استعادة البيانات التاريخية

  • 3 دقائق

عندما تحتاج إلى إجراء تحقيق كامل في البيانات المخزنة في السجلات المؤرشفة، قم باستعادة جدول من صفحة البحث في Microsoft Azure Sentinel. حدد جدولا مستهدفا ونطاقا زمنيا للبيانات التي تريد استعادتها. في غضون بضع دقائق، تتم استعادة بيانات السجل وإتاحتها داخل مساحة عمل Log Analytics. ثم يمكنك استخدام البيانات في الاستعلامات عالية الأداء التي تدعم KQL الكامل.

يتوفر جدول سجل مستعادة في جدول جديد يحتوي على لاحقة *_RST. تتوفر البيانات المستعادة طالما أن بيانات المصدر الأساسية متوفرة. ولكن يمكنك حذف الجداول المستعادة في أي وقت دون حذف بيانات المصدر الأساسية. لتوفير التكاليف، نوصي بحذف الجدول المستعادة عندما لم تعد بحاجة إليه.

قيود استعادة السجل

قبل البدء في استعادة جدول سجل مؤرشف، كن على دراية بالقيود التالية:

  • استعادة البيانات لمدة يومين كحد أدنى.
  • استعادة البيانات منذ أكثر من 14 يوماً.
  • استعادة ما يصل إلى 60 تيرابايت.
  • تقتصر الاستعادة على استعادة نشطة واحدة لكل جدول.
  • استعادة ما يصل إلى أربعة جداول مؤرشفة لكل مساحة عمل في الأسبوع.
  • يقتصر على مهمتي استعادة متزامنتين لكل مساحة عمل.

استعادة بيانات السجل المؤرشفة

لاستعادة بيانات السجل المؤرشفة في Microsoft Azure Sentinel، حدد الجدول والنطاق الزمني للبيانات التي تريد استعادتها. في غضون بضع دقائق، تتم استعادة بيانات السجل وإتاحتها داخل مساحة عمل Log Analytics. ثم يمكنك استخدام البيانات في الاستعلامات عالية الأداء التي تدعم KQL الكامل.

يمكنك استعادة البيانات المؤرشفة مباشرة من صفحة البحث أو من عملية بحث محفوظة.

  1. في مدخل Microsoft Azure، انتقل إلى Microsoft Sentinel وحدد مساحة العمل المناسبة.

  2. تحت عام، حدد البحث.

  3. استعادة بيانات السجل بإحدى طريقتين:

    • في أعلى صفحة البحث، حدد استعادة، أو
    • حدد علامة التبويب عمليات البحث المحفوظة والاستعادة في البحث المناسب.

  4. حدد قاعدة البيانات التي ترغب في استعادتها.

  5. حدد النطاق الزمني للبيانات التي تريد استعادتها.

  6. حدد Restore.

  7. انتظر حتى تتم استعادة بيانات السجل. اعرض حالة مهمة الاستعادة عن طريق تحديد علامة التبويب استعادة.

عرض بيانات السجل المستعادة

عرض حالة ونتائج استعادة بيانات السجل بالانتقال إلى علامة التبويب استعادة. يمكنك عرض البيانات المستعادة عندما تظهر حالة مهمة الاستعادة البيانات المتوفرة.

  1. في مساحة عمل Microsoft Azure Sentinel، حدد استعادة البحث >.

  2. عند اكتمال مهمة الاستعادة، حدد اسم الجدول.

  3. راجع النتائج.

يعرض جزء استعلام السجلات اسم الجدول الذي يحتوي على البيانات المستعادة. يتم تعيين النطاق الزمني إلى نطاق زمني مخصص يستخدم أوقات البدء والانتهاء للبيانات المستعادة.

حذف جداول البيانات المستعادة

لتوفير التكاليف، نوصي بحذف الجدول المستعادة عندما لم تعد بحاجة إليه. عند حذف جدول مستعادة، لا يحذف Azure بيانات المصدر الأساسية.

  1. في مساحة عمل Microsoft Azure Sentinel، حدد استعادة البحث >.

  2. حدد الجدول الذي تريد حذفه.

  3. حدد حذف لصف الجدول هذا.