重要
注意: 2026 年 8 月 18 日,根据 世纪互联发布的公告,所有Microsoft Sentinel 功能将在中国 Azure 正式停用。
以下是高级安全信息模型(ASIM)已知问题和限制:
时间选取器设置为自定义范围
在日志屏幕中使用筛选 ASIM 分析器(前缀_Im或imvim)时,时间选取器将自动更改为“在查询中设置”,这将导致查询相关表中的所有数据。 查询结果可能不是预期结果,性能可能很慢。
若要确保正确且及时的结果,请在时间范围更改为“在查询中设置”后,将时间范围设置为首选范围。 在即席查询中,你可能想要使用非筛选分析程序(带有前缀 _ASim 或 ASim)。
性能挑战
长时间范围内基于 ASIM 的查询(不使用筛选参数)可能很慢。 分析是一项资源密集型作,应用于大型未筛选数据集时,预期速度会很慢。
如果遇到性能问题:
- 使用交互式查询时,请确保将时间选取器设置为所需的时间范围。
- 使用分析器筛选器。 最重要的是使用
starttime和endtime筛选器参数。
不支持 ingest_time() 函数
该 ingest_time() 函数报告记录引入Microsoft Sentinel 的时间,这可能不同于 TimeGenerated。 此信息通常用于考虑引入延迟的查询中。 必须在特定表的上下文中使用, ingest_time() 并且不适用于 ASIM 函数,后者统一了许多不同的表。
误导性信息性消息
在某些情况下,使用 ASIM 分析器函数时,通常当查询没有结果时,将显示以下信息消息。
虽然消息令人震惊,但它只是信息性的,并且系统的行为与预期一样。 无论它们是否在你的环境中可用,ASIM 函数都会合并来自多个源的数据。 该消息表明某些源在你的环境中不可用。
后续步骤
本文介绍高级安全信息模型 (ASIM) 帮助函数。
有关详细信息,请参见: