Ripristinare i log archiviati dalla ricerca

  • Si applica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Ripristinare i dati da un log archiviato da usare in query e analisi ad alte prestazioni.

Importante

Dopo il 31 marzo 2027, Microsoft Sentinel non sarà più supportato nel portale di Azure e sarà disponibile solo nel portale di Microsoft Defender. Tutti i clienti che usano Microsoft Sentinel nel portale di Azure verranno reindirizzati al portale di Defender e useranno Microsoft Sentinel solo nel portale di Defender.

Se si usa ancora Microsoft Sentinel nel portale di Azure, è consigliabile iniziare a pianificare la transizione al portale di Defender per garantire una transizione senza problemi e sfruttare appieno l'esperienza di operazioni di sicurezza unificata offerta da Microsoft Defender.

Prerequisiti

Prima di ripristinare i dati in un log archiviato, vedere Ripristino in Azure Monitor.

Ripristinare i dati di log archiviati

Per ripristinare i dati di log archiviati in Microsoft Sentinel, specificare la tabella e l'intervallo di tempo per i dati da ripristinare. Entro pochi minuti, i dati di log sono disponibili nell'area di lavoro Log Analytics. È quindi possibile usare i dati in query ad alte prestazioni che supportano la Linguaggio di query Kusto completa (KQL).

Ripristinare i dati archiviati direttamente dalla pagina Ricerca o da una ricerca salvata.

  1. Nel portale di Defender questa pagina si trova al livello radice Microsoft Sentinel. In Microsoft Sentinel selezionare Cerca. Nella portale di Azure questa pagina è elencata in Generale.

  2. Ripristinare i dati del log usando uno dei metodi seguenti:

    • Selezionare Ripristina nella parte superiore della pagina. Nel riquadro Ripristino sul lato selezionare la tabella e l'intervallo di tempo da ripristinare e quindi selezionare Ripristina nella parte inferiore del riquadro.

    • Selezionare Ricerche salvate, individuare i risultati della ricerca da ripristinare e quindi selezionare Ripristina. Se sono presenti più tabelle, selezionare quella da ripristinare e quindi selezionare Azioni > di ripristino nel riquadro laterale. Ad esempio:

      Screenshot del ripristino di una ricerca del sito specifica.

  3. Attendere il ripristino dei dati di log. Visualizzare lo stato del processo di ripristino selezionando la scheda Ripristino .

Visualizzare i dati di log ripristinati

Visualizzare lo stato e i risultati del ripristino dei dati del log passando alla scheda Ripristino . È possibile visualizzare i dati ripristinati quando lo stato del processo di ripristino mostra i dati disponibili.

  1. In Microsoft Sentinel selezionare Cerca>ripristino.

  2. Al termine del processo di ripristino e dopo aver aggiornato lo stato, selezionare il nome della tabella ed esaminare i risultati.

    Nella portale di Azure i risultati vengono visualizzati nella pagina della query Log. Nel portale di Defender i risultati vengono visualizzati nella pagina Ricerca avanzata .

    Ad esempio:

    Screenshot che mostra il riquadro di query dei log con i risultati della tabella ripristinata.

    L'intervallo di tempo è impostato su un intervallo di tempo personalizzato che usa l'ora di inizio e di fine dei dati ripristinati.

Eliminare le tabelle dati ripristinate

Per risparmiare sui costi, è consigliabile eliminare la tabella ripristinata quando non è più necessaria. Quando si elimina una tabella ripristinata, i dati di origine sottostanti non vengono eliminati.

  1. In Microsoft Sentinel selezionare Cerca>ripristino e identificare la tabella da eliminare.

  2. Selezionare Elimina per tale riga di tabella per eliminare la tabella ripristinata.

Passaggi successivi

  • Last updated on