Prisma Cloud:调查页面中出现错误“不允许按‘访问级别’或‘是否管理’列进行聚合”

Prisma Cloud:调查页面中出现错误“不允许按‘访问级别’或‘是否管理’列进行聚合”

2790
Created On 11/11/24 04:51 AM - Last Modified 01/03/25 03:45 AM


Symptom


本文是关于使用“action.name CONTAINS ALL”过滤器时不允许按“访问级别”或“是否管理”列进行聚合的错误消息。

当用户在调查页面上运行具有“action.name CONTAINS ALL?”过滤器的 RQL 查询时,他们会注意到以下错误消息。

Aggregating by 'Access Levels' or 'Is Administrative' columns is not allowed when using the 'action.name CONTAINS ALL' filter. Please remove the selected columns or modify your query to continue.

GUI 路径:云安全 > 调查 > 搜索
错误.png

当用户尝试以下操作时也会发生这种情况。

  • 单击警报ID,然后单击“调查”按钮。

Environment


  • Prisma Cloud 云安全
  • 调查页面

Cause


此错误消息是由于使用“?action.name CONTAINS ALL(?) ?”过滤器的限制造成的
该错误消息与 RQL 查询调查结果无关。
在当前设计下,使用“action.name CONTAINS ALL(?) ”过滤器的查询不支持使用其中一个列(“访问级别”或“是否管理”列)进行聚合

Resolution


要解决此问题,请从列选择器模式中取消选择“访问级别”和“是否管理”列。或者,选择所有列(即不聚合)。

GUI 路径:云安全 > 调查 > 配置列

sample.png

Additional Information


调查页面上查看我们的文档。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000PQqLCAW&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language