使用進階搜捕查詢資源報告

適用於：

• Microsoft Defender XDR

了解進階搜捕配額和使用方式參數

為了保持服務的效能和回應性，進階搜捕會設定各種配額和使用方式參數 (也稱為「服務限制」) 。 這些配額和參數分別套用至手動執行的查詢，以及使用 自定義偵測規則執行的查詢。 定期執行多個查詢的客戶應該留意這些限制，並套用 優化最佳做法 以將中斷情況降到最低。

請參閱下表以了解現有的配額和使用方式參數。

配額或參數	大小	重新整理循環	描述
資料範圍	30 天	每個查詢	每個查詢都可以查詢過去 30 天內的資料。
結果集	30,000 個數據列	每個查詢	每個查詢最多可以傳回 30,000 筆記錄。
逾時	10 分鐘	每個查詢	每個查詢最多只能執行 10 分鐘。 如果 10 分鐘內未完成，服務會顯示錯誤。
CPU 資源	根據租用戶大小	每 15 分鐘	每當查詢執行且租使用者耗用超過 10% 的已配置資源時，入口 網站就會顯示錯誤 。 如果租用戶達到 100%，直到下一個 15 分鐘週期之後，查詢就會遭到封鎖。

注意事項

一組個別的配額和參數會套用至透過 API 執行的進階搜捕查詢。 閱讀進階搜捕 API

檢視查詢資源報告以尋找效率不佳的查詢

查詢資源報告會根據過去 30 天內使用任何搜捕介面執行的查詢，顯示貴組織對搜捕的 CPU 資源耗用量。 此報告有助於識別資源最密集的查詢，以及瞭解如何防止因過度使用而導致節流。

存取查詢資源報告

您可以透過兩種方式來存取報表：

• 在進階搜捕頁面中，選取 [查詢資源報告]：

  

• 在 [ 報表] 頁面中，於 [ 一般 ] 區段中尋找新的報表專案

  

所有使用者都可以存取報表;不過，只有 Microsoft Entra 全域管理員、Microsoft Entra 安全性系統管理員和 Microsoft Entra 安全性讀取者角色，才能查看所有介面中所有使用者完成的查詢。 任何其他使用者只能看到：

• 他們透過入口網站執行的查詢
• 公用 API 查詢會自行執行，而不是透過應用程式執行
• 他們建立的自定義偵測

重要事項

Microsoft 建議您使用權限最少的角色。 這有助於改善貴組織的安全性。 全域系統管理員是高度特殊權限角色，應僅在無法使用現有角色的緊急案例下使用。

查詢資源報表內容

根據預設，報表數據表會顯示過去一天的查詢，並依資源使用量排序，以協助您輕鬆識別哪些查詢耗用了最高數量的 CPU 資源。

查詢資源報表包含所有執行的查詢，包括每個查詢的詳細資源資訊：

• 時間 – 查詢執行的時間
• 介面 – 查詢是在入口網站、自定義偵測中還是透過 API 查詢執行
• 使用者/應用程式 – 執行查詢的使用者或應用程式
• 資源使用量 – 查詢 (取用的 CPU 資源量指標可以是低、中或高，其中 High 表示查詢使用了大量的 CPU 資源，而且應該改善以更有效率)
• 狀態 – 查詢已完成、失敗或已節流
• 查詢時間 – 執行查詢所花費的時間
• 時間範圍 – 查詢中使用的時間範圍

提示

如果查詢狀態為 [失敗]，您可以將字段暫留在該字段，以檢視查詢失敗的原因。

尋找大量資源的查詢

高資源使用量或查詢時間較長的查詢可能會優化，以避免透過此介面進行節流。

此圖表會顯示每個介面一段時間的資源使用量。 您可以輕鬆地識別過多的使用量，並選取圖表中的尖峰來據以篩選數據表。 一旦您在圖形中選取項目，數據表就會篩選為該特定日期。

您可以藉由 套用查詢最佳做法 ，或教育執行查詢或建立規則的使用者將查詢效率和資源納入考慮，來識別當天使用最多資源的查詢，並採取動作來改善這些查詢。

若要檢視查詢，請選取您想要檢查之查詢時間戳旁邊的三個點，然後選取 [ 在查詢編輯器中開啟]。

針對引導模式，用戶必須 切換至進階模式 才能編輯查詢。

圖表支援兩個檢視：

• 每日平均使用量 – 每天平均使用資源
• 每日使用量最高 – 每日資源的實際使用量最高

這表示，例如，如果您在特定日期執行兩個查詢，其中一個使用 50% 的資源，另一個使用 100%，平均每日使用值會顯示 75%，而最常使用的每日會顯示 100%。

相關文章

• 進階搜捕最佳做法
• 處理進階搜捕錯誤
• 進階搜捕概觀

提示

想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。