Speciális keresési hibák kezelése
Érintett szolgáltatás:
- Microsoft Defender XDR
A speciális veszélyforrás-keresés olyan hibákat jelenít meg, amelyeket a rendszer figyelmeztet a szintaktikai hibákra, és amikor a lekérdezések előre meghatározott kvótákat és használati paramétereket érnek el. Az alábbi táblázatban tippeket talál a hibák elhárításához vagy elkerüléséhez.
Hiba típusa | A probléma oka | Megoldás | Példák a hibaüzenetekre |
---|---|---|---|
Szintaktikai hibák | A lekérdezés ismeretlen neveket tartalmaz, beleértve a nem létező operátorokra, oszlopokra, függvényekre vagy táblákra mutató hivatkozásokat. | Győződjön meg arról, hogy a Kusto-operátorokra és -függvényekre mutató hivatkozások helyesek. Ellenőrizze a sémát a megfelelő speciális veszélyforrás-keresési oszlopokhoz, függvényekhez és táblákhoz. A változó sztringeket idézőjelek közé foglalja, hogy felismerje őket. A lekérdezések írásakor használja az IntelliSense automatikus kiegészítési javaslatait. | A recognition error occurred. |
Szemantikai hibák | Bár a lekérdezés érvényes operátor-, oszlop-, függvény- vagy táblaneveket használ, a szerkezetében és az eredményként kapott logikában hibák vannak. Bizonyos esetekben a speciális veszélyforrás-keresés azonosítja a hibát okozó konkrét operátort. | Ellenőrizze, hogy van-e hiba a lekérdezés szerkezetében. Útmutatásért tekintse meg a Kusto dokumentációját . A lekérdezések írásakor használja az IntelliSense automatikus kiegészítési javaslatait. | 'project' operator: Failed to resolve scalar expression named 'x' |
Időtúllépések | A lekérdezések csak korlátozott időtartamon belül futhatnak, mielőtt túllépik az időkorlátot. Ez a hiba gyakrabban fordulhat elő összetett lekérdezések futtatásakor. | A lekérdezés optimalizálása | Query exceeded the timeout period. |
CPU-szabályozás | Az ugyanabban a bérlőben lévő lekérdezések túllépték a bérlő mérete alapján lefoglalt CPU-erőforrásokat . | A szolgáltatás 15 percenként és naponta ellenőrzi a CPU-erőforrások használatát, és figyelmeztetéseket jelenít meg, miután a használat meghaladja a lefoglalt kvóta 10%-át. Ha eléri a 100%-os kihasználtságot, a szolgáltatás a következő napi vagy 15 perces ciklusig blokkolja a lekérdezéseket. A lekérdezések optimalizálása a cpu-kvóták elérésének elkerülése érdekében | - This query used X% of your organization's allocated resources for the current 15 minutes. - You have exceeded processing resources allocated to this tenant. You can run queries again in <duration>. |
Túllépte az eredmény méretkorlátját | A lekérdezés eredményhalmazának összesített mérete túllépte a maximális méretet. Ez a hiba akkor fordulhat elő, ha az eredményhalmaz olyan nagy, hogy a 10 000 rekordos korláton való csonkolás nem tudja elfogadható méretre csökkenteni. A több, nagy tartalommal rendelkező oszlopot tartalmazó találatokat nagyobb valószínűséggel érinti ez a hiba. | A lekérdezés optimalizálása | Result size limit exceeded. Use "summarize" to aggregate results, "project" to drop uninteresting columns, or "take" to truncate results. |
Túlzott erőforrás-használat | A lekérdezés túl sok erőforrást használt fel, és nem fejeződött be. Bizonyos esetekben a speciális veszélyforrás-keresés azonosítja a nem optimalizált operátort. | A lekérdezés optimalizálása | -Query stopped due to excessive resource consumption. - Query stopped. Adjust use of the <operator name> operator to avoid excessive resource consumption. |
Ismeretlen hibák | A lekérdezés ismeretlen okból meghiúsult. | Próbálja meg újra futtatni a lekérdezést. Lépjen kapcsolatba a Microsofttal a portálon keresztül, ha a lekérdezések továbbra is ismeretlen hibákat adnak vissza. | An unexpected error occurred during query execution. Please try again in a few minutes. |
Kapcsolódó témakörök
- Speciális veszélyforrás-keresési ajánlott eljárások
- Kvóták és használati paraméterek
- A séma értelmezése
- Kusto lekérdezésnyelv áttekintése
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.