Geavanceerde opsporingsfouten verwerken
Van toepassing op:
- Microsoft Defender XDR
Geavanceerde opsporing geeft fouten weer om te waarschuwen voor syntaxisfouten en wanneer query's vooraf gedefinieerde quota en gebruiksparameters hebben bereikt. Raadpleeg de onderstaande tabel voor tips over het oplossen of voorkomen van fouten.
Fouttype | Oorzaak | Oplossing | Voorbeelden van foutberichten |
---|---|---|---|
Syntaxisfouten | De query bevat niet-herkende namen, waaronder verwijzingen naar niet-bestaande operatoren, kolommen, functies of tabellen. | Zorg ervoor dat verwijzingen naar Kusto-operators en -functies juist zijn. Controleer het schema op de juiste geavanceerde opsporingskolommen, -functies en -tabellen. Plaats variabeletekenreeksen tussen aanhalingstekens zodat ze worden herkend. Gebruik tijdens het schrijven van uw query's de suggesties voor automatisch aanvullen van IntelliSense. | A recognition error occurred. |
Semantische fouten | Hoewel de query geldige operator-, kolom-, functie- of tabelnamen gebruikt, zijn er fouten in de structuur en de resulterende logica. In sommige gevallen identificeert geavanceerde opsporing de specifieke operator die de fout heeft veroorzaakt. | Controleer op fouten in de structuur van de query. Raadpleeg de Kusto-documentatie voor hulp. Gebruik tijdens het schrijven van uw query's de suggesties voor automatisch aanvullen van IntelliSense. | 'project' operator: Failed to resolve scalar expression named 'x' |
Time-outs | Een query kan alleen worden uitgevoerd binnen een beperkte periode voordat er een time-out optreedt. Deze fout kan vaker optreden bij het uitvoeren van complexe query's. | De query optimaliseren | Query exceeded the timeout period. |
CPU-beperking | Query's in dezelfde tenant hebben de CPU-resources overschreden die zijn toegewezen op basis van de tenantgrootte. | De service controleert het CPU-resourcegebruik elke 15 minuten en dagelijks en geeft waarschuwingen weer nadat het gebruik 10% van het toegewezen quotum overschrijdt. Als u 100% gebruik bereikt, blokkeert de service query's tot na de volgende dagelijkse of 15 minuten durende cyclus. Uw query's optimaliseren om te voorkomen dat cpu-quota worden bereikt | - This query used X% of your organization's allocated resources for the current 15 minutes. - You have exceeded processing resources allocated to this tenant. You can run queries again in <duration>. |
Limiet voor resultaatgrootte overschreden | De aggregatiegrootte van de resultatenset voor de query heeft de maximale grootte overschreden. Deze fout kan optreden als de resultatenset zo groot is dat afkapping bij de recordlimiet van 10.000 niet tot een acceptabele grootte kan worden teruggebracht. Resultaten met meerdere kolommen met aanzienlijke inhoud worden waarschijnlijk beïnvloed door deze fout. | De query optimaliseren | Result size limit exceeded. Use "summarize" to aggregate results, "project" to drop uninteresting columns, or "take" to truncate results. |
Overmatig resourceverbruik | De query heeft overmatige hoeveelheden resources verbruikt en is gestopt met voltooien. In sommige gevallen identificeert geavanceerde opsporing de specifieke operator die niet is geoptimaliseerd. | De query optimaliseren | -Query stopped due to excessive resource consumption. - Query stopped. Adjust use of the <operator name> operator to avoid excessive resource consumption. |
Onbekende fouten | De query is mislukt vanwege een onbekende reden. | Voer de query opnieuw uit. Neem contact op met Microsoft via de portal als query's onbekende fouten blijven retourneren. | An unexpected error occurred during query execution. Please try again in a few minutes. |
Verwante onderwerpen
- Geavanceerde best practices voor opsporing
- Quota en gebruiksparameters
- Meer informatie over het schema
- Kusto-querytaal overzicht
Tip
Wil je meer weten? Neem contact op met de Microsoft Beveiliging-community in onze Tech Community: Microsoft Defender XDR Tech Community.