Håndtere avanserte jaktfeil
Gjelder for:
- Microsoft Defender XDR
Avansert jakt viser feil å varsle om syntaksfeil og når spørringer treffer forhåndsdefinerte kvoter og bruksparametere. Se tabellen nedenfor for tips om hvordan du løser eller unngår feil.
| Feiltype | Årsak | Løsning | Eksempler på feilmelding |
|---|---|---|---|
| Syntaksfeil | Spørringen inneholder ukjente navn, inkludert referanser til ikke-eksisterende operatorer, kolonner, funksjoner eller tabeller. | Sørg for at referanser til Kusto-operatorer og -funksjoner er riktige. Kontroller skjemaet for de riktige avanserte jaktkolonnene, funksjonene og tabellene. Omslutte variabelstrenger i anførselstegn slik at de gjenkjennes. Bruk autofullføringsforslagene fra IntelliSense mens du skriver spørringene. | A recognition error occurred. |
| Semantiske feil | Selv om spørringen bruker gyldige operator-, kolonne-, funksjons- eller tabellnavn, er det feil i strukturen og den resulterende logikken. I noen tilfeller identifiserer avansert jakt den bestemte operatoren som forårsaket feilen. | Se etter feil i strukturen til spørringen. Se Kusto-dokumentasjonen for veiledning. Bruk autofullføringsforslagene fra IntelliSense mens du skriver spørringene. | 'project' operator: Failed to resolve scalar expression named 'x' |
| Tidsavbrudd | En spørring kan bare kjøres innen en begrenset periode før tidsavbrudd. Denne feilen kan oppstå oftere når du kjører komplekse spørringer. | Optimalisere spørringen | Query exceeded the timeout period. |
| CPU-begrensning | Spørringer i samme leier har overskredet CPU-ressursene som er tildelt basert på leierstørrelse. | Tjenesten kontrollerer prosessorressursbruk hvert 15. minutt og daglig, og viser advarsler etter bruk som overskrider 10 % av den tildelte kvoten. Hvis du når 100 % bruk, blokkerer tjenesten spørringer til etter neste daglige eller 15-minutters syklus. Optimaliser spørringene for å unngå å treffe CPU-kvoter | - This query used X% of your organization's allocated resources for the current 15 minutes.- You have exceeded processing resources allocated to this tenant. You can run queries again in <duration>. |
| Grensen for resultatstørrelse er overskredet | Den samlede størrelsen på resultatsettet for spørringen har overskredet maksimumsstørrelsen. Denne feilen kan oppstå hvis resultatsettet er så stort at avkorting ved grensen på 10 000 poster ikke kan redusere den til en akseptabel størrelse. Det er mer sannsynlig at resultater som har flere kolonner med betydelig innhold, påvirkes av denne feilen. | Optimalisere spørringen | Result size limit exceeded. Use "summarize" to aggregate results, "project" to drop uninteresting columns, or "take" to truncate results. |
| For stort ressursforbruk | Spørringen har brukt store mengder ressurser og har blitt stoppet fra å fullføres. I noen tilfeller identifiserer avansert jakt den spesifikke operatoren som ikke var optimalisert. | Optimalisere spørringen | -Query stopped due to excessive resource consumption.- Query stopped. Adjust use of the <operator name> operator to avoid excessive resource consumption. |
| Ukjente feil | Spørringen mislyktes på grunn av en ukjent årsak. | Prøv å kjøre spørringen på nytt. Kontakt Microsoft via portalen hvis spørringer fortsetter å returnere ukjente feil. | An unexpected error occurred during query execution. Please try again in a few minutes. |
Beslektede emner
- Anbefalte fremgangsmåter for avansert jakt
- Kvoter og bruksparametere
- Forstå skjemaet
- Oversikt over Kusto-spørringsspråk
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.
Tilbakemeldinger
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se: https://aka.ms/ContentUserFeedback.
Send inn og vis tilbakemelding for