Mencari di rentang waktu yang lama dalam himpunan data besar

• Berlaku untuk:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Gunakan pekerjaan pencarian saat Anda memulai penyelidikan untuk menemukan peristiwa tertentu dalam log hingga tujuh tahun yang lalu. Anda dapat mencari peristiwa di semua log Anda, termasuk peristiwa di paket log Analytics, Basic, dan Archived. Filter dan cari peristiwa yang cocok dengan kriteria Anda.

• Untuk informasi selengkapnya tentang konsep dan batasan pekerjaan pencarian, lihat Memulai penyelidikan dengan mencari himpunan data besar dan Mencari pekerjaan di Azure Monitor.

• Mencari pekerjaan di seluruh himpunan data tertentu mungkin dikenakan biaya tambahan. Untuk informasi selengkapnya, lihat halaman harga Microsoft Azure Sentinel.

Penting

Microsoft Sentinel sekarang tersedia secara umum dalam platform operasi keamanan terpadu Microsoft di portal Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.

Mulai pekerjaan pencarian

Buka Cari di Microsoft Azure Sentinel dari portal Azure atau portal Pertahanan Microsoft untuk memasukkan kriteria pencarian Anda. Bergantung pada ukuran himpunan data target, waktu pencarian bervariasi. Meskipun sebagian besar pekerjaan pencarian membutuhkan waktu beberapa menit untuk diselesaikan, pencarian di seluruh himpunan data besar yang berjalan hingga 24 jam juga didukung.

1. Untuk Microsoft Azure Sentinel di portal Azure, di bawah Umum, pilih Cari.
   Untuk Microsoft Azure Sentinel di portal Pertahanan, pilih Pencarian Microsoft Sentinel>.

2. Pilih menu Tabel dan pilih tabel untuk pencarian Anda.

3. Dalam kotak Pencarian , masukkan istilah pencarian.

   Portal Azure

   

   Portal pertahanan

   

4. Pilih editor Mulai untuk membuka editor Bahasa Kueri Kusto tingkat lanjut (KQL) dan pratinjau hasil untuk rentang waktu yang ditetapkan.

5. Ubah kueri KQL sesuai kebutuhan dan pilih Jalankan untuk mendapatkan pratinjau hasil pencarian yang diperbarui.

   

6. Saat Anda puas dengan kueri dan pratinjau hasil pencarian, pilih elipsis ... dan aktifkan mode pekerjaan Pencarian.

   

7. Pilih Rentang waktu yang sesuai.

8. Atasi masalah KQL yang ditunjukkan oleh garis merah berlekuk di editor.

9. Saat Anda siap untuk memulai pekerjaan pencarian, pilih Cari pekerjaan.

10. Masukkan nama tabel baru untuk menyimpan hasil pekerjaan pencarian.

11. Pilih Jalankan pekerjaan pencarian.

12. Tunggu hingga tugas Pencarian pemberitahuan selesai untuk melihat hasilnya.

Lihat hasil pencarian pekerjaan

Lihat status dan hasil pekerjaan penelusuran Anda dengan membuka tab Penelusuran Tersimpan.

1. Di Microsoft Azure Sentinel, pilih Pencarian Tersimpan Pencarian>.

2. Pada kartu penelusuran, pilih Lihat hasil penelusuran.

   

   Secara default, Anda melihat semua hasil yang cocok dengan kriteria pencarian asli Anda.

3. Untuk menyempurnakan daftar hasil yang dikembalikan dari tabel pencarian, pilih Tambahkan filter.

4. Saat Anda meninjau hasil pekerjaan pencarian, pilih Tambahkan marka buku, atau pilih ikon marka buku untuk mempertahankan baris. Menambahkan marka buku memungkinkan Anda menandai peristiwa, menambahkan catatan, dan melampirkan peristiwa ini ke insiden untuk referensi nanti.

   

5. Pilih tombol Kolom dan pilih kotak centang di samping kolom yang ingin Anda tambahkan ke tampilan hasil.

6. Tambahkan filter Bookmark untuk hanya menampilkan entri yang dipertahankan.

7. Pilih Tampilkan semua marka buku untuk membuka halaman Berburu tempat Anda bisa menambahkan marka buku ke insiden yang sudah ada.

Langkah berikutnya

Untuk mempelajari selengkapnya, lihat artikel berikut ini.

• Berburu dengan marka buku
• Pulihkan log yang diarsipkan
• Mengonfigurasi penyimpanan data dan kebijakan arsip di Azure Monitor Logs (Pratinjau)