Share via

Ripristinare i log archiviati dalla ricerca

  • Articolo
  • Si applica a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Ripristinare i dati da un log archiviato da usare in query e analisi ad alte prestazioni.

Prima di ripristinare i dati in un log archiviato, vedere Avviare un'indagine eseguendo una ricerca in set di dati di grandi dimensioni (anteprima) e ripristino in Monitoraggio di Azure.

Importante

Microsoft Sentinel è disponibile come parte dell'anteprima pubblica per la piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Ripristinare i dati dei log archiviati

Per ripristinare i dati dei log archiviati in Microsoft Sentinel, specificare la tabella e l'intervallo di tempo per i dati da ripristinare. Entro pochi minuti, i dati dei log sono disponibili nell'area di lavoro Log Analytics. È quindi possibile usare i dati in query ad alte prestazioni che supportano l'Linguaggio di query Kusto completo (KQL).

È possibile ripristinare i dati archiviati direttamente dalla pagina Di ricerca o da una ricerca salvata.

  1. Per Microsoft Sentinel nel portale di Azure, in Generale selezionare Cerca.
    Per Microsoft Sentinel nel portale di Defender selezionare Microsoft Sentinel>Search.

  2. Ripristinare i dati dei log in uno dei due modi seguenti:

    • Nella parte superiore della pagina Cerca selezionare Ripristina. Screenshot del pulsante di ripristino nella parte superiore della pagina di ricerca.
    • Selezionare la scheda Ricerche salvate e Ripristina nella ricerca appropriata. Screenshot del collegamento di ripristino in una ricerca salvata.

  3. Selezionare la tabella da ripristinare.

  4. Selezionare l'intervallo di tempo dei dati da ripristinare.

  5. Selezionare Ripristina.

    Screenshot della pagina di ripristino con tabella e intervallo di tempo selezionato.

  6. Attendere che i dati dei log vengano ripristinati. Visualizzare lo stato del processo di ripristino selezionando la scheda Ripristino .

Visualizzare i dati dei log ripristinati

Visualizzare lo stato e i risultati del ripristino dei dati di log passando alla scheda Ripristino . È possibile visualizzare i dati ripristinati quando lo stato del processo di ripristino mostra Dati disponibili.

  1. In Microsoft Sentinel selezionare Ripristino ricerca>.

    Screenshot della scheda di ripristino nella pagina di ricerca.

  2. Al termine del processo di ripristino, selezionare il nome della tabella.

    Screenshot che mostra le righe con i processi di ripristino completati e una tabella selezionata.

  3. Esamina i risultati.

    Screenshot che mostra il riquadro delle query dei log con i risultati della tabella ripristinati.

    Nel riquadro Query sui log viene visualizzato il nome della tabella contenente i dati ripristinati. L'intervallo di tempo è impostato su un intervallo di tempo personalizzato che usa l'ora di inizio e di fine dei dati ripristinati.

Eliminare le tabelle dati ripristinate

Per risparmiare sui costi, è consigliabile eliminare la tabella ripristinata quando non è più necessaria. Quando si elimina una tabella ripristinata, Azure non elimina i dati di origine sottostanti.

  1. In Microsoft Sentinel selezionare Ripristino ricerca>.

  2. Identificare la tabella da eliminare.

  3. Selezionare Elimina per la riga della tabella.

    Screenshot della scheda di ripristino che mostra il pulsante Elimina in ogni riga.

Passaggi successivi