Вероятно, есть несколько способов сделать это.Наихудшим является использование команды transaction, потому что она очень медленная.
Попробуйте использовать stats, чтобы найти временной интервал событий и предупредить о тех, которые слишком медленные (в этом примере 5 минут).
... | stats range(_time) as duration by GUID | where duration > 300