Zpracování chyb rozšířeného proaktivního vyhledávání
Platí pro:
- Microsoft Defender XDR
Rozšířené proaktivní vyhledávání zobrazuje chyby, které upozorňují na chyby syntaxe, a vždy, když dotazy narazí na předdefinované kvóty a parametry využití. V následující tabulce najdete tipy, jak chyby vyřešit nebo se jim vyhnout.
| Typ chyby | Příčina | Řešení | Příklady chybových zpráv |
|---|---|---|---|
| Chyby syntaxe | Dotaz obsahuje nerozpoznané názvy, včetně odkazů na neexistující operátory, sloupce, funkce nebo tabulky. | Ujistěte se, že odkazy na operátory a funkce Kusto jsou správné. Zkontrolujte ve schématu správné pokročilé proaktivní vyhledávání sloupců, funkcí a tabulek. Řetězce proměnných uzavřete do uvozovek, aby se rozpoznaly. Při psaní dotazů používejte návrhy automatického dokončování z IntelliSense. | A recognition error occurred. |
| Sémantické chyby | I když dotaz používá platné názvy operátorů, sloupců, funkcí nebo tabulek, dochází k chybám v jeho struktuře a výsledné logice. V některých případech rozšířené proaktivní vyhledávání identifikuje konkrétní operátor, který chybu způsobil. | Zkontrolujte chyby ve struktuře dotazu. Pokyny najdete v dokumentaci k Kusto . Při psaní dotazů používejte návrhy automatického dokončování z IntelliSense. | 'project' operator: Failed to resolve scalar expression named 'x' |
| Časové limity | Před vypršením časového limitu může být dotaz spuštěn pouze v omezeném období. K této chybě může docházet častěji při spouštění složitých dotazů. | Optimalizace dotazu | Query exceeded the timeout period. |
| Omezování procesoru | Dotazy ve stejném tenantovi překročily prostředky procesoru , které byly přiděleny na základě velikosti tenanta. | Služba kontroluje využití prostředků procesoru každých 15 minut a denně a zobrazí upozornění, když využití překročí 10 % přidělené kvóty. Pokud dosáhnete 100% využití, služba zablokuje dotazy až do dalšího denního nebo 15minutového cyklu. Optimalizujte dotazy, abyste se vyhnuli dosažení kvót procesoru. | You have exceeded processing resources allocated to this tenant. You can run queries again in <duration>. |
| Překročení limitu velikosti výsledku | Agregovaná velikost sady výsledků dotazu překročila maximální velikost. K této chybě může dojít, pokud je sada výsledků natolik velká, že zkrácení při limitu 30 000 záznamů nemůže snížit na přijatelnou velikost. Výsledky, které mají více sloupců se zobrazeným obsahem, budou pravděpodobně ovlivněny touto chybou. | Optimalizace dotazu | Result size limit exceeded. Use "summarize" to aggregate results, "project" to drop uninteresting columns, or "take" to truncate results. |
| Nadměrná spotřeba prostředků | Dotaz spotřeboval nadměrné množství prostředků a jeho dokončení se zastavilo. V některých případech rozšířené proaktivní vyhledávání identifikuje konkrétní operátor, který nebyl optimalizovaný. | Optimalizace dotazu | -Query stopped due to excessive resource consumption.- Query stopped. Adjust use of the <operator name> operator to avoid excessive resource consumption. |
| Neznámé chyby | Dotaz selhal z neznámého důvodu. | Zkuste dotaz spustit znovu. Pokud dotazy stále vrací neznámé chyby, obraťte se na Microsoft prostřednictvím portálu. | An unexpected error occurred during query execution. Please try again in a few minutes. |
Související témata
- Pokročilé osvědčené postupy proaktivního vyhledávání
- Kvóty a parametry využití
- Pochopení schématu
- přehled dotazovací jazyk Kusto
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.