Behandeln von Fehlern bei der erweiterten Suche
Gilt für:
- Microsoft Defender XDR
Bei der erweiterten Suche werden Fehler angezeigt, um bei Syntaxfehlern zu benachrichtigen und wenn Abfragen vordefinierte Kontingente und Verwendungsparameter erreichen. In der folgenden Tabelle finden Sie Tipps zum Beheben oder Vermeiden von Fehlern.
Fehlertyp | Ursache | Fehlerbehebung | Beispiele für Fehlermeldungen |
---|---|---|---|
Syntaxfehler | Die Abfrage enthält nicht erkannte Namen, einschließlich Verweise auf nicht vorhandene Operatoren, Spalten, Funktionen oder Tabellen. | Stellen Sie sicher, dass Verweise auf Kusto-Operatoren und -Funktionen korrekt sind. Überprüfen Sie das Schema auf die richtigen Spalten, Funktionen und Tabellen für die erweiterte Suche. Schließen Sie Variablenzeichenfolgen in Anführungszeichen ein, damit sie erkannt werden. Verwenden Sie beim Schreiben ihrer Abfragen die Vorschläge zum automatischen Vervollständigen von IntelliSense. | A recognition error occurred. |
Semantische Fehler | Die Abfrage verwendet gültige Operator-, Spalten-, Funktions- oder Tabellennamen, aber es gibt Fehler in der Struktur und der resultierenden Logik. In einigen Fällen identifiziert die erweiterte Suche den spezifischen Operator, der den Fehler verursacht hat. | Suchen Sie nach Fehlern in der Struktur der Abfrage. Anleitungen finden Sie in der Kusto-Dokumentation . Verwenden Sie beim Schreiben ihrer Abfragen die Vorschläge zum automatischen Vervollständigen von IntelliSense. | 'project' operator: Failed to resolve scalar expression named 'x' |
Timeouts | Eine Abfrage kann nur innerhalb eines begrenzten Zeitraums ausgeführt werden, bevor ein Timeout auftritt. Dieser Fehler kann häufiger auftreten, wenn komplexe Abfragen ausgeführt werden. | Optimieren der Abfrage | Query exceeded the timeout period. |
CPU-Drosselung | Abfragen im selben Mandanten haben die CPU-Ressourcen überschritten, die basierend auf der Mandantengröße zugeordnet wurden. | Der Dienst überprüft jeden Tag und alle 15 Minuten die CPU-Ressourcenauslastung und zeigt Warnungen an, sobald die Auslastung 10 % des zugewiesenen Kontingents überschreitet. Wenn Sie eine Auslastung von 100 % erreichen, blockiert der Dienst Abfragen bis nach dem nächsten täglichen oder 15-minütigen Zyklus. Optimieren Sie Ihre Abfragen, um cpu-Kontingente zu vermeiden. | You have exceeded processing resources allocated to this tenant. You can run queries again in <duration>. |
Grenzwert für Ergebnisgröße überschritten | Die Aggregatgröße des Resultsets für die Abfrage hat die maximale Größe überschritten. Dieser Fehler kann auftreten, wenn das Resultset so groß ist, dass das Abschneiden beim Grenzwert von 30.000 Datensätzen nicht auf eine akzeptable Größe reduziert werden kann. Ergebnisse mit mehreren Spalten mit aussagekräftigem Inhalt sind wahrscheinlicher von diesem Fehler betroffen. | Optimieren der Abfrage | Result size limit exceeded. Use "summarize" to aggregate results, "project" to drop uninteresting columns, or "take" to truncate results. |
Übermäßiger Ressourcenverbrauch | Die Abfrage hat übermäßig viele Ressourcen verbraucht und wurde beendet. In einigen Fällen identifiziert die erweiterte Suche den spezifischen Operator, der nicht optimiert wurde. | Optimieren der Abfrage | -Query stopped due to excessive resource consumption. - Query stopped. Adjust use of the <operator name> operator to avoid excessive resource consumption. |
Unbekannte Fehler | Die Abfrage ist aus einem unbekannten Grund fehlgeschlagen. | Führen Sie die Abfrage erneut aus. Wenden Sie sich über das Portal an Microsoft, wenn Abfragen weiterhin unbekannte Fehler zurückgeben. | An unexpected error occurred during query execution. Please try again in a few minutes. |
Verwandte Themen
- Bewährte Methoden für die erweiterte Suche
- Kontingente und Verwendungsparameter
- Grundlegendes zum Schema
- übersicht über Kusto-Abfragesprache
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.