Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Utilice la siguiente lista de comprobación para resolver problemas comunes al trabajar con consultas y trabajos de KQL (Lenguaje de Consulta Kusto) en el lago de datos de Microsoft Sentinel.
Compruebe si hay requisitos previos antes de ejecutar consultas o trabajos. Para obtener más información, consulte Roles y permisos para el lago de datos de Microsoft Sentinel.
Asegúrese de seleccionar las áreas de trabajo correctas antes de ejecutar consultas o trabajos de KQL.
Confirme que existen todas las tablas y áreas de trabajo a las que se hace referencia y que son accesibles.
Use solo los comandos y operadores KQL admitidos para evitar errores de ejecución.
Ajuste la consulta con filtros como el intervalo de tiempo para evitar tiempos de espera de consulta.
Validación específica del trabajo:
Al crear nuevas tablas personalizadas mediante trabajos, compruebe que tiene el rol correcto para el área de trabajo de destino. Para obtener más información, consulte Roles y permisos para el lago de datos de Microsoft Sentinel.
Pruebe las consultas en un editor de KQL para detectar errores de sintaxis y lógica antes de enviarlos como trabajos.
Asegúrese de que los nombres de trabajo son únicos en todos los trabajos del inquilino, incluidos los trabajos de Cuadernos.
Compruebe que el esquema de salida de la consulta se alinea con la tabla de destino en los nombres de columna y los tipos de datos.
Compruebe el estado del trabajo y realice un seguimiento del progreso.
Consulte las siguientes tablas de errores para obtener mensajes de error específicos y pasos de resolución.
Nota:
Los datos promocionados al nivel de análisis pueden tardar entre 15 y 30 minutos en aparecer en Búsqueda avanzada en función del tamaño de los datos y la complejidad de las consultas. Los resultados parciales se pueden promover si la consulta del trabajo supera el límite de una hora.
Mensajes de error de consulta KQL
| Mensaje de error | Causa principal | Acciones recomendadas |
|---|---|---|
| No se encontró la tabla o está vacía. | La tabla a la que se hace referencia no existe, está vacía o el usuario no tiene los permisos necesarios. | Compruebe el nombre de la tabla, confirme la disponibilidad de los datos y asegúrese de que el usuario tiene el acceso adecuado. Para obtener más información, consulte Roles y permisos para el lago de datos de Microsoft Sentinel. |
| No se puede tener acceso a un objeto eliminado. | Se produjo un error de servicio interno en el servicio back-end. | vuelva a intentarlo. Abra un ticket de soporte si el problema persiste. |
| Las consultas agotan el tiempo de espera en la puerta de enlace. | Consultas de ejecución prolongada sin filtros de tiempo. | Aplicar filtros de tiempo o aplicar filtros adicionales. |
| No hay ningún intervalo de tiempo establecido. Agregue un parámetro de hora para controlar el costo de las consultas y evitar tiempos de espera. | Las consultas que tienen un horizonte de búsqueda sin restricciones pueden provocar tiempos de espera. | Aplicar filtros de tiempo o aplicar filtros adicionales. |
| Función no admitida. Modifique la consulta para quitar funciones que no se admiten en el lago de datos: ingestion_time(). | Las consultas en el lago de datos no admiten la ingestion_time() función . |
Quite ingestion_time() de la consulta e inténtelo de nuevo. |
| La ejecución de la consulta tardó más del tiempo de espera asignado y ha sido abortada. | • La consulta puede ser demasiado compleja o recuperar un conjunto de datos grande, lo que hace que supere el tiempo de ejecución permitido. • Estructura de consulta ineficaz, como combinaciones innecesarias o filtrado excesivo puede contribuir a un rendimiento lento. |
Optimice la consulta e inténtelo de nuevo. |
| 401-No autorizado: Esto normalmente representa un error permanente, y es poco probable que intentar de nuevo sea útil. Detalles del error: DataSource={clusterUri}, DatabaseName={databaseName}. | • El token de autenticación usado para acceder al lago de datos puede ser no válido o expirado. • No tiene los permisos necesarios para consultar la base de datos especificada. |
Vuelva a autenticar y compruebe los permisos de acceso. |
| La consulta llamó a una dirección URL externa. No se admite la llamada a una dirección URL externa para las consultas en Lake. | Las consultas KQL ejecutadas en el entorno de Data Lake no admiten llamadas a puntos de conexión externos. | Elimine la llamada a la URL externa de la consulta. |
