مشاركة عبر

استعادة السجلات المؤرشفة من البحث

  • ينطبق على: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

استعادة البيانات من سجل مؤرشف لاستخدامها في الاستعلامات والتحليلات عالية الأداء.

Important

يتوفر Microsoft Sentinel بشكل عام في مدخل Microsoft Defender، بما في ذلك للعملاء الذين ليس لديهم Microsoft Defender XDR أو ترخيص E5.

بدءا من يوليو 2026، ستتم إعادة توجيه جميع العملاء الذين يستخدمون Microsoft Sentinel في مدخل Microsoft Azure إلى مدخل Defender وسيستخدمون Microsoft Sentinel في مدخل Defender فقط. بدءا من يوليو 2025، يتم إلحاق العديد من العملاء الجدد تلقائيا وإعادة توجيههم إلى مدخل Defender.

إذا كنت لا تزال تستخدم Microsoft Sentinel في مدخل Microsoft Azure، نوصيك بالبدء في التخطيط للانتقال إلى مدخل Defender لضمان انتقال سلس والاستفادة الكاملة من تجربة عمليات الأمان الموحدة التي يقدمها Microsoft Defender. لمزيد من المعلومات، راجع حان الوقت للنقل: إيقاف مدخل Microsoft Sentinel Azure لمزيد من الأمان.

Prerequisites

قبل استعادة البيانات في سجل مؤرشف، راجع الاستعادة في Azure Monitor.

استعادة بيانات السجل المؤرشفة

لاستعادة بيانات السجل المؤرشفة في Microsoft Azure Sentinel، حدد الجدول والنطاق الزمني للبيانات التي تريد استعادتها. في غضون بضع دقائق، تتم استعادة بيانات السجل وإتاحتها داخل مساحة عمل Log Analytics. ثم يمكنك استخدام البيانات في الاستعلامات عالية الأداء التي تدعم لغة استعلام Kusto الكاملة (KQL).

استعادة البيانات المؤرشفة مباشرة من صفحة البحث أو من عملية بحث محفوظة.

  1. في مدخل Defender، توجد هذه الصفحة على مستوى جذر Microsoft Sentinel. في Microsoft Sentinel، حدد بحث. في مدخل Microsoft Azure، يتم سرد هذه الصفحة ضمن عام.

  2. استعادة بيانات السجل باستخدام إحدى الطرق التالية:

    • حدد استعادة في أعلى الصفحة. في جزء الاستعادة على الجانب، حدد الجدول والنطاق الزمني الذي تريد استعادته، ثم حدد استعادة في الجزء السفلي من الجزء.

    • حدد عمليات البحث المحفوظة، وحدد موقع نتائج البحث التي تريد استعادتها، ثم حدد استعادة. إذا كان لديك جداول متعددة، فحدد الجدول الذي تريد استعادته ثم حدد استعادة الإجراءات > في الجزء الجانبي. على سبيل المثال:

      لقطة شاشة لاستعادة بحث موقع معين.

  3. انتظر حتى تتم استعادة بيانات السجل. اعرض حالة مهمة الاستعادة عن طريق تحديد علامة التبويب الاسترداد .

عرض بيانات السجل المستعادة

اعرض حالة ونتائج استعادة بيانات السجل بالانتقال إلى علامة التبويب الاستعادة . يمكنك عرض البيانات المستعادة عندما تظهر حالة مهمة الاستعادة البيانات المتاحة.

  1. في Microsoft Sentinel، حدد استعادة البحث>.

  2. عند اكتمال مهمة الاستعادة وتحديث الحالة، حدد اسم الجدول وراجع النتائج.

    في مدخل Microsoft Azure، تظهر النتائج في صفحة استعلام السجلات . في مدخل Defender، يتم عرض النتائج في صفحة التتبع المتقدم .

    على سبيل المثال:

    لقطة شاشة تعرض جزء استعلام السجلات مع نتائج الجدول المستعادة.

    يتم تعيين النطاق الزمني إلى نطاق زمني مخصص يستخدم أوقات البدء والانتهاء للبيانات المستعادة.

حذف جداول البيانات المستعادة

لتوفير التكاليف، نوصي بحذف الجدول المستعادة عندما لم تعد بحاجة إليه. عند حذف جدول تمت استعادته، لا يتم حذف بيانات المصدر الأساسية.

  1. في Microsoft Sentinel، حدد استعادة البحث> وحدد الجدول الذي تريد حذفه.

  2. حدد حذف لصف الجدول هذا لحذف الجدول المستعاد.

الخطوات التالية

  • Last updated on