Behandeln von Fehlern bei der erweiterten Suche

  • Artikel

Gilt für:

  • Microsoft Defender XDR

Bei der erweiterten Suche werden Fehler angezeigt, um bei Syntaxfehlern zu benachrichtigen und wenn Abfragen vordefinierte Kontingente und Verwendungsparameter erreichen. In der folgenden Tabelle finden Sie Tipps zum Beheben oder Vermeiden von Fehlern.

Fehlertyp Ursache Fehlerbehebung Beispiele für Fehlermeldungen
Syntaxfehler Die Abfrage enthält nicht erkannte Namen, einschließlich Verweise auf nicht vorhandene Operatoren, Spalten, Funktionen oder Tabellen. Stellen Sie sicher, dass Verweise auf Kusto-Operatoren und -Funktionen korrekt sind. Überprüfen Sie das Schema auf die richtigen Spalten, Funktionen und Tabellen für die erweiterte Suche. Schließen Sie Variablenzeichenfolgen in Anführungszeichen ein, damit sie erkannt werden. Verwenden Sie beim Schreiben ihrer Abfragen die Vorschläge zum automatischen Vervollständigen von IntelliSense. A recognition error occurred.
Semantische Fehler Die Abfrage verwendet gültige Operator-, Spalten-, Funktions- oder Tabellennamen, aber es gibt Fehler in der Struktur und der resultierenden Logik. In einigen Fällen identifiziert die erweiterte Suche den spezifischen Operator, der den Fehler verursacht hat. Suchen Sie nach Fehlern in der Struktur der Abfrage. Anleitungen finden Sie in der Kusto-Dokumentation . Verwenden Sie beim Schreiben ihrer Abfragen die Vorschläge zum automatischen Vervollständigen von IntelliSense. 'project' operator: Failed to resolve scalar expression named 'x'
Timeouts Eine Abfrage kann nur innerhalb eines begrenzten Zeitraums ausgeführt werden, bevor ein Timeout auftritt. Dieser Fehler kann häufiger auftreten, wenn komplexe Abfragen ausgeführt werden. Optimieren der Abfrage Query exceeded the timeout period.
CPU-Drosselung Abfragen im selben Mandanten haben die CPU-Ressourcen überschritten, die basierend auf der Mandantengröße zugeordnet wurden. Der Dienst überprüft jeden Tag und alle 15 Minuten die CPU-Ressourcenauslastung und zeigt Warnungen an, sobald die Auslastung 10 % des zugewiesenen Kontingents überschreitet. Wenn Sie eine Auslastung von 100 % erreichen, blockiert der Dienst Abfragen bis nach dem nächsten täglichen oder 15-minütigen Zyklus. Optimieren Sie Ihre Abfragen, um cpu-Kontingente zu vermeiden. - This query used X% of your organization's allocated resources for the current 15 minutes.
- You have exceeded processing resources allocated to this tenant. You can run queries again in <duration>.
Grenzwert für Ergebnisgröße überschritten Die Aggregatgröße des Resultsets für die Abfrage hat die maximale Größe überschritten. Dieser Fehler kann auftreten, wenn das Resultset so groß ist, dass das Abschneiden am Grenzwert von 10 000 Datensätzen das Resultset nicht auf eine akzeptable Größe reduziert. Ergebnisse mit mehreren Spalten mit aussagekräftigem Inhalt sind wahrscheinlicher von diesem Fehler betroffen. Optimieren der Abfrage Result size limit exceeded. Use "summarize" to aggregate results, "project" to drop uninteresting columns, or "take" to truncate results.
Übermäßiger Ressourcenverbrauch Die Abfrage hat übermäßig viele Ressourcen verbraucht und wurde beendet. In einigen Fällen identifiziert die erweiterte Suche den spezifischen Operator, der nicht optimiert wurde. Optimieren der Abfrage -Query stopped due to excessive resource consumption.
-Query stopped. Adjust use of the <operator name> operator to avoid excessive resource consumption.
Unbekannte Fehler Die Abfrage ist aus einem unbekannten Grund fehlgeschlagen. Führen Sie die Abfrage erneut aus. Wenden Sie sich über das Portal an Microsoft, wenn Abfragen weiterhin unbekannte Fehler zurückgeben. An unexpected error occurred during query execution. Please try again in a few minutes.

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.