Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Use la siguiente lista de comprobación para resolver problemas comunes al trabajar con consultas y trabajos de KQL (Lenguaje de consulta Kusto) en Microsoft Sentinel lago de datos.
Compruebe los requisitos previos antes de ejecutar consultas o trabajos. Para obtener más información, consulte Roles y permisos para el lago de datos de Microsoft Sentinel.
Asegúrese de seleccionar las áreas de trabajo correctas antes de ejecutar trabajos o consultas de KQL.
Confirme que todas las tablas y áreas de trabajo a las que se hace referencia existen y son accesibles.
Use solo los operadores y comandos KQL admitidos para evitar errores de ejecución.
Ajuste la consulta con filtros como intervalo de tiempo para evitar tiempos de espera de consulta.
Validación específica del trabajo:
Compruebe que tiene el rol correcto para el área de trabajo de destino al crear nuevas tablas personalizadas a través de trabajos. Para obtener más información, consulte Roles y permisos para el lago de datos de Microsoft Sentinel.
Pruebe las consultas en un editor de KQL para detectar errores de sintaxis y lógica antes de enviarlos como trabajos.
Asegúrese de que los nombres de trabajo son únicos en todos los trabajos del inquilino, incluidos los trabajos de Cuadernos.
Valide que el esquema de salida de la consulta se alinea con la tabla de destino en los nombres de columna y los tipos de datos.
Compruebe el estado del trabajo y realice un seguimiento del progreso.
Consulte las siguientes tablas de errores para ver mensajes de error específicos y pasos de resolución.
Nota:
Los datos promocionados al nivel de análisis pueden tardar entre 15 y 30 minutos en aparecer en Búsqueda avanzada en función del tamaño de los datos y la complejidad de las consultas. Los resultados parciales se pueden promover si la consulta del trabajo supera el límite de una hora.
Mensajes de error de consulta de KQL
| Mensaje de error | Causa principal | Acciones recomendadas |
|---|---|---|
| No se encontró la tabla o está vacía. | La tabla a la que se hace referencia no existe, está vacía o el usuario no tiene los permisos necesarios. | Compruebe el nombre de la tabla, confirme la disponibilidad de los datos y asegúrese de que el usuario tiene el acceso adecuado. Para obtener más información, consulte Roles y permisos para el lago de datos de Microsoft Sentinel. |
| No se puede acceder a un objeto eliminado. | Error de servicio interno en el servicio back-end. | Vuelva a intentarlo. Abra una incidencia de soporte técnico si el problema persiste. |
| Las consultas agotan el tiempo de espera en la puerta de enlace. | Consultas de larga duración sin filtros de tiempo. | Aplicar filtros de tiempo o aplicar filtros adicionales. |
| No hay ningún intervalo de tiempo establecido. Agregue un parámetro de tiempo para controlar el costo de la consulta y evitar tiempos de espera. | Las consultas que tienen una vista atrás sin restricciones pueden provocar tiempos de espera. | Aplicar filtros de tiempo o aplicar filtros adicionales. |
| Función no admitida. Modifique la consulta para quitar funciones que no se admiten en data lake: ingestion_time(). | Las consultas en el lago de datos no admiten la ingestion_time() función . |
Quite ingestion_time() de la consulta e inténtelo de nuevo. |
| La ejecución de consultas tardó más que el tiempo de espera asignado y se anuló. | • La consulta puede ser demasiado compleja o recuperar un conjunto de datos grande, lo que hace que supere el tiempo de ejecución permitido. • Una estructura de consulta ineficaz, como combinaciones innecesarias o filtrado excesivo puede contribuir a un rendimiento lento. |
Optimice la consulta e inténtelo de nuevo. |
| 401-Unauthorized: esto normalmente representa un error permanente y es poco probable que el reintento ayude. Detalles del error: DataSource={clusterUri}, DatabaseName={databaseName}. | • El token de autenticación utilizado para acceder al lago de datos puede no ser válido o expirado. • No tiene los permisos necesarios para consultar la base de datos especificada. |
Vuelva a autenticar y compruebe los permisos de acceso. |
| La consulta denominada dirección URL externa. No se admite la llamada a una dirección URL externa para las consultas en Lake. | Las consultas KQL ejecutadas en el entorno del lago de datos no admiten la llamada a puntos de conexión externos. | Quite la llamada URL externa de la consulta. |
| La ejecución de consultas ha superado los límites permitidos. | Las consultas interactivas de KQL en el lago de datos están limitadas a 500 000 filas. | Ejecute la consulta en un trabajo de KQL o use Cuadernos. |
| No se encontraron tablas o es posible que no tengan datos. Compruebe si las tablas existen, tienen datos o el usuario tiene permisos. | • Es posible que las tablas especificadas no existan en la base de datos. • Es posible que no tenga permisos para acceder a las tablas. • Es posible que las tablas existan pero no tengan datos, lo que no da lugar a ninguna salida significativa. |
Confirme la existencia de tablas, la disponibilidad de datos y los permisos de usuario. |
El texto de la consulta superó la longitud máxima permitida después de la expansión interna. Esto puede ocurrir cuando el in() operador se usa con una variable que contiene una lista grande de elementos. |
• El in() operador puede usarse con una lista grande, lo que hace que la consulta expandida supere los límites de consulta.• La consulta puede contener contenido generado dinámicamente que da lugar a una longitud excesiva. |
Reduzca el tamaño de la lista o simplifique la consulta. |
| La ejecución de consultas ha superado los límites permitidos. | Optimice la consulta e inténtelo de nuevo. | |
Errores semánticos y de sintaxis, por ejemplo:
|
La consulta tiene un formato incorrecto y hace referencia a tablas o columnas que no existen, o bien usa funciones escalares no válidas. | Compruebe la consulta e inténtelo de nuevo. |
| El cliente no tiene acceso a ninguna área de trabajo o a las áreas de trabajo no válidas proporcionadas por el cliente en el ámbito. | La consulta usa un identificador de área de trabajo no válido. | Escriba el identificador de área de trabajo correcto e inténtelo de nuevo. |
| Comando de control inesperado | No se permite el uso de comandos de control (por ejemplo, show). |
No se necesita ninguna acción. |
Mensajes de error del trabajo de KQL
| Mensaje de error | Causa principal | Acciones recomendadas |
|---|---|---|
| La tabla de destino especificada no existe en el área de trabajo de destino. | El nombre de la tabla es incorrecto, se ha eliminado o aún no se ha creado. | Compruebe el nombre de la tabla y asegúrese de que existe en el área de trabajo de destino antes de enviar el trabajo. |
| La tabla de origen especificada no existe. | Una o varias tablas de origen no existen en las áreas de trabajo especificadas o se eliminaron recientemente del área de trabajo. | Compruebe que las tablas de origen existen en el área de trabajo especificada. |
| El nombre del área de trabajo o de la base de datos proporcionado en la consulta no es válido o no es accesible. | La base de datos a la que se hace referencia no existe o el trabajo carece de permisos de acceso. | Confirme que el nombre de la base de datos es correcto y accesible desde el contexto del trabajo. |
| El área de trabajo de destino especificada no existe en las suscripciones de Azure. | El identificador o el nombre del área de trabajo no son válidos o no existen en ninguna suscripción Azure del inquilino. | Valide el identificador del área de trabajo. |
| El esquema de salida de la consulta no coincide con el esquema de la tabla de destino. | El número o los nombres de las columnas de la salida de la consulta difieren del esquema de tabla de destino. | Actualice la consulta o el esquema de tabla para asegurarse de que están alineados. |
| Los tipos de datos de una o más columnas de la salida de la consulta no coinciden con el esquema de tabla de destino. | Error de coincidencia de tipos entre la salida de la consulta y el esquema de tabla, por ejemplo, cadena frente a datetime. | Asegúrese de que cada columna de la salida de la consulta coincide con el tipo de datos esperado en el esquema de tabla. |
| La consulta KQL no se pudo ejecutar debido a errores de sintaxis o lógica. | La consulta contiene sintaxis no válida, funciones no admitidas, tipos de datos no admitidos o referencias incorrectas. | Pruebe la consulta en consultas KQL o Azure Data Explorer antes de usar la consulta en el trabajo de KQL. |
| El nombre del trabajo de KQL debe ser único. | El nombre del trabajo ya existe en el inquilino. | Proporcione un nombre único para el trabajo. |
| Nombre de columna no válido. Debe empezar con una letra y contener solo letras, números y caracteres de subrayado (_), _ResourceId. | El trabajo tiene columnas de salida que contienen un formato no admitido. | Actualice la consulta y cambie el nombre de las columnas. |