Restaurer des journaux archivés à partir de la recherche

  • Article
  • S’applique à:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Restaurez des données à partir d’un journal archivé pour les utiliser dans des requêtes et des analyses à hautes performances.

Avant de restaurer des données dans un journal archivé, consultez Démarrer une investigation en recherchant des jeux de données volumineux (version préliminaire) et Restaurer dans Azure Monitor.

Important

Microsoft Sentinel est disponible dans le cadre de la préversion publique de la plateforme d’opérations de sécurité unifiée dans le portail Microsoft Defender. Pour en savoir plus, consultez Microsoft Sentinel dans le portail Microsoft Defender.

Restaurer des données de journaux archivés

Pour restaurer des données de journaux archivés dans Microsoft Sentinel, spécifiez la table et l’intervalle de temps pour les données à restaurer. Au bout de quelques minutes, les données de journal sont disponibles dans l’espace de travail Log Analytics. Vous pouvez ensuite utiliser les données dans des requêtes hautes performances qui prennent en charge le Langage de requête Kusto (KQL) complet.

Vous pouvez restaurer des données archivées directement depuis la page Recherche ou depuis une recherche enregistrée.

  1. Pour Microsoft Sentinel dans le Portail Azure, sous Général, sélectionnez Rechercher.
    Pour Microsoft Sentinel dans le portail Defender, sélectionnez Microsoft Sentinel>Rechercher.

  2. Restaurez les données de journal de deux manières :

    • En haut de la page Recherche, sélectionnez Restaurer. Capture d’écran du bouton Restaurer en haut de la page de recherche.
    • Sélectionnez l’onglet Recherches enregistrées, puis Restaurer dans la recherche appropriée. Capture d’écran du lien de restauration sur une recherche enregistrée.

  3. Sélectionnez la table à restaurer.

  4. Sélectionnez l’intervalle de temps des données à restaurer.

  5. Sélectionnez Restaurer.

    Capture d’écran de la page de restauration avec une table et un intervalle de temps sélectionnés.

  6. Attendez que les données de journal soient restaurées. Vous pouvez consulter l’état de votre tâche de restauration sous l’onglet Restauration.

Afficher les données de journal restaurées

Pour afficher l’état et les résultats de la restauration des données de journal, accédez à l’onglet Restauration. Vous pouvez afficher les données restaurées lorsque l’état du travail de restauration affiche Données disponibles.

  1. Dans Microsoft Sentinel, sélectionnez Rechercher>Restauration.

    Capture d’écran de l’onglet Restauration sur la page de recherche.

  2. Une fois la tâche de restauration terminée, sélectionnez le nom de la table.

    Capture d’écran montrant des lignes avec des travaux de restauration terminés et une table sélectionnée.

  3. Passez en revue les résultats.

    Capture d’écran montrant le volet de requête des journaux avec les résultats de la table restaurés.

    Le volet Requête Logs affiche le nom de la table contenant les données restaurées. L’intervalle de temps est défini sur un intervalle personnalisé qui utilise les heures de début et de fin des données restaurées.

Supprimer des tables de données restaurées

Pour réduire les coûts, nous vous recommandons de supprimer la table restaurée lorsque vous n’en avez plus besoin. Lorsque vous supprimez une table restaurée, Azure ne supprime pas les données sources sous-jacentes.

  1. Dans Microsoft Sentinel, sélectionnez Rechercher>Restauration.

  2. Identifiez la table à supprimer.

  3. Sélectionnez Supprimer pour cette ligne de table.

    Capture d’écran de l’onglet Restauration montrant le bouton Supprimer sur chaque ligne.

Étapes suivantes