当新条目添加到应用程序日志文件时,我需要尝试创建警报。每个新条目都带有时间戳。我已将自定义日志设置/导入为时间戳,并使用虚拟应用程序日志文件和手动添加的条目进行测试。我最初将警报设置为在结果数量大于 0 时触发。这似乎有效,但根据我设置的时间间隔,它会不断通过电子邮件向我发送警报。无论如何我可以让它在每次添加新条目时只提醒一次?
警报逻辑基于 - 结果数运算符大于阈值 0
基于时间段的评估(以分钟为单位)1440
频率(分钟) 240
我已设置这些以减少警报电子邮件。理想情况下,我希望它每小时检查一次并在添加新条目时发出警报,但只发出一次警报。不确定是否可以完成。Kusto 查询是否有任何调整,我可以让它根据行数增加发出警报。通过将警报设置为大于 0,我感觉它总是会发出警报,因为所有新条目都意味着它高于该值。
我的基本 Kusto 查询只返回列出文档编号的行
日志附加_CL | 其中 RawData 包含“用于文档编号”