Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Verwenden Sie die folgende Checkliste, um häufige Probleme bei der Arbeit mit KQL-Abfragen (Kusto-Abfragesprache) und Aufträgen in Microsoft Sentinel Data Lake zu beheben.
Überprüfen Sie die Voraussetzungen, bevor Sie Abfragen oder Aufträge ausführen. Weitere Informationen finden Sie unter Rollen und Berechtigungen für den Microsoft Sentinel Data Lake.
Stellen Sie sicher, dass Sie die richtigen Arbeitsbereiche ausgewählt haben, bevor Sie KQL-Abfragen oder -Aufträge ausführen.
Vergewissern Sie sich, dass alle Tabellen und Arbeitsbereiche, auf die verwiesen wird, vorhanden sind und darauf zugegriffen werden kann.
Verwenden Sie nur unterstützte KQL-Operatoren und -Befehle, um Ausführungsfehler zu vermeiden.
Passen Sie die Abfrage mit Filtern wie dem Zeitbereich an, um Abfragetimeouts zu vermeiden.
Auftragsspezifische Überprüfung:
Stellen Sie sicher, dass Sie über die richtige Rolle für den Zielarbeitsbereich verfügen, wenn Sie neue benutzerdefinierte Tabellen über Aufträge erstellen. Weitere Informationen finden Sie unter Rollen und Berechtigungen für den Microsoft Sentinel Data Lake.
Testen Sie Abfragen in einem KQL-Editor, um Syntax- und Logikfehler abzufangen, bevor Sie sie als Aufträge übermitteln.
Stellen Sie sicher, dass Auftragsnamen für alle Aufträge im Mandanten eindeutig sind, einschließlich Notebooks-Aufträgen.
Überprüfen Sie, ob das Abfrageausgabeschema an der Zieltabelle in Spaltennamen und Datentypen ausgerichtet ist.
Überprüfen Sie status, und verfolgen Sie den Fortschritt nach.
In den folgenden Fehlertabellen finden Sie spezifische Fehlermeldungen und Lösungsschritte.
Hinweis
Je nach Datengröße und Abfragekomplexität kann es 15 bis 30 Minuten dauern, bis sie in der erweiterten Suche angezeigt werden. Teilergebnisse können höher gestuft werden, wenn die Abfrage des Auftrags den Grenzwert von einer Stunde überschreitet.
KQL-Abfragefehlermeldungen
| Fehlermeldung | Ursache | Empfohlene Maßnahmen |
|---|---|---|
| Die Tabelle wurde nicht gefunden oder ist leer. | Die Tabelle, auf die verwiesen wird, ist nicht vorhanden, ist leer, oder der Benutzer verfügt nicht über die erforderlichen Berechtigungen. | Überprüfen Sie den Tabellennamen, bestätigen Sie die Datenverfügbarkeit, und stellen Sie sicher, dass der Benutzer über den entsprechenden Zugriff verfügt. Weitere Informationen finden Sie unter Rollen und Berechtigungen für den Microsoft Sentinel Data Lake. |
| Auf ein verworfenes Objekt kann nicht zugegriffen werden. | Im Back-End-Dienst ist ein interner Dienstfehler aufgetreten. | und versuchen Sie es erneut. Öffnen Sie ein Supportticket, wenn das Problem weiterhin besteht. |
| Zeitüberschreitung bei Abfragen am Gateway. | Abfragen mit langer Ausführungsdauer ohne Zeitfilter. | Zeitfilter erzwingen oder zusätzliche Filter anwenden. |
| Kein Zeitbereich festgelegt. Fügen Sie einen Zeitparameter hinzu, um die Abfragekosten zu steuern und Timeouts zu vermeiden. | Abfragen mit uneingeschränktem Lookback können Zu Timeouts führen. | Zeitfilter erzwingen oder zusätzliche Filter anwenden. |
