Restaurer des données historiques

  • 3 minutes

Quand vous devez effectuer un examen complet des données stockées dans les journaux archivés, restaurez une table à partir de la page Recherche de Microsoft Sentinel. Spécifiez une table cible et un intervalle de temps pour les données que vous souhaitez restaurer. Au bout de quelques minutes, les données de journal sont restaurées et disponibles dans l’espace de travail Log Analytics. Vous pouvez ensuite utiliser les données dans des requêtes hautes performances qui prennent en charge le langage KQL complet.

Une table de journal restaurée est disponible dans une nouvelle table qui a un suffixe *_RST. Les données restaurées sont disponibles tant que les données sources sous-jacentes sont disponibles. Toutefois, vous pouvez supprimer les tables restaurées à tout moment sans supprimer les données sources sous-jacentes. Pour réduire les coûts, nous vous recommandons de supprimer la table restaurée lorsque vous n’en avez plus besoin.

Limitations de la restauration des journaux

Avant de commencer à restaurer une table de journaux archivée, tenez compte des limitations suivantes :

  • Restaurez les données pendant au moins deux jours.
  • Restaurez les données datant de plus de 14 jours.
  • Restaurez jusqu’à 60 To.
  • La restauration est limitée à une restauration active par table.
  • Restaurez jusqu’à quatre tables archivées par espace de travail par semaine.
  • Limité à deux tâches de restauration simultanées par espace de travail.

Restaurer des données de journaux archivés

Pour restaurer des données de journaux archivés dans Microsoft Sentinel, spécifiez la table et l’intervalle de temps pour les données à restaurer. Au bout de quelques minutes, les données de journal sont disponibles dans l’espace de travail Log Analytics. Vous pouvez ensuite utiliser les données dans des requêtes hautes performances qui prennent en charge le langage KQL complet.

Vous pouvez restaurer des données archivées directement à partir de la page de recherche ou d’une recherche enregistrée.

  1. Dans le portail Azure, accédez à Microsoft Sentinel et sélectionnez l’espace de travail approprié.

  2. Sous Général, sélectionnez Rechercher.

  3. Restaurez les données de journal de deux manières :

    • En haut de la page Recherche, sélectionnez Restaurer, ou
    • Sélectionnez l’onglet Recherches enregistrées, puis Restaurer dans la recherche appropriée.

  4. Sélectionnez la table à restaurer.

  5. Sélectionnez l’intervalle de temps des données à restaurer.

  6. Sélectionnez Restaurer.

  7. Attendez que les données de journal soient restaurées. Vous pouvez consulter l’état de votre tâche de restauration sous l’onglet Restauration.

Afficher les données de journal restaurées

Pour afficher l’état et les résultats de la restauration des données de journal, accédez à l’onglet Restauration. Vous pouvez afficher les données restaurées lorsque l’état du travail de restauration affiche Données disponibles.

  1. Dans votre espace de travail Microsoft Sentinel, sélectionnez Rechercher > Restauration.

  2. Une fois la tâche de restauration terminée, sélectionnez le nom de la table.

  3. Passez en revue les résultats.

Le volet Requête Logs affiche le nom de la table contenant les données restaurées. L’intervalle de temps est défini sur un intervalle personnalisé qui utilise les heures de début et de fin des données restaurées.

Supprimer des tables de données restaurées

Pour réduire les coûts, nous vous recommandons de supprimer la table restaurée lorsque vous n’en avez plus besoin. Lorsque vous supprimez une table restaurée, Azure ne supprime pas les données sources sous-jacentes.

  1. Dans votre espace de travail Microsoft Sentinel, sélectionnez Rechercher > Restauration.

  2. Identifiez la table à supprimer.

  3. Sélectionnez Supprimer pour cette ligne de table.