Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Use a lista de verificação a seguir para resolver problemas comuns ao trabalhar com consultas KQL (Linguagem de Consulta Kusto) e trabalhos no data lake do Microsoft Sentinel.
Verifique se há pré-requisitos antes de executar consultas ou trabalhos. Para obter mais informações, consulte Funções e permissões para o data lake do Microsoft Sentinel.
Verifique se você selecionou os workspaces corretos antes de executar consultas ou trabalhos KQL.
Confirme se todas as tabelas e workspaces referenciados existem e estão acessíveis.
Use apenas os comandos e operadores KQL com suporte para evitar erros de execução.
Ajuste a consulta com filtros como intervalo de tempo para evitar tempos limite de consulta.
Validação específica do trabalho:
Verifique se você tem a função correta para o workspace de destino ao criar novas tabelas personalizadas por meio de trabalhos. Para obter mais informações, consulte Funções e permissões para o data lake do Microsoft Sentinel.
Teste consultas em um editor KQL para capturar erros de sintaxe e lógica antes de enviá-las como trabalhos.
Verifique se os nomes de trabalho são exclusivos em todos os trabalhos no locatário, incluindo trabalhos do Notebooks.
Valide se o esquema de saída da consulta está alinhado com a tabela de destino em nomes de coluna e tipos de dados.
Verifique o status do trabalho e acompanhe o progresso.
Consulte as tabelas de erros a seguir para obter mensagens de erro e etapas de resolução específicas.
Observação
Os dados promovidos à camada de análise podem levar de 15 a 30 minutos para serem exibidos na Busca Avançada, dependendo do tamanho dos dados e da complexidade da consulta. Os resultados parciais poderão ser promovidos se a consulta do trabalho exceder o limite de uma hora.
Mensagens de erro de consulta KQL
| Mensagem de erro | Causa raiz | Ações sugeridas |
|---|---|---|
| A tabela não pôde ser encontrada ou está vazia. | A tabela referenciada não existe, está vazia ou o usuário não tem as permissões necessárias. | Verifique o nome da tabela, confirme a disponibilidade dos dados e verifique se o usuário tem acesso apropriado. Para obter mais informações, consulte Funções e permissões para o data lake do Microsoft Sentinel. |
| Não é possível acessar um objeto descartado. | Ocorreu um erro de serviço interno no serviço de back-end. | Repita. Abra um chamado de suporte se o problema persistir. |
| Consultas que estão atingindo o tempo limite no Gateway. | Consultas de longa execução sem filtros de tempo. | Impor filtros de tempo ou aplicar filtros extras. |
| Nenhum intervalo de tempo definido. Adicione um parâmetro de tempo para controlar o custo da consulta e evitar tempos limite. | Consultas que têm lookback irrestrito podem causar tempos limite. | Impor filtros de tempo ou aplicar filtros extras. |
| Função sem suporte. Modifique sua consulta para remover funções que não têm suporte no data lake: ingestion_time(). | As consultas no data lake não dão suporte à ingestion_time() função. |
Remova ingestion_time() da consulta e tente novamente. |
| A execução da consulta demorou mais do que o tempo limite atribuído e foi anulada. | • A consulta pode ser excessivamente complexa ou recuperar um conjunto de dados grande, fazendo com que ela exceda o tempo de execução permitido. • A estrutura de consulta ineficiente, como junções desnecessárias ou filtragem excessiva, pode contribuir para um desempenho lento. |
Otimize sua consulta e tente novamente. |
| 401-Não autorizado: normalmente, isso representa um erro permanente e é improvável que a repetição ajude. Detalhes do erro: DataSource={clusterUri}, DatabaseName={databaseName}. | • O token de autenticação usado para acessar o data lake pode ser inválido ou expirado. • Você não tem as permissões necessárias para consultar o banco de dados especificado. |
Reautenticar e verificar as permissões de acesso. |
| A consulta chamada URL externa. Não há suporte para chamar uma URL externa para consultas no Lake. | As consultas KQL executadas no ambiente do data lake não dão suporte à chamada de pontos de extremidade externos. | Remova a chamada de URL externa da consulta. |
