Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Verwenden Sie die folgende Checkliste, um häufige Probleme beim Arbeiten mit KQL-Abfragen (Kusto Query Language) und Aufträgen im Microsoft Sentinel-Datensee zu beheben.
Überprüfen Sie vor dem Ausführen von Abfragen oder Aufträgen nach Voraussetzungen. Weitere Informationen finden Sie unter Rollen und Berechtigungen für den Microsoft Sentinel-Datensee.
Stellen Sie sicher, dass Sie die richtigen Arbeitsbereiche ausgewählt haben, bevor Sie KQL-Abfragen oder Aufträge ausführen.
Vergewissern Sie sich, dass alle referenzierten Tabellen und Arbeitsbereiche vorhanden sind und darauf zugegriffen werden kann.
Verwenden Sie nur unterstützte KQL-Operatoren und -Befehle, um Ausführungsfehler zu vermeiden.
Passen Sie die Abfrage mit Filtern wie zeitbereich an, um Abfragetimeouts zu vermeiden.
Auftragsspezifische Überprüfung:
Stellen Sie sicher, dass Sie beim Erstellen neuer benutzerdefinierter Tabellen über Aufträge die richtige Rolle für den Zielarbeitsbereich haben. Weitere Informationen finden Sie unter Rollen und Berechtigungen für den Microsoft Sentinel-Datensee.
Testen Sie Abfragen in einem KQL-Editor, um Syntax- und Logikfehler abzufangen, bevor Sie sie als Aufträge übermitteln.
Stellen Sie sicher, dass Jobnamen für alle Jobs im Mandanten eindeutig sind, einschließlich Notebooks-Aufträgen.
Überprüfen Sie, ob das Abfrageausgabeschema mit der Zieltabelle in Spaltennamen und Datentypen übereinstimmt.
Überprüfen Sie den Auftragsstatus, und verfolgen Sie den Fortschritt.
Weitere Informationen zu bestimmten Fehlermeldungen und Lösungsschritten finden Sie in den folgenden Fehlertabellen.
Hinweis
Daten, die auf die Analyseebene heraufgestuft werden, können 15 bis 30 Minuten benötigen, bis sie abhängig von der Datengröße und der Komplexität der Abfragen in der Erweiterten Suche angezeigt werden. Teilergebnisse können heraufgestuft werden, wenn die Abfrage des Auftrags das einstündige Limit überschreitet.
KQL-Abfragefehlermeldungen
| Fehlermeldung | Grundursache | Empfohlene Maßnahmen |
|---|---|---|
| Tabelle konnte nicht gefunden werden oder ist leer. | Die referenzierte Tabelle ist nicht vorhanden, ist leer, oder der Benutzer verfügt nicht über die erforderlichen Berechtigungen. | Überprüfen Sie den Tabellennamen, bestätigen Sie die Datenverfügbarkeit, und stellen Sie sicher, dass der Benutzer über einen geeigneten Zugriff verfügt. Weitere Informationen finden Sie unter Rollen und Berechtigungen für den Microsoft Sentinel-Datensee. |
| Auf das verworfene Objekt kann nicht zugegriffen werden . | Im Back-End-Dienst ist ein interner Dienstfehler aufgetreten. | Wiederholen Sie den Vorgang. Öffnen Sie ein Supportticket, wenn das Problem weiterhin besteht. |
| Abfragen, die beim Gateway ablaufen. | Lange ausgeführte Abfragen ohne Zeitfilter. | Erzwingen Sie Zeitfilter, oder wenden Sie zusätzliche Filter an. |
| Es wurde kein Zeitbereich festgelegt. Fügen Sie einen Zeitparameter hinzu, um abfragekosten zu steuern und Timeouts zu vermeiden. | Abfragen, die über einen uneingeschränkten Überprüfungszeitraum verfügen, können Zeitüberschreitungen verursachen. | Erzwingen Sie Zeitfilter, oder wenden Sie zusätzliche Filter an. |
