Resolver problemas de erros de ambiente de execução de regras
Erros de ambiente de execução podem ocorrer durante a execução de regras e impedir que uma regra seja executada com sucesso. Este documento ajuda você a resolver alguns problemas comuns de tempo de execução.
É possível evitar erros de execução testando as regras antes da implantação. Clique em Executar teste no editor de regras. Se um erro for detectado, siga o link de erro para mais detalhes.
Se ocorrer um erro durante a execução da regra, siga o link de erro na página Detecções para mais detalhes.
Erros de sintaxe e lógica de consulta
Esses erros ocorrem quando a estrutura da consulta é inválida, muito complexa ou usa tipos de dados incompatíveis.
| Mensagem de erro | Causa subjacente | Resolução |
|---|---|---|
Too many `OR` and `AND` operations
|
A consulta contém expressões ou lógica aninhadas que excedem os limites de espaço da pilha. | Simplifique as condições da regra. Divida a lógica complexa em partes menores. |
Query is too long
|
A consulta exige muito espaço de pilha para ser processada. | Divida a lógica em várias regras. |
Accessing a new field that did not exist for this time range
|
A regra faz referência a um campo adicionado recentemente ao esquema, mas está sendo executada em um período em que esse campo não existia. | Ajuste o período para começar depois que o campo estiver presente. Modifique a regra para processar casos em que o campo é nulo ou está ausente. |
Invalid subnet CIDR
|
Algumas funções encontraram um intervalo de roteamento entre domínios sem classe (CIDR) que não pode ser analisado | Verifique o formato dos intervalos CIDR na regra. |
Invalid IP address
|
Algumas funções encontraram um endereço IP malformado. | Verifique se o valor do campo contém um formato de endereço IP válido |
Map access for reading label does not support duplicate map keys
|
Algumas funções tentaram acessar elementos de uma estrutura semelhante a um mapa (por exemplo, campos adicionais) em que há chaves duplicadas (não permitido na operação). | Investigue a fonte de dados em busca de chaves duplicadas. Adapte a lógica da regra para processar essa característica dos dados. |
Invalid regular expression
|
A expressão regular usada em funções como re.regex() está malformada.
|
Corrija a sintaxe da expressão regular. |
Invalid re.replace()
|
Uso incorreto de re.regex(), geralmente devido a uma incompatibilidade entre subexpressões entre parênteses e referências na string de substituição.
|
Verifique se o esquema de reescrita em re.regex() corresponde às subexpressões entre parênteses na expressão regular.
|
Integer overflow in sum() aggregation
|
A soma dos valores excede o limite máximo para números inteiros padrão. | Converta o campo para um tipo de ponto flutuante antes de somar (por exemplo, use sum(0.0 + $e.field)).
|
Cannot complete [arithmetic/mod] operation between unsigned and signed integer
|
Causado por tentativas de operações aritméticas (+, -, *, /, MOD) entre diferentes tipos de números inteiros.
|
Use cast.as_int() ou cast.as_uint() para converter um campo e corresponder ao outro.
|
Limites de recursos e erros de desempenho
Esses erros indicam que a consulta é muito pesada para o sistema processar.
| Mensagem de erro | Causa subjacente | Resolução |
|---|---|---|
Request was throttled, please try again later
|
A regra exige mais memória ou poder de processamento do que o alocado (geralmente devido a junções complexas, agregações grandes ou filtragem insuficiente). | Adicione filtros mais específicos à seção de eventos. |
Not enough memory for aggregation
|
O aggregate_memory_limit foi excedido.
|
Otimize as agregações reduzindo o número de chaves na seção "match". |
Spilled bytes exceed limit
|
A consulta está tentando processar muitos eventos. | Otimize a consulta adicionando filtros, como metadata.log_type.
|
Your query resource usage is exceeding its allocation
|
A consulta foi cancelada pelo gerenciador de recursos porque usou muitos recursos. | Otimize a consulta adicionando filtros, como metadata.log_type.
|
Erros de acesso aos dados e do sistema
Esses erros geralmente são temporários ou relacionados ao armazenamento de dados do back-end.
| Mensagem de erro | Causa subjacente | Resolução |
|---|---|---|
Error reading files
|
Problemas temporários ao acessar os dados subjacentes. | Tente de novo mais tarde. Se o erro persistir, entre em contato com o suporte. |
Error reading database
|
Problemas temporários ao acessar os dados subjacentes. | Tente de novo mais tarde. Se o erro persistir, entre em contato com o suporte. |
Internal error
|
Um problema temporário no sistema. | Tente de novo mais tarde. Se o erro persistir, entre em contato com o suporte. |
Unknown error
|
Uma mensagem de erro padrão quando um código de erro interno específico não está definido. | Tente de novo mais tarde. Se o erro persistir, entre em contato com o suporte. |
Request was throttled, please try again later
|
O sistema está sobrecarregado. | Tente de novo mais tarde. |
Erros de tempo de execução desconhecidos
Você pode encontrar erros de execução desconhecidos sem uma descrição. Se isso acontecer, entre em contato com o suporte do Google SecOps.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.