| Nicht unterstützte Funktion. Ändern Sie Ihre Abfrage, um Funktionen zu entfernen, die im Data Lake nicht unterstützt werden: ingestion_time(). | Abfragen im Data Lake unterstützen die ingestion_time() Funktion nicht. |
Entfernen Sie ingestion_time() aus Ihrer Abfrage, und versuchen Sie es erneut. |
| Die Abfrageausführung dauerte länger als das zugewiesene Timeout und wurde abgebrochen. | • Die Abfrage kann übermäßig komplex sein oder ein großes Dataset abrufen, sodass es die zulässige Ausführungszeit überschreitet. • Ineffiziente Abfragestruktur, z. B. unnötige Joins oder übermäßige Filterung, können zu einer langsamen Leistung beitragen. |
Optimieren Sie Ihre Abfrage, und versuchen Sie es erneut. |
| 401-Unauthorized: Dies stellt normalerweise einen dauerhaften Fehler dar, und ein erneutes Wiederholen ist unwahrscheinlich. Fehlerdetails: DataSource={clusterUri}, DatabaseName={databaseName}. | • Das Authentifizierungstoken, das für den Zugriff auf den Data Lake verwendet wird, ist möglicherweise ungültig oder abgelaufen. • Sie verfügen nicht über die erforderlichen Berechtigungen zum Abfragen der angegebenen Datenbank. |
Authentifizieren und überprüfen Sie die Zugriffsberechtigungen erneut. |
| Die Abfrage, die als externe URL bezeichnet wird. Das Aufrufen einer externen URL wird für Abfragen in Lake nicht unterstützt. | KQL-Abfragen, die in der Data Lake-Umgebung ausgeführt werden, unterstützen das Aufrufen externer Endpunkte nicht. | Entfernen Sie den externen URL-Aufruf aus der Abfrage. |
| Die Abfrageausführung hat die zulässigen Grenzwerte überschritten. | Interaktive KQL-Abfragen im Data Lake sind auf 500.000 Zeilen beschränkt. | Führen Sie die Abfrage in einem KQL-Auftrag aus, oder verwenden Sie Notebooks. |
| Tabellen konnten nicht gefunden werden oder enthalten möglicherweise keine Daten. Überprüfen Sie, ob Tabellen vorhanden sind, Über Daten verfügen oder der Benutzer über Berechtigungen verfügt. | • Die angegebenen Tabellen sind möglicherweise nicht in der Datenbank vorhanden. • Möglicherweise haben Sie keine Berechtigungen für den Zugriff auf die Tabellen. • Die Tabellen sind möglicherweise vorhanden, enthalten aber keine Daten, was zu keiner aussagekräftigen Ausgabe führt. |
Bestätigen Sie das Vorhandensein von Tabellen, die Datenverfügbarkeit und Benutzerberechtigungen. |
Der Abfragetext hat die maximal zulässige Länge nach der internen Erweiterung überschritten. Dies kann auftreten, wenn der in() Operator mit einer Variablen verwendet wird, die eine große Liste von Elementen enthält. |
• Der in() Operator kann mit einer großen Liste verwendet werden, wodurch die erweiterte Abfrage die Abfragegrenzwerte überschreitet.• Die Abfrage kann dynamisch generierten Inhalt enthalten, der zu einer übermäßigen Länge führt. |
Reduzieren Sie die Größe der Liste, oder vereinfachen Sie die Abfrage. |
| Die Abfrageausführung hat die zulässigen Grenzwerte überschritten. | Optimieren Sie Ihre Abfrage, und versuchen Sie es erneut. | |
Semantik- und Syntaxfehler, z. B.:
|
Die Abfrage ist falsch formatiert und verweist auf Tabellen oder Spalten, die nicht vorhanden sind, oder sie verwendet ungültige Skalarfunktionen. | Überprüfen Sie Ihre Abfrage, und versuchen Sie es erneut. |
| Der Client hat keinen Zugriff auf Arbeitsbereiche oder vom Client bereitgestellte ungültige Arbeitsbereiche im Bereich. | Die Abfrage verwendet eine ungültige Arbeitsbereichs-ID. | Geben Sie die richtige Arbeitsbereichs-ID ein, und versuchen Sie es erneut. |
| Unerwarteter Steuerungsbefehl | Die Verwendung von Steuerelementbefehlen (z. B show. ) ist nicht zulässig. |
Keine Aktion erforderlich. |
Fehlermeldungen zu KQL-Aufträgen
| Fehlermeldung | Ursache | Empfohlene Maßnahmen |
|---|---|---|
| Die angegebene Zieltabelle ist im Zielarbeitsbereich nicht vorhanden. | Der Tabellenname ist falsch, wurde gelöscht oder wurde noch nicht erstellt. | Überprüfen Sie den Tabellennamen, und stellen Sie sicher, dass er im Zielarbeitsbereich vorhanden ist, bevor Sie den Auftrag übermitteln. |
| Die angegebene Quelltabelle ist nicht vorhanden. | Mindestens eine Quelltabelle ist in den angegebenen Arbeitsbereichen nicht vorhanden oder wurde kürzlich aus Ihrem Arbeitsbereich gelöscht. | Stellen Sie sicher, dass Quelltabellen im angegebenen Arbeitsbereich vorhanden sind. |
| Der in der Abfrage angegebene Arbeitsbereichs- oder Datenbankname ist ungültig oder kann nicht zugegriffen werden. | Die Datenbank, auf die verwiesen wird, ist nicht vorhanden, oder dem Auftrag fehlen Zugriffsberechtigungen. | Vergewissern Sie sich, dass der Datenbankname korrekt ist und über den Auftragskontext zugänglich ist. |
| Der angegebene Zielarbeitsbereich ist in Ihren Azure-Abonnements nicht vorhanden. | Die Arbeitsbereichs-ID oder der Name ist ungültig oder ist in keinem Azure Abonnement in Ihrem Mandanten vorhanden. | Überprüfen Sie die Arbeitsbereichs-ID. |
| Das Abfrageausgabeschema stimmt nicht mit dem Schema der Zieltabelle überein. | Die Anzahl oder die Namen der Spalten in der Abfrageausgabe unterscheiden sich vom Zieltabellenschema. | Aktualisieren Sie die Abfrage oder das Tabellenschema, um sicherzustellen, dass sie ausgerichtet sind. |
| Die Datentypen einer oder mehrerer Spalten in der Abfrageausgabe stimmen nicht mit dem Zieltabellenschema überein. | Typkonflikt zwischen Abfrageausgabe und Tabellenschema, z. B. Zeichenfolge im Vergleich zu datetime. | Stellen Sie sicher, dass jede Spalte in der Abfrageausgabe dem erwarteten Datentyp im Tabellenschema entspricht. |
| Die KQL-Abfrage konnte aufgrund von Syntax- oder Logikfehlern nicht ausgeführt werden. | Die Abfrage enthält ungültige Syntax, nicht unterstützte Funktionen, nicht unterstützte Datentypen oder falsche Verweise. | Testen Sie die Abfrage in KQL-Abfragen oder Azure Data Explorer, bevor Sie die Abfrage im KQL-Auftrag verwenden. |
| Der KQL-Auftragsname muss eindeutig sein. | Der Auftragsname ist bereits im Mandanten vorhanden. | Geben Sie einen eindeutigen Namen für den Auftrag an. |
| Ungültiger Spaltenname. Er sollte mit einem Buchstaben beginnen und nur Buchstaben, Zahlen und Unterstriche (_), _ResourceId enthalten. | Der Auftrag verfügt über Ausgabespalten, die ein nicht unterstütztes Format enthalten. | Aktualisieren Sie die Abfrage, und benennen Sie die Spalten um. |