Obsługa zaawansowanych błędów wyszukiwania zagrożeń

  • Artykuł

Dotyczy:

  • Microsoft Defender XDR

Zaawansowane wyszukiwanie zagrożeń wyświetla błędy powiadamiania o błędach składni i zawsze, gdy zapytania osiągają wstępnie zdefiniowane limity przydziału i parametry użycia. Zapoznaj się z poniższą tabelą, aby uzyskać wskazówki dotyczące rozwiązywania lub unikania błędów.

Typ błędu Przyczyna Rozwiązanie Przykłady komunikatów o błędzie
Błędy składni Zapytanie zawiera nierozpoznane nazwy, w tym odwołania do nieistniejących operatorów, kolumn, funkcji lub tabel. Upewnij się, że odwołania do operatorów i funkcji Kusto są poprawne . Sprawdź schemat pod kątem prawidłowych zaawansowanych kolumn wyszukiwania zagrożeń, funkcji i tabel. Umieść ciągi zmiennych w cudzysłowie, aby były rozpoznawane. Podczas pisania zapytań użyj sugestii autouzupełniania z funkcji IntelliSense. A recognition error occurred.
Błędy semantyczne Zapytanie używa prawidłowych nazw operatorów, kolumn, funkcji lub tabel, ale występują błędy w jego strukturze i wynikowej logice. W niektórych przypadkach zaawansowane wyszukiwanie zagrożeń identyfikuje konkretny operator, który spowodował błąd. Sprawdź, czy nie występują błędy w strukturze zapytania. Aby uzyskać wskazówki, zapoznaj się z dokumentacją usługi Kusto . Podczas pisania zapytań użyj sugestii autouzupełniania z funkcji IntelliSense. 'project' operator: Failed to resolve scalar expression named 'x'
Limity czasu Zapytanie może być uruchamiane tylko w ograniczonym okresie przed przekreśleniem limitu czasu. Ten błąd może wystąpić częściej podczas uruchamiania złożonych zapytań. Optymalizowanie zapytania Query exceeded the timeout period.
Ograniczanie przepustowości procesora CPU Zapytania w tej samej dzierżawie przekroczyły zasoby procesora CPU przydzielone na podstawie rozmiaru dzierżawy. Usługa sprawdza użycie zasobów procesora CPU co 15 minut i codziennie oraz wyświetla ostrzeżenia po przekroczeniu 10% przydzielonego limitu przydziału. Jeśli osiągniesz 100% wykorzystania, usługa zablokuje zapytania aż do następnego cyklu dziennego lub 15-minutowego. Optymalizowanie zapytań w celu uniknięcia osiągnięcia limitów przydziału procesora CPU - This query used X% of your organization's allocated resources for the current 15 minutes.
- You have exceeded processing resources allocated to this tenant. You can run queries again in <duration>.
Przekroczono limit rozmiaru wyniku Zagregowany rozmiar zestawu wyników dla zapytania przekroczył maksymalny rozmiar. Ten błąd może wystąpić, jeśli zestaw wyników jest tak duży, że obcinanie limitu 10 000 rekordów nie może zmniejszyć go do akceptowalnego rozmiaru. Ten błąd może mieć większy wpływ na wyniki z wieloma kolumnami o dużej zawartości. Optymalizowanie zapytania Result size limit exceeded. Use "summarize" to aggregate results, "project" to drop uninteresting columns, or "take" to truncate results.
Nadmierne zużycie zasobów Zapytanie zużyło nadmierne ilości zasobów i nie zostało ukończone. W niektórych przypadkach zaawansowane wyszukiwanie zagrożeń identyfikuje konkretny operator, który nie został zoptymalizowany. Optymalizowanie zapytania -Query stopped due to excessive resource consumption.
-Query stopped. Adjust use of the <operator name> operator to avoid excessive resource consumption.
Nieznane błędy Zapytanie nie powiodło się z nieznanego powodu. Spróbuj uruchomić zapytanie ponownie. Skontaktuj się z firmą Microsoft za pośrednictwem portalu, jeśli zapytania nadal zwracają nieznane błędy. An unexpected error occurred during query execution. Please try again in a few minutes.

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.