| Nicht unterstützte Funktion. Ändern Sie Ihre Abfrage so, dass Funktionen entfernt werden, die im Data Lake nicht unterstützt werden: ingestion_time(). | Abfragen auf dem Datensee unterstützen die ingestion_time() Funktion nicht. |
Entfernen Sie ingestion_time() aus Ihrer Abfrage und versuchen Sie es erneut. |
| Die Abfrageausführung dauerte länger als das zugewiesene Timeout und wurde abgebrochen. | • Die Abfrage kann übermäßig komplex sein oder ein großes Dataset abrufen, was dazu führt, dass sie die zulässige Ausführungszeit überschreitet. • Ineffiziente Abfragestruktur, z. B. unnötige Verknüpfungen oder übermäßige Filterung, können zu einer langsamen Leistung beitragen. |
Optimieren Sie Ihre Abfrage, und versuchen Sie es erneut. |
| 401-Nicht autorisiert: Dies stellt normalerweise einen dauerhaften Fehler dar, und ein erneuter Versuch ist wahrscheinlich nicht hilfreich. Fehlerdetails: DataSource={clusterUri}, DatabaseName={databaseName}. | • Das für den Zugriff auf den Datensee verwendete Authentifizierungstoken ist möglicherweise ungültig oder abgelaufen. • Sie verfügen nicht über die erforderlichen Berechtigungen zum Abfragen der angegebenen Datenbank. |
Erneutes Authentifizieren und Überprüfen von Zugriffsberechtigungen. |
| Die Abfrage hat eine externe URL aufgerufen. Das Aufrufen einer externen URL wird für Abfragen in Lake nicht unterstützt. | KQL-Abfragen, die in der Data Lake-Umgebung ausgeführt werden, unterstützen das Aufrufen externer Endpunkte nicht. | Entfernen Sie den externen URL-Aufruf aus der Abfrage. |
| Die Abfrageausführung hat die zulässigen Grenzwerte überschritten. | Interaktive KQL-Abfragen im Data Lake sind auf 500.000 Zeilen beschränkt. | Führen Sie die Abfrage in einem KQL-Auftrag aus, oder verwenden Sie Notizbücher. |
| Tabellen konnten nicht gefunden werden oder haben möglicherweise keine Daten. Überprüfen Sie, ob Tabellen vorhanden sind, Daten besitzen oder benutzer über Berechtigungen verfügen. | • Die angegebenen Tabellen sind in der Datenbank möglicherweise nicht vorhanden. • Möglicherweise besitzen Sie keine Berechtigungen für den Zugriff auf die Tabellen. • Die Tabellen können vorhanden sein, haben aber keine Daten, was zu keiner sinnvollen Ausgabe führt. |
Bestätigen Sie das Vorhandensein von Tabellen, die Datenverfügbarkeit und die Benutzerberechtigungen. |
Der Abfragetext hat die maximal zulässige Länge nach der internen Erweiterung überschritten. Dies kann auftreten, wenn der in() Operator mit einer Variablen verwendet wird, die eine große Liste von Elementen enthält. |
• Der in() Operator kann mit einer großen Liste verwendet werden, wodurch die erweiterte Abfrage die Abfragegrenzwerte überschreitet.• Die Abfrage kann dynamisch generierten Inhalt enthalten, der zu einer übermäßigen Länge führt. |
Verringern Sie die Größe der Liste, oder vereinfachen Sie die Abfrage. |
| Die Abfrageausführung hat die zulässigen Grenzwerte überschritten. | Optimieren Sie Ihre Abfrage, und versuchen Sie es erneut. | |
Semantische und Syntaxfehler, z. B.:
|
