Fehler bei der Ausführung von Regeln beheben
Laufzeitfehler können während der Regelausführung auftreten und verhindern, dass eine Regel erfolgreich ausgeführt wird. Dieses Dokument soll Ihnen helfen, einige häufige Laufzeitprobleme zu beheben.
Sie können Laufzeitfehler vermeiden, indem Sie Ihre Regeln vor der Bereitstellung testen. Klicken Sie im Regeleditor auf Test ausführen. Wenn ein Fehler erkannt wird, folgen Sie dem Fehlerlink, um Details aufzurufen.
Wenn bei der Ausführung einer Regel ein Fehler auftritt, folgen Sie dem Fehlerlink auf der Seite Erkennungen, um Details zu erhalten.
Syntax- und Logikfehler in Abfragen
Diese Fehler treten auf, wenn die Abfragestruktur ungültig oder zu komplex ist oder inkompatible Datentypen verwendet werden.
| Fehlermeldung | Grundursache | Lösung |
|---|---|---|
Too many `OR` and `AND` operations
|
Die Abfrage enthält tief verschachtelte Ausdrücke oder Logik, die die Stack-Speicherplatzgrenzen überschreiten. | Vereinfachen Sie die Bedingungen der Regel. Zerlegen Sie komplexe Logik in kleinere Teile. |
Query is too long
|
Für die Verarbeitung der Anfrage ist zu viel Stapelspeicher erforderlich. | Teilen Sie die Logik in mehrere Regeln auf. |
Accessing a new field that did not exist for this time range
|
Die Regel verweist auf ein Feld, das dem Schema vor Kurzem hinzugefügt wurde. Sie wird jedoch für einen Zeitraum ausgeführt, in dem dieses Feld noch nicht vorhanden war. | Passen Sie den Zeitraum so an, dass er nach dem Zeitpunkt beginnt, an dem das Feld vorhanden war. Ändern Sie die Regel so, dass Fälle berücksichtigt werden, in denen das Feld „null“ ist oder fehlt. |
Invalid subnet CIDR
|
Bei einigen Funktionen wurde ein nicht parsierbarer CIDR-Bereich (Classless Inter-Domain Routing) gefunden. | Prüfen Sie das Format der CIDR-Bereiche in der Regel. |
Invalid IP address
|
Bei einigen Funktionen wurde eine fehlerhafte IP-Adresse festgestellt. | Der Feldwert muss ein gültiges IP-Adressformat enthalten. |
Map access for reading label does not support duplicate map keys
|
Einige Funktionen haben versucht, auf Elemente einer kartenähnlichen Struktur (z. B. zusätzliche Felder) zuzugreifen, in der doppelte Schlüssel vorhanden sind (im Vorgang nicht zulässig). | Untersuchen Sie die Datenquelle auf doppelte Schlüssel. Passen Sie die Regellogik an diese Datencharakteristik an. |
Invalid regular expression
|
Der reguläre Ausdruck, der in Funktionen wie re.regex() verwendet wird, ist fehlerhaft.
|
Korrigieren Sie die Syntax des regulären Ausdrucks. |
Invalid re.replace()
|
Falsche Verwendung von re.regex(), häufig aufgrund einer Diskrepanz zwischen in Klammern gesetzten Teilausdrücken und Referenzen im Ersetzungsstring.
|
Achten Sie darauf, dass das Umschreibeschema in re.regex() mit den in Klammern gesetzten Teilausdrücken im regulären Ausdruck übereinstimmt.
|
Integer overflow in sum() aggregation
|
Die Summe der Werte überschreitet das Limit für Standard-Ganzzahlen. | Wandeln Sie das Feld vor dem Summieren in einen Gleitkommatyp um (z. B. mit sum(0.0 + $e.field)).
|
Cannot complete [arithmetic/mod] operation between unsigned and signed integer
|
Wird durch den Versuch verursacht, arithmetische Operationen (+, -, *, /, MOD) zwischen verschiedenen Ganzzahltypen auszuführen.
|
Verwenden Sie cast.as_int() oder cast.as_uint(), um ein Feld an das andere anzupassen.
|
Ressourcenlimits und Leistungsfehler
Diese Fehler weisen darauf hin, dass die Abfrage zu komplex für das System ist.
| Fehlermeldung | Grundursache | Lösung |
|---|---|---|
Request was throttled, please try again later
|
Für die Regel ist mehr Arbeitsspeicher oder Rechenleistung erforderlich, als zugewiesen ist (oft aufgrund komplexer Joins, großer Aggregationen oder unzureichender Filterung). | Fügen Sie dem Bereich „Ereignisse“ genauere Filter hinzu. |
Not enough memory for aggregation
|
Das aggregate_memory_limit wurde überschritten.
|
Optimieren Sie Aggregationen, indem Sie die Anzahl der Schlüssel im Abschnitt „match“ reduzieren. |
Spilled bytes exceed limit
|
Bei der Abfrage wird versucht, zu viele Ereignisse zu verarbeiten. | Optimieren Sie die Abfrage, indem Sie Filter hinzufügen, z. B. metadata.log_type.
|
Your query resource usage is exceeding its allocation
|
Die Abfrage wurde vom Ressourcenmanager abgebrochen, weil sie zu viele Ressourcen beanspruchte. | Optimieren Sie die Abfrage, indem Sie Filter hinzufügen, z. B. metadata.log_type.
|
Datenzugriff und Systemfehler
Diese Fehler sind oft vorübergehend oder hängen mit der Backend-Datenspeicherung zusammen.
| Fehlermeldung | Zugrunde liegende Ursache | Lösung |
|---|---|---|
Error reading files
|
Vorübergehende Probleme beim Zugriff auf zugrunde liegende Daten. | Versuchen Sie es später noch einmal. Wenn der Fehler weiterhin auftritt, wenden Sie sich an den Support. |
Error reading database
|
Vorübergehende Probleme beim Zugriff auf zugrunde liegende Daten. | Versuchen Sie es später noch einmal. Wenn der Fehler weiterhin auftritt, wenden Sie sich an den Support. |
Internal error
|
Ein vorübergehendes Problem im System. | Versuchen Sie es später noch einmal. Wenn der Fehler weiterhin auftritt, wenden Sie sich an den Support. |
Unknown error
|
Eine Standardfehlermeldung, wenn kein bestimmter interner Fehlercode definiert ist. | Versuchen Sie es später noch einmal. Wenn der Fehler weiterhin auftritt, wenden Sie sich an den Support. |
Request was throttled, please try again later
|
Das System ist stark ausgelastet. | Versuchen Sie es später noch einmal. |
Unbekannte Laufzeitfehler
Möglicherweise treten unbekannte Laufzeitfehler auf, für die keine Beschreibung vorhanden ist. Wenden Sie sich in diesem Fall an den Google SecOps-Support.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten