Bruke ressursrapporten for avansert jaktspørring
Gjelder for:
- Microsoft Defender XDR
Forstå avanserte jaktkvoter og bruksparametere
For å holde tjenesten ytelsesfull og responsiv angir avansert jakt ulike kvoter og bruksparametere (også kjent som «tjenestegrenser»). Disse kvotene og parameterne gjelder separat for spørringer som kjøres manuelt, og for spørringer som kjøres ved hjelp av egendefinerte gjenkjenningsregler. Kunder som kjører flere spørringer regelmessig, bør være oppmerksomme på disse grensene og bruke anbefalte fremgangsmåter for optimalisering for å minimere forstyrrelser.
Se tabellen nedenfor for å forstå eksisterende kvoter og bruksparametere.
Kvote eller parameter | Størrelse | Oppdateringssyklus | Beskrivelse |
---|---|---|---|
Dataområde | 30 dager | Hver spørring | Hver spørring kan slå opp data fra opptil de siste 30 dagene. |
Resultatsett | 30 000 rader | Hver spørring | Hver spørring kan returnere opptil 30 000 poster. |
Tidsavbrudd | 10 minutter | Hver spørring | Hver spørring kan kjøre i opptil 10 minutter. Hvis den ikke fullføres innen 10 minutter, viser tjenesten en feil. |
CPU-ressurser | Basert på leierstørrelse | Hvert 15. minutt | Portalen viser en feil når en spørring kjøres, og leieren har brukt over 10 % av de tildelte ressursene. Spørringer blokkeres hvis leieren har nådd 100 % til etter neste 15-minutters syklus. |
Obs!
Et eget sett med kvoter og parametere gjelder for avanserte jaktspørringer utført gjennom API-en. Les om avanserte jakt-API-er
Vis rapport for spørringsressurser for å finne ineffektive spørringer
Rapporten for spørringsressurser viser organisasjonens forbruk av prosessorressurser for jakt basert på spørringer som har kjørt de siste 30 dagene ved hjelp av et av jaktgrensesnittene. Denne rapporten er nyttig for å identifisere de mest ressurskrevende spørringene og forstå hvordan du forhindrer begrensning på grunn av overdreven bruk.
Få tilgang til rapporten for spørringsressurser
Du kan få tilgang til rapporten på to måter:
Velg rapport for spørringsressurser på den avanserte jaktsiden:
Finn den nye rapportoppføringen i Generelt-delen på Rapporter-siden
Alle brukere kan få tilgang til rapportene, men bare den Microsoft Entra globale administratoren, Microsoft Entra sikkerhetsadministratoren og Microsoft Entra sikkerhetsleserroller kan se spørringer gjort av alle brukere i alle grensesnitt. Alle andre brukere kan bare se:
- Spørringer de kjørte via portalen
- Offentlige API-spørringer de kjørte seg selv og ikke gjennom programmet
- Egendefinerte gjenkjenninger de opprettet
Spørringsressursrapportinnhold
Som standard viser rapporttabellen spørringer fra den siste dagen, og er sortert etter ressursbruk, slik at du enkelt kan identifisere hvilke spørringer som har brukt mest CPU-ressurser.
Rapporten for spørringsressurser inneholder alle spørringer som ble kjørt, inkludert detaljert ressursinformasjon per spørring:
- Klokkeslett – når spørringen ble kjørt
- Grensesnitt – om spørringen kjørte i portalen, i egendefinerte gjenkjenninger eller via API-spørring
- Bruker/app – brukeren eller appen som kjørte spørringen
- Ressursbruk – en indikator på hvor mye CPU-ressurser en spørring bruker (kan være lav, middels eller høy, der høy betyr at spørringen brukte en stor mengde prosessorressurser og bør forbedres til å være mer effektiv)
- Tilstand – om spørringen ble fullført, mislykket eller ble begrenset
- Spørringstid – hvor lang tid det tok å kjøre spørringen
- Tidsintervall – tidsintervallet som brukes i spørringen
Tips
Hvis spørringstilstanden mislykkes, kan du holde musepekeren over feltet for å vise årsaken til spørringsfeilen.
Finne ressurskrevende spørringer
Spørringer med høy ressursbruk eller lang spørringstid kan sannsynligvis optimaliseres for å hindre begrensning via dette grensesnittet.
Grafen viser ressursbruk over tid per grensesnitt. Du kan enkelt identifisere overflødig bruk og klikke på toppene i grafen for å filtrere tabellen tilsvarende. Når du velger en oppføring i grafen, filtreres tabellen til den bestemte datoen.
Du kan identifisere spørringene som brukte mest ressurser den dagen, og iverksette tiltak for å forbedre dem ved å bruke anbefalte fremgangsmåter for spørringer eller lære brukeren som kjørte spørringen, eller opprette regelen for å ta hensyn til effektivitet og ressurser i spørringen. For veiledet modus må brukeren bytte til avansert modus for å redigere spørringen.
Grafen støtter to visninger:
- Gjennomsnittlig bruk per dag – gjennomsnittlig bruk av ressurser per dag
- Høyest bruk per dag – den høyeste faktiske bruken av ressurser per dag
Dette betyr at hvis du for eksempel på en bestemt dag kjørte to spørringer, brukte én 50 % av ressursene og én brukte 100 %, ville den gjennomsnittlige verdien for daglig bruk vise 75 %, mens den øverste daglige bruken ville vise 100 %.
Beslektede emner
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.
Tilbakemeldinger
https://aka.ms/ContentUserFeedback.
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se:Send inn og vis tilbakemelding for