| A execução da consulta excedeu os limites permitidos. | As consultas interativas de KQL no data lake são limitadas a 500.000 linhas. | Execute a consulta em um trabalho KQL ou use Notebooks. |
| Não foi possível encontrar tabelas ou elas podem não conter dados. Verifique se há tabelas, tem dados ou se o usuário tem permissões. | • As tabelas especificadas podem não existir no banco de dados. • Talvez você não tenha permissões para acessar as tabelas. • As tabelas podem existir, mas não têm dados, resultando em nenhuma saída significativa. |
Confirme a existência da tabela, a disponibilidade de dados e as permissões do usuário. |
O texto da consulta excedeu o comprimento máximo permitido após a expansão interna. Isso pode ocorrer quando o in() operador é usado com uma variável que contém uma grande lista de itens. |
• O in() operador pode ser usado com uma lista grande, fazendo com que a consulta expandida exceda os limites de consulta.• A consulta pode conter conteúdo gerado dinamicamente que resulta em comprimento excessivo. |
Reduza o tamanho da lista ou simplifique a consulta. |
| A execução da consulta excedeu os limites permitidos. | Otimize sua consulta e tente novamente. | |
Erros semânticos e de sintaxe, por exemplo:
|
A consulta está malformada e faz referência a tabelas ou colunas que não existem ou está usando funções escalares inválidas. | Verifique sua consulta e tente novamente. |
| Cliente não tem acesso a nenhum espaço de trabalho ou forneceu espaço(s) de trabalho inválido(s) no escopo. | A consulta usa uma ID de workspace inválida. | Insira o ID do espaço de trabalho correto e tente novamente. |
| Comando de controle inesperado | O uso de comandos de controle (por exemplo, show) não é permitido. |
Nenhuma ação é necessária. |
Mensagens de erro de trabalho KQL
| Mensagem de erro | Causa raiz | Ações sugeridas |
|---|---|---|
| A tabela de destino especificada não existe no workspace de destino. | O nome da tabela está incorreto, foi excluído ou ainda não foi criado. | Verifique o nome da tabela e verifique se ele existe no workspace de destino antes de enviar o trabalho. |
| A tabela de origem especificada não existe. | Uma ou mais tabelas de origem não existem nos espaços de trabalho especificados, ou foram excluídas recentemente dos seus espaços de trabalho. | Verifique se as tabelas de origem existem no workspace especificado. |
| O nome do workspace ou do banco de dados fornecido na consulta é inválido ou inacessível. | O banco de dados referenciado não existe ou o trabalho não tem permissões de acesso. | Confirme se o nome do banco de dados está correto e acessível no contexto do trabalho. |
| O workspace de destino especificado não existe em suas assinaturas do Azure. | A ID ou o nome do workspace é inválido ou não existe em nenhuma assinatura do Azure em seu locatário. | Valide a ID do workspace. |
| O esquema de saída de consulta não corresponde ao esquema da tabela de destino. | O número ou os nomes das colunas na saída da consulta diferem do esquema da tabela de destino. | Atualize o esquema de consulta ou tabela para garantir que eles estejam alinhados. |
| Os tipos de dados de uma ou mais colunas na saída da consulta não correspondem ao esquema da tabela de destino. | Incompatibilidade de tipos entre a saída da consulta e o esquema de tabela, por exemplo, cadeia de caracteres versus datetime. | Verifique se cada coluna na saída da consulta corresponde ao tipo de dados esperado no esquema da tabela. |
| Falha na execução da consulta KQL devido a erros de sintaxe ou lógica. | A consulta contém sintaxe inválida, funções sem suporte, tipos de dados sem suporte ou referências incorretas. | Teste a consulta em consultas KQL ou no Azure Data Explorer antes de usar a consulta no trabalho KQL. |
| O nome do trabalho KQL deve ser exclusivo. | O nome do trabalho já existe no locatário. | Forneça um nome exclusivo para o trabalho. |
| Nome da coluna inválido. Ele deve começar com uma letra e conter apenas letras, números e sublinhados (_), _ResourceId. | O trabalho tem colunas de saída que contêm um formato sem suporte. | Atualize a consulta e renomeie as colunas. |