Die Abfrage ist falsch formatiert und verweist auf Tabellen oder Spalten, die nicht vorhanden sind, oder sie verwendet ungültige Skalarfunktionen. | Überprüfen Sie Ihre Abfrage, und versuchen Sie es erneut. |
| Der Client hat keinen Zugriff auf Arbeitsbereiche oder hat ungültige Arbeitsbereiche im Umfang angegeben. | Die Abfrage verwendet eine ungültige Arbeitsbereichs-ID. | Geben Sie die richtige Arbeitsbereichs-ID ein, und versuchen Sie es erneut. |
| Unerwarteter Steuerelementbefehl | Die Verwendung von Steuerbefehlen (z. B. show) ist nicht zulässig. |
Es ist keine Aktion erforderlich. |
KQL-Auftragsfehlermeldungen
| Fehlermeldung | Grundursache | Empfohlene Maßnahmen |
|---|---|---|
| Die angegebene Zieltabelle ist im Zielarbeitsbereich nicht vorhanden. | Der Tabellenname ist falsch, wurde gelöscht oder wurde noch nicht erstellt. | Überprüfen Sie den Tabellennamen und stellen Sie sicher, dass er im Zielarbeitsbereich vorhanden ist, bevor Sie den Auftrag übermitteln. |
| Die angegebene Quelltabelle ist nicht vorhanden. | Mindestens eine Quelltabelle ist in den angegebenen Arbeitsbereichen nicht vorhanden oder wurden kürzlich aus Ihrem Arbeitsbereich gelöscht. | Stellen Sie sicher, dass Quelltabellen im angegebenen Arbeitsbereich vorhanden sind. |
| Der in der Abfrage angegebene Arbeitsbereichs- oder Datenbankname ist ungültig oder nicht verfügbar. | Die referenzierte Datenbank ist nicht vorhanden, oder der Auftrag verfügt nicht über Zugriffsberechtigungen. | Vergewissern Sie sich, dass der Datenbankname korrekt ist und über den Auftragskontext auf sie zugegriffen werden kann. |
| Der angegebene Zielarbeitsbereich ist in Ihren Azure-Abonnements nicht vorhanden. | Die Arbeitsbereichs-ID oder der Name ist ungültig oder ist in keinem Azure-Abonnement in Ihrem Mandanten vorhanden. | Überprüfen Sie die Arbeitsbereichs-ID. |
| Das Abfrageausgabeschema stimmt nicht mit dem Schema der Zieltabelle überein. | Die Anzahl oder die Namen von Spalten in der Abfrageausgabe unterscheiden sich vom Zieltabellenschema. | Aktualisieren Sie das Abfrage- oder Tabellenschema, um sicherzustellen, dass sie übereinstimmen. |
| Die Datentypen einer oder mehrerer Spalten in der Abfrageausgabe stimmen nicht mit dem Zieltabellenschema überein. | Typkonflikt zwischen Abfrageausgabe und Tabellenschema, z. B. String gegenüber Datum/Zeit. | Stellen Sie sicher, dass jede Spalte in der Abfrageausgabe dem erwarteten Datentyp im Tabellenschema entspricht. |
| Die KQL-Abfrage konnte aufgrund von Syntax- oder Logikfehlern nicht ausgeführt werden. | Die Abfrage enthält ungültige Syntax, nicht unterstützte Funktionen, nicht unterstützte Datentypen oder falsche Verweise. | Testen Sie die Abfrage in KQL-Abfragen oder Azure Data Explorer, bevor Sie die Abfrage im KQL-Auftrag verwenden. |
| Der KQL-Auftragsname muss eindeutig sein. | Der Jobname existiert bereits im Tenant. | Geben Sie einen eindeutigen Namen für den Auftrag an. |
| Ungültiger Spaltenname. Sie sollte mit einem Buchstaben beginnen und nur Buchstaben, Zahlen und Unterstriche (_) enthalten, _ResourceId. | Job enthält Ausgabespalten mit einem nicht unterstützten Format. | Aktualisieren Sie die Abfrage, und benennen Sie Spalten um. |