Обработка ошибок расширенной охоты
Область применения:
- Microsoft Defender XDR
Расширенная охота отображает ошибки для уведомления о синтаксических ошибках и всякий раз, когда запросы попадают в предопределенные квоты и параметры использования. Советы по устранению или предотвращению ошибок см. в таблице ниже.
| Тип "ошибка" | Причина | Решение | Примеры сообщений об ошибках |
|---|---|---|---|
| Ошибка синтаксиса | Запрос содержит неопознанные имена, включая ссылки на несуществующие операторы, столбцы, функции или таблицы. | Убедитесь, что ссылки на операторы и функции Kusto верны. Проверьте схему на наличие правильных расширенных столбцов, функций и таблиц. Заключайте строки переменных в кавычки, чтобы они распознались. При написании запросов используйте предложения автозаполнения от IntelliSense. | A recognition error occurred. |
| Семантические ошибки | Хотя в запросе используются допустимые имена операторов, столбцов, функций или таблиц, в его структуре и итоговой логике есть ошибки. В некоторых случаях расширенная охота определяет конкретный оператор, который вызвал ошибку. | Проверьте, нет ли ошибок в структуре запроса. Инструкции см. в документации по Kusto . При написании запросов используйте предложения автозаполнения от IntelliSense. | 'project' operator: Failed to resolve scalar expression named 'x' |
| Время ожидания | Запрос может выполняться только в течение ограниченного периода времени ожидания. Эта ошибка может возникать чаще при выполнении сложных запросов. | Оптимизация запроса | Query exceeded the timeout period. |
| Регулирование ЦП | Запросы в одном клиенте превысили ресурсы ЦП , выделенные в зависимости от размера клиента. | Служба проверяет использование ресурсов ЦП каждые 15 минут и ежедневно и отображает предупреждения после превышения 10% выделенной квоты. При достижении 100% использования служба блокирует запросы до следующего ежедневного или 15-минутного цикла. Оптимизируйте запросы, чтобы избежать превышения квот ЦП | You have exceeded processing resources allocated to this tenant. You can run queries again in <duration>. |
| Превышен предельный размер результатов | Совокупный размер набора результатов для запроса превысил максимальный размер. Эта ошибка может возникнуть, если результирующий набор настолько велик, что усечение в 30 000 записей не может уменьшить его до приемлемого размера. Эта ошибка с большей вероятностью повлияет на результаты с несколькими столбцами с большим количеством содержимого. | Оптимизация запроса | Result size limit exceeded. Use "summarize" to aggregate results, "project" to drop uninteresting columns, or "take" to truncate results. |
| Чрезмерное потребление ресурсов | Запрос использует слишком много ресурсов и не может быть завершен. В некоторых случаях расширенная охота определяет конкретный оператор, который не был оптимизирован. | Оптимизация запроса | -Query stopped due to excessive resource consumption.- Query stopped. Adjust use of the <operator name> operator to avoid excessive resource consumption. |
| Неизвестные ошибки | Сбой запроса по неизвестной причине. | Попробуйте повторить запрос. Если запросы по-прежнему возвращают неизвестные ошибки, обратитесь в корпорацию Майкрософт через портал. | An unexpected error occurred during query execution. Please try again in a few minutes. |
Статьи по теме
- Передовые рекомендации по охоте
- Квоты и параметры использования
- Сведения о схеме
- Обзор язык запросов Kusto
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.