Controlar errores de búsqueda avanzados
Se aplica a:
- Microsoft Defender XDR
La búsqueda avanzada muestra errores para notificar errores de sintaxis y cada vez que las consultas alcanzan cuotas predefinidas y parámetros de uso. Consulte la tabla siguiente para obtener sugerencias sobre cómo resolver o evitar errores.
Tipo de error | Causa | Solución | Ejemplos de mensajes de error |
---|---|---|---|
Errores de sintaxis | La consulta contiene nombres no reconocidos, incluidas referencias a operadores, columnas, funciones o tablas que no existen. | Asegúrese de que las referencias a los operadores y funciones de Kusto son correctas. Compruebe el esquema de las columnas, funciones y tablas de búsqueda avanzadas correctas. Incluya las cadenas de variable entre comillas para que se reconozcan. Mientras escribe las consultas, use las sugerencias de autocompletar de IntelliSense. | A recognition error occurred. |
Errores semánticos | Aunque la consulta usa nombres válidos para operador, columna, función o tabla, hay errores en su estructura y en la lógica resultante. En algunos casos, la búsqueda avanzada identifica al operador específico que produjo el error. | Compruebe si hay errores en la estructura de la consulta. Consulte la documentación de Kusto para obtener instrucciones. Mientras escribe las consultas, use las sugerencias de autocompletar de IntelliSense. | 'project' operator: Failed to resolve scalar expression named 'x' |
Timeouts | Una consulta solo se puede ejecutar dentro de un período limitado antes de agotar el tiempo de espera. Este error puede producirse con más frecuencia al ejecutar consultas complejas. | Optimización de la consulta | Query exceeded the timeout period. |
Limitación de la CPU | Las consultas del mismo inquilino han superado los recursos de CPU asignados en función del tamaño del inquilino. | El servicio comprueba el uso de recursos de la CPU cada 15 minutos y cada día y muestra advertencias después de que el uso supere el 10 % de la cuota asignada. Si alcanza un uso del 100 %, el servicio bloquea las consultas hasta después del siguiente ciclo diario o de 15 minutos. Optimización de las consultas para evitar alcanzar las cuotas de CPU | You have exceeded processing resources allocated to this tenant. You can run queries again in <duration>. |
Se ha superado el límite de tamaño de los resultados | El tamaño agregado del conjunto de resultados de la consulta ha superado el tamaño máximo. Este error puede producirse si el conjunto de resultados es tan grande que el truncamiento en el límite de 30 000 registros no puede reducirlo a un tamaño aceptable. Los resultados que tienen varias columnas con un contenido considerable tienen más probabilidades de verse afectados por este error. | Optimización de la consulta | Result size limit exceeded. Use "summarize" to aggregate results, "project" to drop uninteresting columns, or "take" to truncate results. |
Consumo excesivo de recursos | La consulta ha consumido una cantidad excesiva de recursos y se ha impedido que se complete. En algunos casos, la búsqueda avanzada identifica al operador específico que no se ha optimizado. | Optimización de la consulta | -Query stopped due to excessive resource consumption. - Query stopped. Adjust use of the <operator name> operator to avoid excessive resource consumption. |
Errores desconocidos | Error en la consulta debido a un motivo desconocido. | Intente ejecutar la consulta de nuevo. Póngase en contacto con Microsoft a través del portal si las consultas siguen devolviendo errores desconocidos. | An unexpected error occurred during query execution. Please try again in a few minutes. |
Temas relacionados
- Procedimientos recomendados de búsqueda avanzada
- Parámetros de uso y cuotas
- Entender el esquema
- introducción a Lenguaje de consulta Kusto
Sugerencia
¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.