Ripristinare i dati cronologici

  • 3 minuti

Quando è necessario eseguire un'indagine completa sui dati contenuti nei log archiviati, ripristinare una tabella dalla pagina Ricerca in Microsoft Sentinel. Specificare una tabella di destinazione e un intervallo di tempo per i dati da ripristinare. Entro pochi minuti, i dati dei log vengono ripristinati e sono disponibili nell'area di lavoro Log Analytics. È quindi possibile usare i dati in query ad alte prestazioni che supportano il linguaggio di query Kusto completo.

Una tabella di log ripristinata è disponibile in una nuova tabella con suffisso *_RST. I dati ripristinati sono disponibili finché sono disponibili i dati di origine sottostanti. È tuttavia possibile eliminare le tabelle ripristinate in qualsiasi momento senza eliminare i dati di origine sottostanti. Per risparmiare sui costi, è consigliabile eliminare la tabella ripristinata quando non è più necessaria.

Limitazioni del ripristino dei log

Prima di iniziare a ripristinare una tabella di log archiviata, tenere presenti le limitazioni seguenti:

  • Ripristinare i dati per un minimo di due giorni.
  • Ripristinare i dati che hanno più di 14 giorni.
  • Ripristinare fino a 60 TB.
  • Il ripristino è limitato a un ripristino attivo per tabella.
  • Ripristinare fino a quattro tabelle archiviate per area di lavoro alla settimana.
  • Limitato a due processi di ripristino simultanei per area di lavoro.

Ripristinare i dati dei log archiviati

Per ripristinare i dati dei log archiviati in Microsoft Sentinel, specificare la tabella e l'intervallo di tempo per i dati da ripristinare. Entro pochi minuti, i dati dei log sono disponibili nell'area di lavoro Log Analytics. È quindi possibile usare i dati in query ad alte prestazioni che supportano il linguaggio di query Kusto completo.

È possibile ripristinare i dati archiviati direttamente dalla pagina Ricerca o da una ricerca salvata.

  1. Nel portale di Azure passare a Microsoft Sentinel e selezionare l'area di lavoro appropriata.

  2. In Generale selezionare Ricerca.

  3. Ripristinare i dati dei log in uno dei due modi seguenti:

    • Nella parte superiore della pagina Ricerca selezionare Ripristina o
    • Selezionare la scheda Ricerche salvate e Ripristina nella ricerca appropriata.

  4. Selezionare la tabella da ripristinare.

  5. Selezionare l'intervallo di tempo dei dati da ripristinare.

  6. Selezionare Ripristina.

  7. Attendere che i dati dei log vengano ripristinati. Per visualizzare lo stato del processo di ripristino, selezionarlo nella scheda Ripristino.

Visualizzare i dati dei log ripristinati

Per visualizzare lo stato e i risultati del ripristino dei dati dei log, passare alla scheda Ripristino. È possibile visualizzare i dati ripristinati quando lo stato del processo di ripristino è Dati disponibili.

  1. Nell'area di lavoro di Microsoft Sentinel selezionare Cerca > Ripristino.

  2. Al termine del processo di ripristino, selezionare il nome della tabella.

  3. Esaminare i risultati.

Nel riquadro Query sui log viene visualizzato il nome della tabella contenente i dati ripristinati. L'intervallo di tempo è impostato su un intervallo di tempo personalizzato che usa l'ora di inizio e l'ora di fine dei dati ripristinati.

Eliminare le tabelle dati ripristinate

Per risparmiare sui costi, è consigliabile eliminare la tabella ripristinata quando non è più necessaria. Quando si elimina una tabella ripristinata, Azure non elimina i dati di origine sottostanti.

  1. Nell'area di lavoro di Microsoft Sentinel selezionare Cerca > Ripristino.

  2. Identificare la tabella da eliminare.

  3. Selezionare Elimina per la riga della tabella.