Lidar com erros de investigação avançada
Aplica-se a:
- Microsoft Defender XDR
A investigação avançada apresenta erros para notificar por erros de sintaxe e sempre que as consultas atingem quotas predefinidas e parâmetros de utilização. Consulte a tabela abaixo para obter sugestões sobre como resolver ou evitar erros.
| Tipo de erro | Causa | Resolução | Exemplos de mensagens de erro |
|---|---|---|---|
| Erros de sintaxe | A consulta contém nomes não reconhecidos, incluindo referências a operadores, colunas, funções ou tabelas inexistentes. | Certifique-se de que as referências aos operadores e funções do Kusto estão corretas . Verifique o esquema para obter as colunas, funções e tabelas de investigação avançadas corretas. Coloque as cadeias de carateres variáveis entre aspas para que sejam reconhecidas. Ao escrever as suas consultas, utilize as sugestões de conclusão automática do IntelliSense. | A recognition error occurred. |
| Erros semânticos | Embora a consulta utilize nomes de operadores, colunas, funções ou tabelas válidos, existem erros na estrutura e na lógica resultante. Em alguns casos, a investigação avançada identifica o operador específico que causou o erro. | Verifique se existem erros na estrutura da consulta. Veja a documentação do Kusto para obter orientações. Ao escrever as suas consultas, utilize as sugestões de conclusão automática do IntelliSense. | 'project' operator: Failed to resolve scalar expression named 'x' |
| Tempos limite | Uma consulta só pode ser executada num período limitado antes de exceder o tempo limite. Este erro pode ocorrer com mais frequência ao executar consultas complexas. | Otimizar a consulta | Query exceeded the timeout period. |
| Limitação da CPU | As consultas no mesmo inquilino excederam os recursos da CPU que foram alocados com base no tamanho do inquilino. | O serviço verifica a utilização de recursos da CPU a cada 15 minutos e diariamente e apresenta avisos após a utilização exceder 10% da quota alocada. Se atingir 100% de utilização, o serviço bloqueia as consultas até depois do próximo ciclo diário ou de 15 minutos. Otimizar as consultas para evitar atingir as quotas da CPU | You have exceeded processing resources allocated to this tenant. You can run queries again in <duration>. |
| Limite de tamanho do resultado excedido | O tamanho agregado do conjunto de resultados da consulta excedeu o tamanho máximo. Este erro pode ocorrer se o conjunto de resultados for tão grande que a truncagem no limite de 30 000 registos não o pode reduzir a um tamanho aceitável. Os resultados que têm múltiplas colunas com conteúdo considerável são mais propensos a serem afetados por este erro. | Otimizar a consulta | Result size limit exceeded. Use "summarize" to aggregate results, "project" to drop uninteresting columns, or "take" to truncate results. |
| Consumo excessivo de recursos | A consulta consumiu quantidades excessivas de recursos e foi impedida de ser concluída. Em alguns casos, a investigação avançada identifica o operador específico que não foi otimizado. | Otimizar a consulta | -Query stopped due to excessive resource consumption.- Query stopped. Adjust use of the <operator name> operator to avoid excessive resource consumption. |
| Erros desconhecidos | A consulta falhou devido a um motivo desconhecido. | Tente executar a consulta novamente. Contacte a Microsoft através do portal se as consultas continuarem a devolver erros desconhecidos. | An unexpected error occurred during query execution. Please try again in a few minutes. |
Tópicos relacionados
- Melhores práticas de investigação avançadas
- Parâmetros de quota e utilização
- Compreender o esquema
- descrição geral do Linguagem de Pesquisa Kusto
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.