Brug ressourcerapporten for avanceret jagtforespørgsel
Gælder for:
- Microsoft Defender XDR
Forstå avancerede jagtkvoter og forbrugsparametre
For at holde tjenesten højtydende og dynamisk angiver avanceret jagt forskellige kvoter og forbrugsparametre (også kendt som "tjenestegrænser"). Disse kvoter og parametre gælder separat for forespørgsler, der kører manuelt, og for forespørgsler, der kører ved hjælp af brugerdefinerede registreringsregler. Kunder, der kører flere forespørgsler regelmæssigt, skal være opmærksomme på disse grænser og anvende bedste praksis for optimering for at minimere afbrydelser.
Se følgende tabel for at forstå eksisterende kvoter og forbrugsparametre.
| Kvote eller parameter | Størrelse | Opdateringscyklus | Beskrivelse |
|---|---|---|---|
| Dataområde | 30 dage | Hver forespørgsel | Hver forespørgsel kan slå data op fra op til de seneste 30 dage. |
| Resultatsæt | 30.000 rækker | Hver forespørgsel | Hver forespørgsel kan returnere op til 30.000 poster. |
| Timeout | 10 minutter | Hver forespørgsel | Hver forespørgsel kan køre i op til 10 minutter. Hvis den ikke fuldføres inden for 10 minutter, viser tjenesten en fejl. |
| CPU-ressourcer | Baseret på lejerstørrelse | Hvert 15. minut | Portalen viser en fejl, hver gang en forespørgsel kører, og lejeren har brugt mere end 10 % af de tildelte ressourcer. Forespørgsler blokeres, hvis lejeren har nået 100 % indtil efter den næste 15-minutters cyklus. |
Bemærk!
Der gælder et separat sæt kvoter og parametre for avancerede jagtforespørgsler, der udføres via API'en. Læs om avancerede jagt-API'er
Vis rapport over forespørgselsressourcer for at finde ineffektive forespørgsler
Rapporten over forespørgselsressourcer viser din organisations forbrug af CPU-ressourcer til jagt baseret på forespørgsler, der er kørt inden for de sidste 30 dage ved hjælp af en af grænsefladerne til jagt. Denne rapport er nyttig til at identificere de mest ressourcetunge forespørgsler og forstå, hvordan du kan forhindre begrænsning på grund af overdreven brug.
Få adgang til rapporten med forespørgselsressourcer
Du kan få adgang til rapporten på to måder:
På siden avanceret jagt skal du vælge Rapport over forespørgselsressourcer:
På siden Rapporter kan du finde den nye rapportpost i afsnittet Generelt
Alle brugere kan få adgang til rapporterne, men det er kun den Microsoft Entra globale administrator, Microsoft Entra sikkerhedsadministrator og Microsoft Entra sikkerhedslæserroller, der kan se forespørgsler udført af alle brugere i alle grænseflader. Alle andre brugere kan kun se:
- Forespørgsler, de kørte via portalen
- Offentlige API-forespørgsler, som de kørte selv og ikke via programmet
- Brugerdefinerede registreringer, de har oprettet
Forespørg om rapportindhold for ressource
Rapporttabellen viser som standard forespørgsler fra den sidste dag og er sorteret efter ressourceforbrug, så du nemt kan identificere, hvilke forespørgsler der brugte den højeste mængde CPU-ressourcer.
Rapporten over forespørgselsressourcer indeholder alle forespørgsler, der er kørt, herunder detaljerede ressourceoplysninger pr. forespørgsel:
- Time – da forespørgslen blev kørt
- Grænseflade – uanset om forespørgslen kørte på portalen, i brugerdefinerede registreringer eller via API-forespørgsel
- Bruger/app – den bruger eller app, der kørte forespørgslen
- Ressourceforbrug – en indikator for mængden af CPU-ressourcer, som en forespørgsel brugte (kan være Lav, Mellem eller Høj, hvor Høj betyder, at forespørgslen brugte en stor mængde CPU-ressourcer og bør forbedres for at være mere effektiv)
- State – om forespørgslen blev fuldført, mislykkedes eller blev begrænset
- Forespørgselstid – hvor lang tid det tog at køre forespørgslen
- Tidsinterval – det tidsinterval, der bruges i forespørgslen
Tip
Hvis forespørgselstilstanden mislykkedes, kan du holde markøren over feltet for at få vist årsagen til forespørgselsfejlen.
Find ressourcetunge forespørgsler
Forespørgsler med et højt ressourceforbrug eller en lang forespørgselstid kan sandsynligvis optimeres for at forhindre begrænsning via denne grænseflade.
Diagrammet viser ressourceforbruget over tid pr. grænseflade. Du kan nemt identificere overdreven brug og klikke på stigninger i grafen for at filtrere tabellen i overensstemmelse hermed. Når du har valgt en post i diagrammet, filtreres tabellen til den pågældende dato.
Du kan identificere de forespørgsler, der brugte de fleste ressourcer den pågældende dag, og udføre handlinger for at forbedre dem – ved at anvende bedste praksis for forespørgsler eller uddanne den bruger, der kørte forespørgslen eller oprettede reglen, for at tage højde for forespørgslens effektivitet og ressourcer. I automatiseret tilstand skal brugeren skifte til avanceret tilstand for at redigere forespørgslen.
Grafen understøtter to visninger:
- Gennemsnitlig brug pr. dag – den gennemsnitlige brug af ressourcer pr. dag
- Højeste brug pr. dag – den højeste faktiske brug af ressourcer pr. dag
Det betyder f.eks., at hvis du på en bestemt dag kørte to forespørgsler, en brugte 50 % af dine ressourcer og én brugte 100 %, ville den gennemsnitlige værdi for daglig brug vise 75 %, mens den største daglige brug ville vise 100 %.
Relaterede emner
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Kommer snart: I hele 2024 udfaser vi GitHub-problemer som feedbackmekanisme for indhold og erstatter det med et nyt feedbacksystem. Du kan få flere oplysninger under: https://aka.ms/ContentUserFeedback.
Indsend og få vist feedback om