Edistyneiden metsästysvirheiden käsitteleminen
Koskee seuraavia:
- Microsoft Defender XDR
Kehittynyt metsästys näyttää syntaksivirheistä ilmoittamisen virheet ja aina, kun kyselyt osuvat ennalta määritettyihin kiintiöihin ja käyttöparametreihin. Katso alla olevasta taulukosta vinkkejä virheiden ratkaisemiseen tai välttämiseksi.
Virhetyyppi | Syy | Ratkaisu | Virhesanoman esimerkkejä |
---|---|---|---|
Syntaksivirheet | Kysely sisältää tunnistamattomia nimiä, mukaan lukien viittauksia olemattomiin operaattoreihin, sarakkeisiin, funktioihin tai taulukoihin. | Varmista, että viittaukset Kusto-operaattoreihin ja -funktioihin ovat oikein. Tarkista rakenteen oikeat kehittyneet metsästyssarakkeet, funktiot ja taulukot. Sisällytä muuttujamerkkijonot lainausmerkeissä, jotta ne tunnistetaan. Kun kirjoitat kyselyitä, käytä IntelliSensen automaattisia täydennysehdotuksia. | A recognition error occurred. |
Semanttiset virheet | Vaikka kysely käyttää kelvollisia operaattori-, sarake-, funktio- tai taulukkonimiä, sen rakenteessa ja tuloksena olevassa logiikassa on virheitä. Joissakin tapauksissa kehittynyt metsästys tunnistaa virheen aiheuttaneen operaattorin. | Tarkista kyselyn rakenteessa olevat virheet. Katso ohjeet Kuston dokumentaatiosta . Kun kirjoitat kyselyitä, käytä IntelliSensen automaattisia täydennysehdotuksia. | 'project' operator: Failed to resolve scalar expression named 'x' |
Aikakatkaisut | Kysely voidaan suorittaa vain rajoitetun ajan kuluessa ennen aikakatkaisua. Tämä virhe voi ilmetä useammin monimutkaisia kyselyitä suoritettaessa. | Kyselyn optimointi | Query exceeded the timeout period. |
Suorittimen rajoittaminen | Saman vuokraajan kyselyt ovat ylittäneet vuokraajan koon perusteella varatut suoritinresurssit . | Palvelu tarkistaa suoritinresurssien käytön 15 minuutin välein ja päivittäin ja näyttää varoitukset käytön jälkeen, kun käyttö ylittää 10 % varatusta kiintiöstä. Jos saavutat 100 prosentin käyttöasteen, palvelu estää kyselyt seuraavan päivittäisen tai 15 minuutin jakson jälkeen. Optimoi kyselyt siten, että et joudu käyttämään suoritinkiintiöitä | - This query used X% of your organization's allocated resources for the current 15 minutes. - You have exceeded processing resources allocated to this tenant. You can run queries again in <duration>. |
Tuloskokoraja on ylitetty | Kyselyn tulosjoukon koostekoko on ylittänyt suurimman koon. Tämä virhe voi ilmetä, jos tulosjoukko on niin suuri, että 10 000 tietueen rajan katkaisu ei voi pienentää sitä hyväksyttävään kokoon. Tämä virhe vaikuttaa todennäköisemmin tuloksiin, joissa on useita sarakkeita, joiden sisältö on suuri. | Kyselyn optimointi | Result size limit exceeded. Use "summarize" to aggregate results, "project" to drop uninteresting columns, or "take" to truncate results. |
Liiallinen resurssien kulutus | Kysely on kuluttanut liikaa resursseja, ja sen suorittaminen on pysäytetty. Joissakin tapauksissa kehittynyt metsästys tunnistaa tietyn operaattorin, jota ei optimoitu. | Kyselyn optimointi | -Query stopped due to excessive resource consumption. - Query stopped. Adjust use of the <operator name> operator to avoid excessive resource consumption. |
Tuntemattomat virheet | Kysely epäonnistui tuntemattomasta syystä. | Yritä suorittaa kysely uudelleen. Ota yhteyttä Microsoftiin portaalin kautta, jos kyselyt palauttavat edelleen tuntemattomia virheitä. | An unexpected error occurred during query execution. Please try again in a few minutes. |
Aiheeseen liittyvät artikkelit
- Kehittyneet metsästyksen parhaat käytännöt
- Kiintiöt ja käyttöparametrit
- Rakenteen ymmärtäminen
- Kusto-kyselykielen yleiskatsaus
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.