分享方式:


處理進階搜捕錯誤

適用於:

  • Microsoft Defender XDR

進階搜捕會顯示錯誤,以在每次查詢達到 預先定義的配額和使用方式參數時通知語法錯誤。 如需如何解決或避免錯誤的秘訣,請參閱下表。

錯誤類型 原因 解決方案 錯誤訊息範例
語法錯誤 查詢包含無法辨識的名稱,包括不存在的運算子、欄標籤、函數或表格的參照。 請確定 Kusto 運算子和函 式的參考正確無誤。 檢查 架構中 是否有正確的進階搜捕數據行、函式和數據表。 以引弧括住變數字串,以便辨識它們。 撰寫查詢時,請使用 IntelliSense 的自動完成建議。 A recognition error occurred.
語意錯誤 查詢使用有效的運算子、資料行、函數或資料表名稱時,其結構和產生的邏輯有錯誤。 在某些情況下,進階搜捕會識別導致錯誤的特定運算子。 檢查查詢結構中的錯誤。 如需指引,請參閱 Kusto 檔 。 撰寫查詢時,請使用 IntelliSense 的自動完成建議。 'project' operator: Failed to resolve scalar expression named 'x'
逾時 查詢只能在 限定期間內執行,再逾時。執行複雜查詢時,可能會更頻繁地發生此錯誤。 最佳化查詢 Query exceeded the timeout period.
CPU 節流 相同租使用者中的查詢已超過根據租使用者大小配置的 CPU 資源 此服務會每天每隔 15 分鐘檢查一次 CPU 資源使用量,在使用量超過配額的 10% 之後顯示警告。 如果您達到 100% 使用率,服務會阻止查詢,直到下一個每日或 15 分鐘循環之後。 優化您的查詢以避免達到CPU配額 You have exceeded processing resources allocated to this tenant. You can run queries again in <duration>.
超過結果大小限制 查詢結果集的匯總大小已超過上限。 如果結果集太大而無法將 30,000 筆記錄限制的截斷縮減為可接受的大小,就會發生此錯誤。 有多個欄具有可調整內容的結果,較可能受此錯誤影響。 最佳化查詢 Result size limit exceeded. Use "summarize" to aggregate results, "project" to drop uninteresting columns, or "take" to truncate results.
資源消耗過多 查詢已耗用過多資源,且已停止完成。 在某些情況下,進階搜捕會識別未最佳化的特定運算子。 最佳化查詢 -Query stopped due to excessive resource consumption.
-Query stopped. Adjust use of the <operator name> operator to avoid excessive resource consumption.
未知的錯誤 查詢失敗,原因不明。 請再次嘗試執行查詢。 如果查詢繼續傳回未知的錯誤,請透過入口網站與 Microsoft 聯繫。 An unexpected error occurred during query execution. Please try again in a few minutes.

提示

想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群