Hantera avancerade sökfel
Viktigt
Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.
Gäller för:
- Microsoft 365 Defender
- Microsoft Defender för Endpoint
Avancerad sökning visar fel för att meddela om syntaxfel och när frågor träffar fördefinierade kvoter och användningsparametrar. I tabellen nedan finns tips om hur du löser eller undviker fel.
| Feltyp | Orsak | Lösning | Exempel på felmeddelanden |
|---|---|---|---|
| Syntaxfel | Frågan innehåller okända namn, inklusive referenser till icke-existenta operatorer, kolumner, funktioner eller tabeller. | Kontrollera att referenserna till Kusto-operatorer och funktioner är korrekta. I schemat finns rätt kolumner, funktioner och tabeller för avancerad sökning. Omge variabla strängar med citattecken så att de kan identifieras. När du skriver dina frågor kan du använda Komplettera automatiskt-förslag från IntelliSense. | A recognition error occurred. |
| Semantiska fel | Även om frågan använder giltiga operator-, kolumn-, funktions- eller tabellnamn finns det fel i strukturen och den resulterande logiken. I vissa fall identifieras den specifika operatorn som orsakade felet av avancerad sökning. | Sök efter fel i frågans struktur. Mer information finns i kustodokumentationen. När du skriver dina frågor kan du använda Komplettera automatiskt-förslag från IntelliSense. | 'project' operator: Failed to resolve scalar expression named 'x' |
| Tidsgränser | En fråga kan endast köras inom en begränsad tid innan den tidsinställning som används . Det här felet kan inträffa oftare när du kör komplexa frågor. | Optimera frågan | Query exceeded the timeout period. |
| CPU-begränsning | Frågor i samma klientorganisation har överskridit cpu-resurserna som har tilldelats baserat på klientorganisationens storlek. | Tjänsten kontrollerar CPU-resursanvändningen var 15:e minut och varje dag och visar varningar efter att användningen överskrider 10 % av den tilldelade kvoten. Om användningen av tjänsten når 100 % blockeras frågor till efter nästa dagliga eller 15-minuterscykel. Optimera dina frågor för att undvika att nå CPU-kvoter | - This query used X% of your organization's allocated resources for the current 15 minutes.- You have exceeded processing resources allocated to this tenant. You can run queries again in <duration>. |
| Överskriden storleksgräns för resultat | Den sammanlagda storleken på resultatuppsättningen för frågan har överskridit den maximala storleken. Det här felet kan uppstå om resultatuppsättningen är så stor att trunkeringen vid gränsen på 10 000 poster inte kan minska den till en godtagbar storlek. Resultat som har flera kolumner med anpassningsbart innehåll är mer sannolikt att påverkas av det här felet. | Optimera frågan | Result size limit exceeded. Use "summarize" to aggregate results, "project" to drop uninteresting columns, or "take" to truncate results. |
| Överflödig resursanvändning | Frågan har förbrukat alltför mycket resurser och har slutat slutföras. I vissa fall identifierar avancerad sökning den specifika operatorn som inte optimerades. | Optimera frågan | -Query stopped due to excessive resource consumption.- Query stopped. Adjust use of the <operator name> operator to avoid excessive resource consumption. |
| Okända fel | Frågan misslyckades på grund av en okänd orsak. | Försök att köra frågan igen. Kontakta Microsoft via portalen om frågor fortsätter att returnera okända fel. | An unexpected error occurred during query execution. Please try again in a few minutes. |