Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
重要
注意: 2026 年 8 月 18 日,根据 世纪互联发布的公告,所有Microsoft Sentinel 功能将在中国 Azure 正式停用。
以下是高级安全信息模型(ASIM)已知问题和限制:
性能挑战
长时间范围内基于 ASIM 的查询(不使用筛选参数)可能很慢。 分析是一项资源密集型作,应用于大型未筛选数据集时,预期速度会很慢。
如果遇到性能问题:
- 使用交互式查询时,请确保将时间选取器设置为所需的时间范围。
- 使用分析器筛选器。 最重要的是使用
starttime和endtime筛选器参数。
不支持 ingest_time() 函数
该 ingest_time() 函数报告记录引入Microsoft Sentinel 的时间,这可能不同于 TimeGenerated。 此信息通常用于考虑引入延迟的查询中。 必须在 ingest_time() 特定表的上下文中使用,并且不适用于 ASIM 函数,后者统一了许多不同的表。
误导性信息性消息
在某些情况下,使用 ASIM 分析器函数时,通常当查询没有结果时,将显示以下信息消息。
虽然消息令人震惊,但它只是信息性的,并且系统的行为如预期。 无论它们是否在你的环境中可用,ASIM 函数都会合并来自多个源的数据。 该消息表明某些源在你的环境中不可用。
后续步骤
本文介绍高级安全信息模型 (ASIM) 帮助函数。
有关详细信息,请参见: