Lidar com erros de investigação avançada
Aplica-se a:
- Microsoft Defender XDR
A investigação avançada apresenta erros para notificar por erros de sintaxe e sempre que as consultas atingem quotas predefinidas e parâmetros de utilização. Consulte a tabela abaixo para obter sugestões sobre como resolve ou evitar erros.
| Tipo de erro | Motivo | Solução | Exemplos de mensagem de erro |
|---|---|---|---|
| Erros de sintaxe | A consulta contém nomes não conhecidos, incluindo referências a operadores, colunas, funções ou tabelas inexistentes. | Certifique-se de que as referências aos operadores e funções do Kusto estão corretas . Verifique o esquema para obter as colunas, funções e tabelas de investigação avançadas corretas. Coloque as cadeias de carateres variáveis entre aspas para que sejam reconhecidas. Ao escrever suas consultas, use as sugestões de preenchimento automático de IntelliSense. | A recognition error occurred. |
| Erros semânticos | Embora a consulta use operador, coluna, função ou nomes de tabela válidos, há erros em sua estrutura e lógica resultante. Em alguns casos, a busca avançada identifica o operador específico que causou o erro. | Verifique se há erros na estrutura da consulta. Veja a documentação do Kusto para obter orientações. Ao escrever suas consultas, use as sugestões de preenchimento automático de IntelliSense. | 'project' operator: Failed to resolve scalar expression named 'x' |
| Tempos limite | Uma consulta só pode ser executada num período limitado antes de exceder o tempo limite. Este erro pode ocorrer com mais frequência ao executar consultas complexas. | Otimizar a consulta | Query exceeded the timeout period. |
| Limitação da CPU | As consultas no mesmo inquilino excederam os recursos da CPU que foram alocados com base no tamanho do inquilino. | O serviço verifica o uso de recursos da CPU a cada 15 minutos e diariamente e exibe avisos após o uso exceder 10% da cota alocada. Se você atingir 100% de utilização, o serviço bloqueará as consultas até após o próximo ciclo diário ou de 15 minutos. Otimizar as consultas para evitar atingir as quotas da CPU | - This query used X% of your organization's allocated resources for the current 15 minutes.- You have exceeded processing resources allocated to this tenant. You can run queries again in <duration>. |
| Limite de tamanho do resultado excedido | O tamanho agregado do conjunto de resultados da consulta excedeu o tamanho máximo. Esse erro pode ocorrer se o conjunto de resultados for tão grande que a truncamento no limite de 10.000 registros não poderá reduzi-lo a um tamanho aceitável. Os resultados que têm várias colunas com conteúdo considerável são mais prováveis de serem afetados por esse erro. | Otimizar a consulta | Result size limit exceeded. Use "summarize" to aggregate results, "project" to drop uninteresting columns, or "take" to truncate results. |
| Consumo excessivo de recursos | A consulta consumiu quantidades excessivas de recursos e foi impedida de concluir. Em alguns casos, a busca avançada identifica o operador específico que não foi otimizado. | Otimizar a consulta | -Query stopped due to excessive resource consumption.- Query stopped. Adjust use of the <operator name> operator to avoid excessive resource consumption. |
| Erros desconhecidos | A consulta falhou devido a um motivo desconhecido. | Tente executar a consulta novamente. Contate a Microsoft por meio do portal se as consultas continuarem a retornar erros desconhecidos. | An unexpected error occurred during query execution. Please try again in a few minutes. |
Tópicos relacionados
- Melhores práticas de investigação avançadas
- Cotas e parâmetros de uso
- Compreender o esquema
- descrição geral do Linguagem de Consulta Kusto
Dica
Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.