试图使用kql为连击节流消息发出警报。

Question

我试图创建一个警告的节流信息在晚上。我使用的查询是：

AzureMetrics
| where TimeGenerated > ago(30m)
| where MetricName == "OutgoingMessages" or MetricName == "IncomingMessages"
| extend Total_Outgoing_Messages = iif(MetricName == "OutgoingMessages", Total, 0.00)
| extend Total_Incoming_Messages = iif(MetricName == "IncomingMessages", Total, 0.00)
| summarize sum(Total_Outgoing_Messages), sum(Total_Incoming_Messages) by TimeGenerated
| extend Throttled_messages = abs(sum_Total_Incoming_Messages - sum_Total_Outgoing_Messages)
| extend condition = Throttled_messages > 10 and Throttled_messages < 25

我正在尝试创建一个警报，当节流消息介于> 10和< 25之间时，应该触发该警报。我的条件列给我的是真或假。

能帮我查一下我的kql吗？不管我是朝正确的方向走还是走，谢谢

Answer 1

by TimeGenerated似乎没有道理。

要么使用bin，例如by bin(TimeGenerated, 5m)，要么完全删除它，这取决于您的警报逻辑。

句法评论-

不需要extend ... iif(...) ...作为summarize sum(...)的准备。

您可以简单地使用求和()