Share via

Obnovení archivovaných protokolů z vyhledávání

  • Článek
  • Platí pro:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Obnovte data z archivovaného protokolu, aby se používala ve vysoce výkonných dotazech a analýzách.

Než obnovíte data v archivním protokolu, přečtěte si téma Zahájení šetření vyhledáváním velkých datových sad (Preview) a obnovením ve službě Azure Monitor.

Důležité

Microsoft Sentinel je k dispozici jako součást veřejné verze Preview pro jednotnou platformu operací zabezpečení na portálu Microsoft Defender. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Obnovení archivovaných dat protokolu

Pokud chcete obnovit archivovaná data protokolu v Microsoft Sentinelu, zadejte tabulku a časový rozsah dat, která chcete obnovit. Během několika minut jsou data protokolu dostupná v pracovním prostoru služby Log Analytics. Data pak můžete použít v vysoce výkonných dotazech, které podporují úplné dotazovací jazyk Kusto (KQL).

Archivovaná data můžete obnovit přímo ze stránky Hledat nebo z uloženého hledání.

  1. Pro Microsoft Sentinel na webu Azure Portal v části Obecné vyberte Hledat.
    Pro Microsoft Sentinel na portálu Defender vyberte Microsoft Sentinel>Search.

  2. Obnovení dat protokolu jedním ze dvou způsobů:

    • V horní části stránky Hledání vyberte Obnovit. Snímek obrazovky s tlačítkem obnovit v horní části vyhledávací stránky
    • Vyberte kartu Uložené hledání a v příslušném hledání obnovte. Snímek obrazovky s odkazem pro obnovení uloženého hledání

  3. Vyberte tabulku, kterou chcete obnovit.

  4. Vyberte časový rozsah dat, která chcete obnovit.

  5. Vyberte Obnovit.

    Snímek obrazovky se stránkou obnovení s vybranou tabulkou a časovým rozsahem

  6. Počkejte na obnovení dat protokolu. Stav úlohy obnovení zobrazíte výběrem na kartě Obnovení .

Zobrazení obnovených dat protokolu

Stav a výsledky obnovení dat protokolu zobrazíte tak, že přejdete na kartu Obnovení . Obnovená data můžete zobrazit, když stav úlohy obnovení zobrazuje data k dispozici.

  1. V Microsoft Sentinelu vyberte Obnovení hledání>.

    Snímek obrazovky s kartou obnovení na vyhledávací stránce

  2. Po dokončení úlohy obnovení vyberte název tabulky.

    Snímek obrazovky znázorňující řádky s dokončenými úlohami obnovení a vybranou tabulkou

  3. Zkontrolujte výsledky.

    Snímek obrazovky znázorňující podokno dotazu protokolů s obnovenými výsledky tabulky

    Podokno dotazu Protokoly zobrazuje název tabulky obsahující obnovená data. Časový rozsah je nastavený na vlastní časový rozsah , který používá počáteční a koncové časy obnovených dat.

Odstranění obnovených tabulek dat

Pokud chcete ušetřit náklady, doporučujeme odstranit obnovenou tabulku, když ji už nepotřebujete. Když odstraníte obnovenou tabulku, Azure neodstraní podkladová zdrojová data.

  1. V Microsoft Sentinelu vyberte Obnovení hledání>.

  2. Identifikujte tabulku, kterou chcete odstranit.

  3. Vyberte Odstranit pro tento řádek tabulky.

    Snímek obrazovky s kartou obnovení, která zobrazuje tlačítko odstranit na každém řádku

Další kroky