Condividi tramite

Gestire gli errori di ricerca avanzati

  • Articolo

Si applica a:

  • Microsoft Defender XDR

La ricerca avanzata visualizza errori per notificare gli errori di sintassi e ogni volta che le query raggiungano quote e parametri di utilizzo predefiniti. Per suggerimenti su come risolvere o evitare errori, vedere la tabella seguente.

Tipo di errore Causa Risoluzione Esempi di messaggio di errore
Errori di sintassi La query contiene nomi non riconosciuti, inclusi riferimenti a operatori, colonne, funzioni o tabelle inesistenti. Assicurarsi che i riferimenti agli operatori e alle funzioni Kusto siano corretti. Controllare lo schema per le colonne, le funzioni e le tabelle di ricerca avanzate corrette. Racchiudere le stringhe di variabili tra virgolette in modo che vengano riconosciute. Durante la scrittura delle query, usare i suggerimenti di completamento automatico di IntelliSense. A recognition error occurred.
Errori semantici Sebbene la query utilizzi nomi di operatori, colonne, funzioni o tabelle validi, sono presenti errori nella struttura e nella logica risultante. In alcuni casi, la rilevazione avanzata identifica l'operatore specifico che ha causato l'errore. Verificare la presenza di errori nella struttura della query. Per indicazioni, vedere la documentazione di Kusto . Durante la scrittura delle query, usare i suggerimenti di completamento automatico di IntelliSense. 'project' operator: Failed to resolve scalar expression named 'x'
Timeout Una query può essere eseguita solo entro un periodo limitato prima del timeout. Questo errore può verificarsi più frequentemente quando si eseguono query complesse. Ottimizzare la query Query exceeded the timeout period.
Limitazione CPU Le query nello stesso tenant hanno superato le risorse CPU allocate in base alle dimensioni del tenant. Il servizio controlla l'utilizzo delle risorse della CPU ogni 15 minuti quotidianamente, e visualizza avvisi dopo che l'utilizzo supera il 10% della quota allocata. Se si raggiunge il 100% di utilizzo, il servizio blocca le query fino al successivo ciclo giornaliero o di 15 minuti. Ottimizzare le query per evitare di raggiungere le quote della CPU - This query used X% of your organization's allocated resources for the current 15 minutes.
- You have exceeded processing resources allocated to this tenant. You can run queries again in <duration>.
È stato superato il limite di dimensioni dei risultati La dimensione aggregata del set di risultati per la query ha superato le dimensioni massime. Questo errore può verificarsi se il set di risultati è così grande che il troncamento al limite di 10.000 record non può ridurlo a una dimensione accettabile. I risultati che hanno più colonne con contenuto considerevole hanno maggiori probabilità di essere interessati da questo errore. Ottimizzare la query Result size limit exceeded. Use "summarize" to aggregate results, "project" to drop uninteresting columns, or "take" to truncate results.
Utilizzo eccessivo delle risorse La query ha utilizzato quantità eccessive di risorse ed è stata interrotta. In alcuni casi, la rilevazione avanzata identifica l'operatore specifico non ottimizzato. Ottimizzare la query -Query stopped due to excessive resource consumption.
-Query stopped. Adjust use of the <operator name> operator to avoid excessive resource consumption.
Errore sconosciuto La query non è riuscita a causa di un motivo sconosciuto. Provare a eseguire di nuovo la query. Se le query continuano a restituire errori sconosciuti, contattare Microsoft tramite il portale. An unexpected error occurred during query execution. Please try again in a few minutes.

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.