高级安全信息模型 (ASIM) 已知问题 (公共预览版)

重要

注意: 2026 年 8 月 18 日,根据 世纪互联发布的公告,所有Microsoft Sentinel 功能将在中国 Azure 正式停用。

以下是高级安全信息模型(ASIM)已知问题和限制:

时间选取器设置为自定义范围

在日志屏幕中使用筛选 ASIM 分析器(前缀_Imimvim)时,时间选取器将自动更改为“在查询中设置”,这将导致查询相关表中的所有数据。 查询结果可能不是预期结果,性能可能很慢。

使用 ASIM 时的自定义时间选取器屏幕截图。

若要确保正确且及时的结果,请在时间范围更改为“在查询中设置”后,将时间范围设置为首选范围。 在即席查询中,你可能想要使用非筛选分析程序(带有前缀 _ASimASim)。

性能挑战

长时间范围内基于 ASIM 的查询(不使用筛选参数)可能很慢。 分析是一项资源密集型作,应用于大型未筛选数据集时,预期速度会很慢。

如果遇到性能问题:

  • 使用交互式查询时,请确保将时间选取器设置为所需的时间范围。
  • 使用分析器筛选器。 最重要的是使用 starttimeendtime 筛选器参数。

不支持 ingest_time() 函数

ingest_time() 函数报告记录引入Microsoft Sentinel 的时间,这可能不同于 TimeGenerated。 此信息通常用于考虑引入延迟的查询中。 必须在特定表的上下文中使用, ingest_time() 并且不适用于 ASIM 函数,后者统一了许多不同的表。

误导性信息性消息

在某些情况下,使用 ASIM 分析器函数时,通常当查询没有结果时,将显示以下信息消息。

与 ASIM 相关的误导性信息性消息的屏幕截图。

虽然消息令人震惊,但它只是信息性的,并且系统的行为与预期一样。 无论它们是否在你的环境中可用,ASIM 函数都会合并来自多个源的数据。 该消息表明某些源在你的环境中不可用。

后续步骤

本文介绍高级安全信息模型 (ASIM) 帮助函数。

有关详细信息,请参见: