, wykonując kroki z sekcji Wyzwalanie akcji niestandardowych (przepływy usługi Power Automate)

     3. Po utworzeniu akcji niestandardowej w okienku Definicja reguły wybierz akcję niestandardową utworzoną z listy rozwijanej Akcja .

5. W obszarze Zapisz lokalizację określ miejsce zapisania alertu aktywatora. Wybierz istniejący obszar roboczy i zapisz go w istniejącym aktywatorze lub nowym.

   

6. Wybierz pozycję Utwórz , aby utworzyć regułę aktywatora.

Ustawianie alertu w zestawie zapytań KQL

1. Otwórz obszar roboczy zawierający zestaw zapytań KQL.
2. Przejdź do zestawu zapytań KQL i wybierz go, aby go otworzyć.
3. Uruchom zapytanie. Aktywacja sprawdza wyniki tego zapytania zgodnie z częstotliwością czasu ustawioną w późniejszym kroku i wysyła alert dla każdego rekordu zwróconego w zestawie wyników. Jeśli na przykład zaplanowane zapytanie zwraca pięć rekordów, funkcja Aktywator wysyła pięć alertów.
4. Po zakończeniu działania zapytania wybierz pozycję Ustaw alert na górnej wstążce.

Przykład 1 — pojedynczy wynik, gdy liczba jest większa niż próg

Na przykład następujące zapytanie zwraca alert, jeśli w tabeli znajduje się więcej niż rekordy progowe z ostatnich 5 minut. Ostatnie dwa wiersze zapytania są kluczem, w którym liczba rekordów pasujących do filtrów jest tworzona, a wynik jest zwracany tylko wtedy, gdy liczba jest większa niż próg.

SampleTable 
| where ingestion_time() > ago (5min)
// Add any other optional filters
| count 
| where Count > threshold

Przykład 2 — tworzenie pojedynczego wyniku z tablicą kilku wartości

W poniższym przykładzie zapytanie zwraca alert, jeśli liczba rowerów w dowolnej okolicy jest wyższa od podanego progu. Aby uzyskać pojedynczy alert dla wszystkich dzielnic, dla których liczba jest wyższa od progu, zapytanie jest tworzone w celu zwrócenia pojedynczego rekordu (czyli pojedynczego alertu), który jest wykonywany przy użyciu operatora make_list(). Aby edytować alert zawierający listę dzielnic, które osiągnęły próg, zobacz Opcjonalne: Edytowanie reguły w aktywatorze.

TableForReflex
| where ingestion_time() > ago (5min)
| summarize NeighborhoodCount = count() by Neighbourhood
| where NeighborhoodCount > threshold
| summarize NeighbourhoodList = make_list(Neighbourhood)

Definiowanie warunków alertu

W okienku bocznym Dodawanie reguły, które się pojawi, wykonaj następujące kroki, aby zdefiniować warunki alertu:

1. W sekcji Szczegóły podaj nazwę reguły alertu aktywatora.

   

2. W sekcji Monitorowanie ustaw częstotliwość czasu uruchamiania zapytania. Wartość domyślna to 5 minut.

   

3. W sekcji Warunek określ warunki alertu w następujący sposób:

   

   • Jeśli wizualizacja nie ma wymiarów, możesz wybrać opcję W każdym zdarzeń, gdy warunek będzie monitorować zmiany w strumieniu danych, wybierając określone pole do monitorowania.
   • Na liście rozwijanej When (Kiedy) ustaw wartość, która ma zostać obliczona.
   • Na liście rozwijanej Warunek ustaw warunek, który ma zostać oceniony. Aby uzyskać więcej informacji, zobacz Warunki.
   • W polu Wystąpienie ustaw liczbę przypadków spełnienia warunku przed wyzwoleniem alertu.

4. W sekcji Akcja wybierz jedną z następujących akcji:

   • Wyślij powiadomienie e-mail:

     1. W obszarze Wybierz akcję wybierz pozycję Wyślij wiadomość e-mail.
     2. W polu Do wprowadź adres e-mail odbiorcy lub użyj listy rozwijanej, aby wybrać właściwość, której wartością jest adres e-mail. Domyślnie adres e-mail jest wypełniany tutaj.
     3. W polu Temat wprowadź temat powiadomienia e-mail.
     4. W polu Nagłówek wprowadź nagłówek powiadomienia e-mail.
     5. W obszarze Uwagi wprowadź notatki dotyczące powiadomienia e-mail.

        Uwaga / Notatka

        Podczas wprowadzania tematu, nagłówka lub notatek można odwoływać się do właściwości w danych, wpisując @ lub wybierając przycisk obok pól tekstowych. Na przykład @BikepointID.

     6. W polu Kontekst wybierz wartości z listy rozwijanej, którą chcesz uwzględnić w powiadomieniu e-mail.

     

   • Wyślij powiadomienie Microsoft Teams: wysyła wiadomość Microsoft Teams do ciebie samego. Możesz dostosować tytuł i zawartość wiadomości.

     1. W obszarze Wybierz akcję wybierz pozycję Teams; wiadomość do indywidualnych osób lub wiadomość czatu grupowego lub wpis w kanale.
     2. Wykonaj jedną z następujących czynności w zależności od wybranego wyboru:
        • W przypadku wybrania opcji Wiadomość do osób wprowadź adresy e-mail odbiorników lub użyj listy rozwijanej, aby wybrać właściwość, której wartość jest adresem e-mail. Po spełnieniu warunku wiadomość e-mail jest wysyłana do określonych osób.
        • Jeśli wybierzesz opcję Wiadomość na czacie grupowym, wybierz czat grupowy z listy rozwijanej. Po spełnieniu warunku zostanie wysłana wiadomość do czatu grupowego.
        • W przypadku wybrania opcji Wpis w kanale wybierz zespół i kanał z list rozwijanych. Po spełnieniu warunku zostanie wysłana wiadomość do wybranego kanału.
     3. W polu Nagłówek wprowadź nagłówek powiadomienia usługi Teams.
     4. W obszarze Uwagi wprowadź notatki dla powiadomienia Teams.

        Uwaga / Notatka

        Podczas wprowadzania tematu, nagłówka lub notatek można odwoływać się do właściwości w danych, wpisując @ lub wybierając przycisk obok pól tekstowych. Na przykład @BikepointID.

     5. W polu Kontekst wybierz wartości z listy rozwijanej, którą chcesz uwzględnić w powiadomieniu usługi Teams.

     

   • Uruchom działania Fabric: aby skonfigurować alert w celu uruchomienia potoku Fabric, zadania Spark lub notesu po spełnieniu odpowiedniego warunku, wykonaj następujące kroki:

     1. W obszarze Wybierz akcję wybierz pozycję Uruchom potok, Uruchom zadanie Spark, Uruchom notatnik lub Uruchom funkcję (wersja preview).
     2. Aby wybrać element Fabric do uruchomienia, wybierz element Fabric (potok, notatnik, zadanie Spark lub funkcja) z listy.
     3. Wybierz opcję Dodaj parametr i określ nazwę parametru dla elementu Fabric oraz jego wartość. Można dodać więcej niż jeden parametr. Parametry można przekazać z danych alertu, wpisując @ lub wybierając przycisk obok pola tekstowego. Na przykład @BikepointID.

   • Akcje niestandardowe: Aby skonfigurować alert w celu wywołania akcji niestandardowej po spełnieniu warunku, wykonaj następujące kroki:

     1. W obszarze Wybierz akcję wybierz pozycję Utwórz akcję niestandardową.

        

     2. Jak wspomniano w sekcji Działania, najpierw utwórz regułę, a następnie wykonaj konfigurację akcji niestandardowej, wykonując kroki z sekcji Wyzwalanie akcji niestandardowych (przepływy usługi Power Automate)

     3. Po utworzeniu akcji niestandardowej w okienku Definicja reguły wybierz akcję niestandardową utworzoną z listy rozwijanej Akcja .

5. W obszarze Zapisz lokalizację określ miejsce zapisania alertu aktywatora. Wybierz istniejący obszar roboczy i zapisz go w istniejącym aktywatorze lub nowym.

1. Wybierz pozycję Utwórz , aby utworzyć regułę aktywatora.