Condividi tramite

Ripristinare i log archiviati dalla ricerca

  • Articolo
  • Si applica a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Ripristinare i dati da un log archiviato da usare in query e analisi ad alte prestazioni.

Importante

Microsoft Sentinel è disponibile al pubblico nel portale di Microsoft Defender nella della piattaforma operativa di sicurezza unificata Microsoft. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Prerequisiti

Prima di ripristinare i dati in un log archiviato, vedere Avviare un'indagine eseguendo una ricerca in set di dati di grandi dimensioni (anteprima) e Ripristino in Monitoraggio di Azure.

Ripristinare i dati dei log archiviati

Per ripristinare i dati dei log archiviati in Microsoft Sentinel, specificare la tabella e l'intervallo di tempo per i dati da ripristinare. Entro pochi minuti, i dati dei log sono disponibili nell'area di lavoro Log Analytics. È quindi possibile usare i dati nelle query ad alte prestazioni che supportano il linguaggio di query Kusto completo (KQL).

Ripristinare i dati archiviati direttamente dalla pagina Ricerca o da una ricerca salvata.

  1. In Microsoft Sentinel, selezionare Ricerca. Nel portale di Azure questa pagina è elencata in Generale. Nel portale di Defender, questa pagina si trova a livello radice di Microsoft Sentinel.

  2. Ripristinare i dati di log usando uno dei metodi seguenti:

    • Selezionare Ripristina nella parte superiore della pagina. Nel riquadro Ripristino sul lato selezionare la tabella e l'intervallo di tempo da ripristinare e quindi selezionare Ripristina nella parte inferiore del riquadro.

    • Selezionare Ricerche salvate, individuare i risultati della ricerca da ripristinare e quindi selezionare Ripristina. Se sono presenti più tabelle, selezionare quella che si vuole ripristinare e quindi selezionare Azioni > Ripristina nel riquadro laterale. Ad esempio:

      Screenshot del ripristino di una ricerca di siti specifica.

  3. Attendere che i dati dei log vengano ripristinati. Visualizzare lo stato del processo di ripristino selezionando la scheda Ripristino.

Visualizzare i dati dei log ripristinati

Visualizzare lo stato e i risultati del ripristino dei dati di log passando alla scheda Ripristino. È possibile visualizzare i dati ripristinati quando lo stato del processo di ripristino mostra Dati disponibili.

  1. In Microsoft Sentinel, selezionare Ricerca>Ripristino.

  2. Al termine del processo di ripristino e lo stato viene aggiornato, selezionare il nome della tabella ed esaminare i risultati.

    Nella portale di Azure, i risultati vengono visualizzati nella pagina di query log. Nel portale di Defender i risultati vengono visualizzati nella pagina Ricerca avanzata.

    Ad esempio:

    Screenshot che mostra il riquadro delle query dei log con i risultati della tabella ripristinati.

    Il Intervallo di tempo è impostato su un intervallo di tempo personalizzato che utilizza l'ora di inizio e di fine dei dati ripristinati.

Eliminare le tabelle dati ripristinate

Per risparmiare sui costi, è consigliabile eliminare la tabella ripristinata quando non è più necessaria. Quando si elimina una tabella ripristinata, i dati di origine sottostanti non vengono eliminati.

  1. In Microsoft Sentinel selezionare Ricerca>Ripristino e identificare la tabella da eliminare.

  2. Selezionare Elimina per la riga della tabella per eliminare la tabella ripristinata.

Passaggi successivi