Megosztás a következőn keresztül:

Archivált naplók visszaállítása a keresésből

  • Cikk
  • A következőre érvényes::
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Adatok visszaállítása archivált naplóból a nagy teljesítményű lekérdezésekben és elemzésekben való használatra.

Mielőtt visszaállítja az adatokat egy archivált naplóban, olvassa el a vizsgálat indítását nagy adatkészletek (előzetes verzió) és visszaállítás az Azure Monitorban való keresésével.

Fontos

A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform részeként érhető el a Microsoft Defender portálon. A Microsoft Sentinel a Defender portálon mostantól éles környezetben is támogatott. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Archivált naplóadatok visszaállítása

Az archivált naplóadatok a Microsoft Sentinelben való visszaállításához adja meg a visszaállítani kívánt adatok tábláit és időtartományát. A naplóadatok néhány percen belül elérhetők a Log Analytics-munkaterületen. Ezután a teljes Kusto lekérdezésnyelv (KQL) támogató nagy teljesítményű lekérdezésekben használhatja az adatokat.

Az archivált adatokat közvetlenül a Keresés lapról vagy egy mentett keresésből állíthatja vissza.

  1. Az Azure PortalOn a Microsoft Sentinel esetében az Általános területen válassza a Keresés lehetőséget.
    A Microsoft Sentinel a Defender portálon válassza a Microsoft Sentinel>Search lehetőséget.

  2. A naplóadatok visszaállítása kétféleképpen:

    • A Keresés lap tetején válassza a Visszaállítás lehetőséget. Képernyőkép a visszaállítás gombról a keresési oldal tetején.
    • Válassza a Mentett keresések lapot, és állítsa vissza a megfelelő keresést. Képernyőkép egy mentett keresés visszaállítási hivatkozásáról.

  3. Jelölje ki a visszaállítani kívánt táblát.

  4. Válassza ki a visszaállítani kívánt adatok időtartományát.

  5. Válassza a Visszaállítás lehetőséget.

    Képernyőkép a visszaállítási oldalról, amelyen a táblázat és az időtartomány van kiválasztva.

  6. Várja meg, amíg a naplóadatok helyreállnak. A visszaállítási feladat állapotának megtekintéséhez válassza a Visszaállítás lapot.

Visszaállított naplóadatok megtekintése

A naplóadatok visszaállításának állapotát és eredményeit a Visszaállítás lapra kattintva tekintheti meg. A visszaállított adatokat akkor tekintheti meg, ha a visszaállítási feladat állapota az Elérhető adatokat jeleníti meg.

  1. A Microsoft Sentinelben válassza a Keresés>visszaállítása lehetőséget.

    Képernyőkép a keresési lap visszaállítási lapjáról.

  2. Ha a visszaállítási feladat befejeződött, válassza ki a tábla nevét.

    Képernyőkép a befejezett visszaállítási feladatokat tartalmazó sorokról és egy kijelölt tábláról.

  3. Tekintse át az eredményeket.

    A naplók lekérdezési paneljének képernyőképe a visszaállított táblaeredményekkel.

    A Naplók lekérdezés panelen a visszaállított adatokat tartalmazó tábla neve látható. Az időtartomány egyéni időtartományra van állítva, amely a visszaállított adatok kezdő és záró időpontját használja.

Visszaállított adattáblák törlése

A költségek csökkentése érdekében javasoljuk, hogy törölje a visszaállított táblát, ha már nincs rá szüksége. Visszaállított tábla törlésekor az Azure nem törli a mögöttes forrásadatokat.

  1. A Microsoft Sentinelben válassza a Keresés>visszaállítása lehetőséget.

  2. Azonosítsa a törölni kívánt táblát.

  3. Válassza a Törlés lehetőséget a táblasorhoz.

    Képernyőkép a visszaállítás lapról, amelyen az egyes sorok törlési gombja látható.

Következő lépések