处理高级搜寻错误
适用于:
- Microsoft Defender XDR
高级搜寻显示错误,以便在查询达到 预定义配额和使用参数时通知语法错误。 有关如何解决或避免错误的提示,请参阅下表。
| 错误类型 | 原因 | 解决方案 | 错误消息示例 |
|---|---|---|---|
| 语法错误 | 查询包含无法识别的名称,包括对不存在的运算符、列、函数或表的引用。 | 确保对 Kusto 运算符和函数的 引用正确。 检查架构中是否有正确的高级搜寻列、函数和表。 将变量字符串括在引号中,以便识别它们。 编写查询时,请使用 IntelliSense 中的自动完成建议。 | A recognition error occurred. |
| 语义错误 | 尽管查询使用有效的运算符、列、函数或表名称,但其结构和生成的逻辑中存在错误。 在某些情况下,高级搜寻可以标识导致错误的具体运算符。 | 检查查询结构中的错误。 有关指导,请参阅 Kusto 文档 。 编写查询时,请使用 IntelliSense 中的自动完成建议。 | 'project' operator: Failed to resolve scalar expression named 'x' |
| 超时 | 查询只能在 超时之前的有限时间内运行。运行复杂查询时,可能会更频繁地发生此错误。 | 优化查询 | Query exceeded the timeout period. |
| CPU 节流 | 同一租户中的查询超出了根据租户大小分配的 CPU 资源 。 | 该服务每隔 15 分钟和每天检查一次 CPU 资源使用情况,并在使用量超过分配配额的 10% 后显示警告。 如果达到了 100% 的利用率,服务会阻止查询,直到下一个每日或 15 分钟周期。 优化查询以避免达到 CPU 配额 | You have exceeded processing resources allocated to this tenant. You can run queries again in <duration>. |
| 超出结果大小限制 | 查询结果集的聚合尺寸已超过最大尺寸。 如果结果集太大,在 30,000 条记录限制处截断无法将其缩小到可接受的大小,则会发生此错误。 具有多个列且具有可缩放内容的结果更有可能受到此错误的影响。 | 优化查询 | Result size limit exceeded. Use "summarize" to aggregate results, "project" to drop uninteresting columns, or "take" to truncate results. |
| 资源消耗过多 | 查询消耗了过多的资源,已停止完成。 在某些情况下,高级搜寻可以识别出未优化的特定运算符。 | 优化查询 | -Query stopped due to excessive resource consumption.- Query stopped. Adjust use of the <operator name> operator to avoid excessive resource consumption. |
| 未知错误 | 由于未知原因,查询失败。 | 请尝试再次运行查询。 如果查询继续返回未知错误,请通过门户联系 Microsoft。 | An unexpected error occurred during query execution. Please try again in a few minutes. |
相关主题
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。