Bekende problemen met Advanced Security Information Model (ASIM)

Hier volgen bekende problemen en beperkingen van het Advanced Security Information Model (ASIM):

Sentinel Data Lake

ASIM-querytijdparsers worden niet ondersteund voor Lake Explorer- en KQL-taken.

Prestatieproblemen

Op ASIM gebaseerde query's gedurende een lange periode en die geen filterparameters gebruiken, kunnen traag zijn. Parseren is een resource-intensieve bewerking en wanneer deze wordt toegepast op een grote, niet-gefilterde gegevensset, wordt verwacht dat deze traag is.

Als u prestatieproblemen ondervindt:

Wanneer u een interactieve query gebruikt, moet u de tijdkiezer instellen op het benodigde tijdsbereik.
Gebruik parserfilters. Het belangrijkste is dat u de starttime en de endtime filterparameters gebruikt.

De functie ingest_time() wordt niet ondersteund

De ingest_time() functie rapporteert het tijdstip waarop een record is opgenomen in Microsoft Sentinel, wat mogelijk anders is dan TimeGenerated. Deze informatie wordt vaak gebruikt in query's die rekening houden met opnamevertragingen. De ingest_time() functie moet worden gebruikt in de context van een specifieke tabel en werkt niet met ASIM-functies, die veel verschillende tabellen samenvoegen.

Misleidend informatiebericht

In sommige gevallen wordt het volgende informatiebericht weergegeven wanneer u ASIM-parserfuncties gebruikt, meestal wanneer er geen resultaten voor de query zijn.

Schermopname van misleidend informatiebericht met betrekking tot ASIM.

Hoewel het bericht alarmerend is, is het alleen informatief en gedraagt het systeem zich zoals verwacht. ASIM-functies combineren gegevens uit veel bronnen, ongeacht of ze wel of niet beschikbaar zijn in uw omgeving. Het bericht geeft aan dat sommige bronnen niet beschikbaar zijn in uw omgeving.

Volgende stappen

In dit artikel worden de Help-functies advanced Security Information Model (ASIM) besproken.

Voor meer informatie, zie:

Feedback

Is deze pagina nuttig?

Last updated on 2026-01-07