مشاركة عبر

استعادة السجلات المؤرشفة من البحث

  • مقالة
  • ينطبق على:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

استعادة البيانات من سجل مؤرشف لاستخدامها في الاستعلامات والتحليلات عالية الأداء.

هام

يتوفر Microsoft Sentinel الآن بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

المتطلبات الأساسية

قبل استعادة البيانات في سجل مؤرشف، راجع بدء التحقيق عن طريق البحث في مجموعات البيانات الكبيرة (إصدار أولي)والاستعادة في مراقب Azure.

استعادة بيانات السجل المؤرشفة

لاستعادة بيانات السجل المؤرشفة في Microsoft Azure Sentinel، حدد الجدول والنطاق الزمني للبيانات التي تريد استعادتها. في غضون بضع دقائق، تتم استعادة بيانات السجل وإتاحتها داخل مساحة عمل Log Analytics. ثم يمكنك استخدام البيانات في الاستعلامات عالية الأداء التي تدعم لغة استعلام Kusto الكاملة (KQL).

استعادة البيانات المؤرشفة مباشرة من صفحة البحث أو من عملية بحث محفوظة.

  1. في Microsoft Sentinel، حدد بحث. في مدخل Microsoft Azure، يتم سرد هذه الصفحة ضمن عام. في مدخل Defender، تكون هذه الصفحة على مستوى جذر Microsoft Sentinel.

  2. استعادة بيانات السجل باستخدام إحدى الطرق التالية:

    • حدد استعادة في أعلى الصفحة. في جزء الاستعادة على الجانب، حدد الجدول والنطاق الزمني الذي تريد استعادته، ثم حدد استعادة في أسفل الجزء.

    • حدد عمليات البحث المحفوظة، وحدد موقع نتائج البحث التي تريد استعادتها، ثم حدد استعادة. إذا كان لديك جداول متعددة، فحدد الجدول الذي تريد استعادته ثم حدد استعادة الإجراءات > في الجزء الجانبي. على سبيل المثال:

      لقطة شاشة لاستعادة بحث موقع معين.

  3. انتظر حتى تتم استعادة بيانات السجل. اعرض حالة مهمة الاستعادة عن طريق تحديد علامة التبويب استعادة.

عرض بيانات السجل المستعادة

عرض حالة ونتائج استعادة بيانات السجل بالانتقال إلى علامة التبويب استعادة. يمكنك عرض البيانات المستعادة عندما تظهر حالة مهمة الاستعادة البيانات المتوفرة.

  1. في Microsoft Sentinel، حدد "Search>Restoration".

  2. عند اكتمال مهمة الاستعادة وتحديث الحالة، حدد اسم الجدول وراجع النتائج.

    في مدخل Microsoft Azure، تظهر النتائج في صفحة استعلام السجلات. في مدخل Defender، تظهر النتائج في صفحة التتبع المتقدم.

    على سبيل المثال:

    لقطة شاشة تعرض جزء استعلام السجلات مع نتائج جدول الاستعادة.

    يتم تعيين النطاق الزمني إلى نطاق زمني مخصص يستخدم أوقات البدء والانتهاء للبيانات المستعادة.

حذف جداول البيانات المستعادة

لتوفير التكاليف، نوصي بحذف الجدول المستعادة عندما لم تعد بحاجة إليه. عند حذف جدول تمت استعادته، لا يتم حذف بيانات المصدر الأساسية.

  1. في Microsoft Sentinel، حدد استعادة البحث>وحدد الجدول الذي تريد حذفه.

  2. حدد حذف لصف الجدول هذا لحذف الجدول المستعادة.

الخطوات التالية