| La ejecución de consultas ha superado los límites permitidos. | Las consultas interactivas de KQL en el lago de datos están limitadas a 500 000 filas. | Ejecute la consulta en un trabajo de KQL o use cuadernos. |
| No se encontraron tablas o es posible que no tengan datos. Compruebe si existen tablas, tiene datos o el usuario tiene permisos. | • Es posible que las tablas especificadas no existan en la base de datos. • Es posible que no tenga permisos para acceder a las tablas. • Las tablas pueden existir pero no tienen datos, lo que da lugar a una salida sin significado. |
Confirme la existencia de tablas, la disponibilidad de los datos y los permisos de usuario. |
El texto de la consulta superó la longitud máxima permitida después de la expansión interna. Esto puede ocurrir cuando el in() operador se usa con una variable que contiene una lista grande de elementos. |
• El in() operador puede usarse con una lista grande, lo que hace que la consulta expandida supere los límites de consulta.• La consulta puede contener contenido generado dinámicamente que da como resultado una longitud excesiva. |
Reduzca el tamaño de la lista o simplifique la consulta. |
| La ejecución de consultas ha superado los límites permitidos. | Optimice la consulta e inténtelo de nuevo. | |
Errores semánticos y de sintaxis, por ejemplo:
|
La consulta tiene un formato incorrecto y hace referencia a tablas o columnas que no existen o usa funciones escalares no válidas. | Compruebe la consulta e inténtelo de nuevo. |
| El cliente no tiene acceso a ninguna área de trabajo o proporcionó una(s) área(s) de trabajo no válida(s) en el ámbito. | La consulta usa un identificador de área de trabajo no válido. | Escriba el identificador de área de trabajo correcto e inténtelo de nuevo. |
| Comando de control inesperado | No se permite el uso de comandos de control (por ejemplo, show). |
No es necesario realizar ninguna acción. |
Mensajes de error del trabajo de KQL
| Mensaje de error | Causa principal | Acciones recomendadas |
|---|---|---|
| La tabla de destino especificada no existe en el área de trabajo de destino. | El nombre de la tabla es incorrecto, se ha eliminado o aún no se ha creado. | Compruebe el nombre de la tabla y asegúrese de que existe en el área de trabajo de destino antes de enviar el trabajo. |
| La tabla de origen especificada no existe. | Una o varias tablas de origen no existen en las áreas de trabajo especificadas o se eliminaron recientemente del área de trabajo. | Compruebe que existen tablas de origen en el área de trabajo especificada. |
| El nombre del área de trabajo o de la base de datos proporcionada en la consulta no es válido o no es accesible. | La base de datos a la que se hace referencia no existe o el trabajo carece de permisos de acceso. | Confirme que el nombre de la base de datos es correcto y accesible desde el contexto del trabajo. |
| El área de trabajo de destino especificada no existe en las suscripciones de Azure. | El identificador o el nombre del área de trabajo no son válidos o no existen en ninguna suscripción de Azure en el inquilino. | Valide el identificador del área de trabajo. |
| El esquema de salida de la consulta no coincide con el esquema de la tabla de destino. | El número o los nombres de las columnas de la salida de consulta difieren del esquema de la tabla de destino. | Actualice la consulta o el esquema de tabla para asegurarse de que están alineados. |
| Los tipos de datos de una o varias columnas de la salida de la consulta no coinciden con el esquema de la tabla de destino. | Error de coincidencia de tipos entre la salida de la consulta y el esquema de la tabla, por ejemplo, cadena en lugar de fecha/hora. | Asegúrese de que cada columna de la salida de consulta coincida con el tipo de datos esperado en el esquema de tabla. |
| No se pudo ejecutar la consulta KQL debido a errores de sintaxis o lógica. | La consulta contiene sintaxis no válida, funciones no admitidas, tipos de datos no admitidos o referencias incorrectas. | Pruebe la consulta en consultas KQL o Azure Data Explorer antes de usar la consulta en el trabajo de KQL. |
| El nombre del trabajo de KQL debe ser único. | El nombre del trabajo ya existe en el inquilino. | Proporcione un nombre único para el trabajo. |
| Nombre de columna no válido. Debe comenzar con una letra y contener solo letras, números y caracteres de subrayado (_), _ResourceId. | El trabajo tiene columnas de salida que contienen un formato no admitido. | Actualice la consulta y cambie el nombre de las columnas. |