Gestire gli errori di ricerca avanzati
Si applica a:
- Microsoft Defender XDR
La ricerca avanzata visualizza errori per notificare gli errori di sintassi e ogni volta che le query raggiungano quote e parametri di utilizzo predefiniti. Per suggerimenti su come risolvere o evitare errori, vedere la tabella seguente.
| Tipo di errore | Causa | Risoluzione | Esempi di messaggio di errore |
|---|---|---|---|
| Errori di sintassi | La query contiene nomi non riconosciuti, inclusi riferimenti a operatori, colonne, funzioni o tabelle inesistenti. | Assicurarsi che i riferimenti agli operatori e alle funzioni Kusto siano corretti. Controllare lo schema per le colonne, le funzioni e le tabelle di ricerca avanzate corrette. Racchiudere le stringhe di variabili tra virgolette in modo che vengano riconosciute. Durante la scrittura delle query, usare i suggerimenti di completamento automatico di IntelliSense. | A recognition error occurred. |
| Errori semantici | Sebbene la query utilizzi nomi di operatori, colonne, funzioni o tabelle validi, sono presenti errori nella struttura e nella logica risultante. In alcuni casi, la rilevazione avanzata identifica l'operatore specifico che ha causato l'errore. | Verificare la presenza di errori nella struttura della query. Per indicazioni, vedere la documentazione di Kusto . Durante la scrittura delle query, usare i suggerimenti di completamento automatico di IntelliSense. | 'project' operator: Failed to resolve scalar expression named 'x' |
| Timeout | Una query può essere eseguita solo entro un periodo limitato prima del timeout. Questo errore può verificarsi più frequentemente quando si eseguono query complesse. | Ottimizzare la query | Query exceeded the timeout period. |
| Limitazione CPU | Le query nello stesso tenant hanno superato le risorse CPU allocate in base alle dimensioni del tenant. | Il servizio controlla l'utilizzo delle risorse della CPU ogni 15 minuti quotidianamente, e visualizza avvisi dopo che l'utilizzo supera il 10% della quota allocata. Se si raggiunge il 100% di utilizzo, il servizio blocca le query fino al successivo ciclo giornaliero o di 15 minuti. Ottimizzare le query per evitare di raggiungere le quote della CPU | You have exceeded processing resources allocated to this tenant. You can run queries again in <duration>. |
| È stato superato il limite di dimensioni dei risultati | La dimensione aggregata del set di risultati per la query ha superato le dimensioni massime. Questo errore può verificarsi se il set di risultati è così grande che il troncamento al limite di 30.000 record non può ridurlo a una dimensione accettabile. I risultati che hanno più colonne con contenuto considerevole hanno maggiori probabilità di essere interessati da questo errore. | Ottimizzare la query | Result size limit exceeded. Use "summarize" to aggregate results, "project" to drop uninteresting columns, or "take" to truncate results. |
| Utilizzo eccessivo delle risorse | La query ha utilizzato quantità eccessive di risorse ed è stata interrotta. In alcuni casi, la rilevazione avanzata identifica l'operatore specifico non ottimizzato. | Ottimizzare la query | -Query stopped due to excessive resource consumption.- Query stopped. Adjust use of the <operator name> operator to avoid excessive resource consumption. |
| Errore sconosciuto | La query non è riuscita a causa di un motivo sconosciuto. | Provare a eseguire di nuovo la query. Se le query continuano a restituire errori sconosciuti, contattare Microsoft tramite il portale. | An unexpected error occurred during query execution. Please try again in a few minutes. |
Argomenti correlati
- Procedure consigliate per la ricerca avanzata
- Quote e parametri di utilizzo
- Comprendere lo schema
- panoramica Linguaggio di query Kusto
Consiglio
Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.