Sdílet prostřednictvím

Obnovení archivovaných protokolů z vyhledávání

  • Článek
  • Platí pro:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Obnovte data z archivovaného protokolu, aby se používala ve vysoce výkonných dotazech a analýzách.

Důležité

Microsoft Sentinel je teď obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Požadavky

Než obnovíte data v archivním protokolu, přečtěte si téma Zahájení šetření vyhledáváním velkých datových sad (Preview) a obnovením ve službě Azure Monitor.

Obnovení archivovaných dat protokolu

Pokud chcete obnovit archivovaná data protokolu v Microsoft Sentinelu, zadejte tabulku a časový rozsah dat, která chcete obnovit. Během několika minut jsou data protokolu dostupná v pracovním prostoru služby Log Analytics. Data pak můžete použít v vysoce výkonných dotazech, které podporují úplné dotazovací jazyk Kusto (KQL).

Obnovte archivovaná data přímo ze stránky Hledat nebo z uloženého hledání.

  1. V Microsoft Sentinelu vyberte Hledat. Na webu Azure Portal je tato stránka uvedená v části Obecné. Na portálu Defender je tato stránka na kořenové úrovni služby Microsoft Sentinel.

  2. Obnovení dat protokolu pomocí jedné z následujících metod:

    • V horní části stránky vyberte Obnovit. V podokně Obnovení na straně vyberte tabulku a časový rozsah, které chcete obnovit, a pak vyberte Obnovit v dolní části podokna.

    • Vyberte Uložené hledání, vyhledejte výsledky hledání, které chcete obnovit, a pak vyberte Obnovit. Pokud máte více tabulek, vyberte tabulku, kterou chcete obnovit, a v bočním podokně vyberte Akce > Obnovit . Příklad:

      Snímek obrazovky s obnovením vyhledávání konkrétního webu

  3. Počkejte na obnovení dat protokolu. Stav úlohy obnovení zobrazíte výběrem na kartě Obnovení .

Zobrazení obnovených dat protokolu

Stav a výsledky obnovení dat protokolu zobrazíte tak, že přejdete na kartu Obnovení . Obnovená data můžete zobrazit, když stav úlohy obnovení zobrazuje data k dispozici.

  1. V Microsoft Sentinelu vyberte Obnovení hledání>.

  2. Po dokončení úlohy obnovení a aktualizace stavu vyberte název tabulky a zkontrolujte výsledky.

    Na webu Azure Portal se výsledky zobrazují na stránce dotazu Protokoly . Na portálu Defender se výsledky zobrazují na stránce rozšířeného proaktivního vyhledávání.

    Příklad:

    Snímek obrazovky znázorňující podokno dotazu protokolů s obnovenými výsledky tabulky

    Časový rozsah je nastavený na vlastní časový rozsah , který používá počáteční a koncové časy obnovených dat.

Odstranění obnovených tabulek dat

Pokud chcete ušetřit náklady, doporučujeme odstranit obnovenou tabulku, když ji už nepotřebujete. Když odstraníte obnovenou tabulku, podkladová zdrojová data se neodstraní.

  1. V Microsoft Sentinelu vyberte Obnovení hledání>a identifikujte tabulku, kterou chcete odstranit.

  2. Vyberte Odstranit pro tento řádek tabulky a odstraňte obnovenou tabulku.

Další kroky