Manipular erros avançados de caça
Aplica-se a:
- Microsoft Defender XDR
A caça avançada exibe erros para notificar erros de sintaxe e sempre que as consultas atingem cotas predefinidas e parâmetros de uso. Consulte a tabela abaixo para obter dicas sobre como resolve ou evitar erros.
| Tipo de erro | Motivo | Solução | Exemplos de mensagem de erro |
|---|---|---|---|
| Erros de sintaxe | A consulta contém nomes não conhecidos, incluindo referências a operadores, colunas, funções ou tabelas inexistentes. | Verifique se as referências aos operadores e funções do Kusto estão corretas . Verifique o esquema das colunas, funções e tabelas de caça avançadas corretas. Inclua cadeias de caracteres variáveis entre aspas para que elas sejam reconhecidas. Ao escrever suas consultas, use as sugestões de preenchimento automático de IntelliSense. | A recognition error occurred. |
| Erros semânticos | Embora a consulta use operador, coluna, função ou nomes de tabela válidos, há erros em sua estrutura e lógica resultante. Em alguns casos, a busca avançada identifica o operador específico que causou o erro. | Verifique se há erros na estrutura da consulta. Consulte a documentação do Kusto para obter diretrizes. Ao escrever suas consultas, use as sugestões de preenchimento automático de IntelliSense. | 'project' operator: Failed to resolve scalar expression named 'x' |
| Tempos limite | Uma consulta só pode ser executada em um período limitado antes do tempo limite. Esse erro pode acontecer com mais frequência ao executar consultas complexas. | Otimizar a consulta | Query exceeded the timeout period. |
| Limitação da CPU | As consultas no mesmo locatário excederam os recursos da CPU alocados com base no tamanho do locatário. | O serviço verifica o uso de recursos da CPU a cada 15 minutos e diariamente e exibe avisos após o uso exceder 10% da cota alocada. Se você atingir 100% de utilização, o serviço bloqueará as consultas até após o próximo ciclo diário ou de 15 minutos. Otimizar suas consultas para evitar atingir cotas de CPU | - This query used X% of your organization's allocated resources for the current 15 minutes.- You have exceeded processing resources allocated to this tenant. You can run queries again in <duration>. |
| Limite de tamanho do resultado excedido | O tamanho agregado do conjunto de resultados da consulta excedeu o tamanho máximo. Esse erro pode ocorrer se o conjunto de resultados for tão grande que a truncamento no limite de 10.000 registros não poderá reduzi-lo a um tamanho aceitável. Os resultados que têm várias colunas com conteúdo considerável são mais prováveis de serem afetados por esse erro. | Otimizar a consulta | Result size limit exceeded. Use "summarize" to aggregate results, "project" to drop uninteresting columns, or "take" to truncate results. |
| Consumo excessivo de recursos | A consulta consumiu quantidades excessivas de recursos e foi impedida de concluir. Em alguns casos, a busca avançada identifica o operador específico que não foi otimizado. | Otimizar a consulta | -Query stopped due to excessive resource consumption.- Query stopped. Adjust use of the <operator name> operator to avoid excessive resource consumption. |
| Erros desconhecidos | A consulta falhou devido a um motivo desconhecido. | Tente executar a consulta novamente. Contate a Microsoft por meio do portal se as consultas continuarem a retornar erros desconhecidos. | An unexpected error occurred during query execution. Please try again in a few minutes. |
Tópicos relacionados
- Práticas recomendadas avançadas de caça
- Cotas e parâmetros de uso
- Compreender o esquema
- visão geral Linguagem de Consulta Kusto
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de