Hantera avancerade jaktfel
Gäller för:
- Microsoft Defender XDR
Avancerad jakt visar fel som meddelar om syntaxfel och när frågor når fördefinierade kvoter och användningsparametrar. I tabellen nedan finns tips om hur du löser eller undviker fel.
| Feltyp | Orsak | Åtgärd | Exempel på felmeddelanden |
|---|---|---|---|
| Syntaxfel | Frågan innehåller okända namn, inklusive referenser till obefintliga operatorer, kolumner, funktioner eller tabeller. | Kontrollera att referenser till Kusto-operatorer och funktioner är korrekta. Kontrollera schemat för rätt avancerade jaktkolumner, funktioner och tabeller. Omsluta variabelsträngar med citattecken så att de känns igen. När du skriver dina frågor använder du förslagen för automatisk komplettering från IntelliSense. | A recognition error occurred. |
| Semantiska fel | Frågan använder giltiga operator-, kolumn-, funktions- eller tabellnamn, men det finns fel i dess struktur och resulterande logik. I vissa fall identifierar avancerad jakt den specifika operator som orsakade felet. | Sök efter fel i frågans struktur. Mer information finns i Kusto-dokumentationen . När du skriver dina frågor använder du förslagen för automatisk komplettering från IntelliSense. | 'project' operator: Failed to resolve scalar expression named 'x' |
| Timeout | En fråga kan bara köras inom en begränsad period innan tidsgränsen nås. Det här felet kan inträffa oftare när du kör komplexa frågor. | Optimera frågan | Query exceeded the timeout period. |
| CPU-begränsning | Frågor i samma klientorganisation har överskridit de CPU-resurser som har allokerats baserat på klientorganisationens storlek. | Tjänsten kontrollerar cpu-resursanvändningen var 15:e minut och varje dag och visar varningar när användningen överskrider 10 % av den allokerade kvoten. Om du når 100 % användning blockerar tjänsten frågor till efter nästa dagliga eller 15 minuter långa cykel. Optimera dina frågor för att undvika att uppnå CPU-kvoter | - This query used X% of your organization's allocated resources for the current 15 minutes.- You have exceeded processing resources allocated to this tenant. You can run queries again in <duration>. |
| Resultatstorleksgränsen har överskridits | Den aggregerade storleken på resultatuppsättningen för frågan har överskridit den maximala storleken. Det här felet kan inträffa om resultatuppsättningen är så stor att trunkering vid gränsen på 10 000 poster inte kan minska den till en acceptabel storlek. Det är mer sannolikt att resultat som har flera kolumner med stort innehåll påverkas av det här felet. | Optimera frågan | Result size limit exceeded. Use "summarize" to aggregate results, "project" to drop uninteresting columns, or "take" to truncate results. |
| Överdriven resursförbrukning | Frågan har förbrukat stora mängder resurser och har stoppats från att slutföras. I vissa fall identifierar avancerad jakt den specifika operator som inte har optimerats. | Optimera frågan | -Query stopped due to excessive resource consumption.- Query stopped. Adjust use of the <operator name> operator to avoid excessive resource consumption. |
| Okända fel | Frågan misslyckades på grund av en okänd orsak. | Försök att köra frågan igen. Kontakta Microsoft via portalen om frågor fortsätter att returnera okända fel. | An unexpected error occurred during query execution. Please try again in a few minutes. |
Relaterade ämnen
- Avancerade metodtips för jakt
- Kvoter och användningsparametrar
- Förstå schemat
- Kusto-frågespråk översikt
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för