處理進階搜捕錯誤
適用於:
- Microsoft Defender XDR
進階搜捕會顯示錯誤,以在每次查詢達到 預先定義的配額和使用方式參數時通知語法錯誤。 如需如何解決或避免錯誤的秘訣,請參閱下表。
錯誤類型 | 原因 | 解決方案 | 錯誤訊息範例 |
---|---|---|---|
語法錯誤 | 查詢包含無法辨識的名稱,包括不存在的運算子、欄標籤、函數或表格的參照。 | 請確定 Kusto 運算子和函 式的參考正確無誤。 檢查 架構中 是否有正確的進階搜捕數據行、函式和數據表。 以引弧括住變數字串,以便辨識它們。 撰寫查詢時,請使用 IntelliSense 的自動完成建議。 | A recognition error occurred. |
語意錯誤 | 查詢使用有效的運算子、資料行、函數或資料表名稱時,其結構和產生的邏輯有錯誤。 在某些情況下,進階搜捕會識別導致錯誤的特定運算子。 | 檢查查詢結構中的錯誤。 如需指引,請參閱 Kusto 檔 。 撰寫查詢時,請使用 IntelliSense 的自動完成建議。 | 'project' operator: Failed to resolve scalar expression named 'x' |
逾時 | 查詢只能在 限定期間內執行,再逾時。執行複雜查詢時,可能會更頻繁地發生此錯誤。 | 最佳化查詢 | Query exceeded the timeout period. |
CPU 節流 | 相同租使用者中的查詢已超過根據租使用者大小配置的 CPU 資源 。 | 此服務會每天每隔 15 分鐘檢查一次 CPU 資源使用量,在使用量超過配額的 10% 之後顯示警告。 如果您達到 100% 使用率,服務會阻止查詢,直到下一個每日或 15 分鐘循環之後。 優化您的查詢以避免達到CPU配額 | - This query used X% of your organization's allocated resources for the current 15 minutes. - You have exceeded processing resources allocated to this tenant. You can run queries again in <duration>. |
超過結果大小限制 | 查詢結果集的匯總大小已超過上限。 如果結果集太大,導致 10,000 筆記錄限制的截斷無法減少為可接受的大小,就可能發生此錯誤。 有多個欄具有可調整內容的結果,較可能受此錯誤影響。 | 最佳化查詢 | Result size limit exceeded. Use "summarize" to aggregate results, "project" to drop uninteresting columns, or "take" to truncate results. |
資源消耗過多 | 查詢已耗用過多資源,且已停止完成。 在某些情況下,進階搜捕會識別未最佳化的特定運算子。 | 最佳化查詢 | -Query stopped due to excessive resource consumption. - Query stopped. Adjust use of the <operator name> operator to avoid excessive resource consumption. |
未知的錯誤 | 查詢失敗,原因不明。 | 請再次嘗試執行查詢。 如果查詢繼續傳回未知的錯誤,請透過入口網站與 Microsoft 聯繫。 | An unexpected error occurred during query execution. Please try again in a few minutes. |
相關主題
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應