検索からアーカイブ済みログを復元する

• 適用対象:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

高パフォーマンスのクエリと分析で使用するために、アーカイブ済みログからデータを復元します。

アーカイブ済みログのデータを復元する前に、大規模なデータセットの検索による調査の開始 (プレビュー) およびAzure Monitor での復元に関する記事を参照してください。

重要

Microsoft Sentinel は、Microsoft Defender ポータルの統合セキュリティ オペレーション プラットフォームのパブリック プレビューの一部として利用できます。 詳細については、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。

アーカイブ済みログのデータを復元する

Microsoft Sentinel のアーカイブ済みログのデータを復元するには、復元するデータのテーブルと時間範囲を指定します。 数分以内に、Log Analytics ワークスペース内でログ データを使用できるようになります。 その後、完全な Kusto 照会言語 (KQL) をサポートする高パフォーマンスのクエリでそのデータを使用できます。

アーカイブされたデータを、[検索] ページまたは保存した検索から直接復元できます。

1. Azure portal の Microsoft Sentinel では、[全般] で [検索] を選択します。
   Defender ポータルの Microsoft Sentinel では、[Microsoft Sentinel]>[検索] を選択します。

2. 次の 2 つの方法のいずれかを使用してログ データを復元します。

   • [検索] ページの上部にある [復元] を選択します。
   • [保存された検索] タブを選択し、該当する検索の [復元] を選択します。

3. 復元するテーブルを選択します。

4. 復元するデータの時間範囲を選択します。

5. [復元] を選択します。

   

6. ログ データが復元されるまで待ちます。 復元ジョブの状態を表示するには、[復元] タブを選択します。

復元されたログ データを表示する

[復元] タブに移動して、ログ データの復元の状態と結果を確認します。復元ジョブの状態に [データを使用可能] と表示されている場合は、復元されたデータを表示できます。

1. Microsoft Sentinel で、[検索]>[復元] を選択します。

   

2. 復元ジョブが完了したら、テーブル名を選択します。

   

3. 結果を確認します。

   

   [ログ] のクエリ ペインには、復元されたデータを含むテーブルの名前が表示されます。 [時間範囲] は、復元されたデータの開始時刻と終了時刻を使用してカスタムの時間範囲に設定されます。

復元されたデータのテーブルを削除する

コストを節約するために、復元されたテーブルが不要になったときに削除することをお勧めします。 復元されたテーブルを削除しても、基になるソース データは削除されません。

1. Microsoft Sentinel で、[検索]>[復元] を選択します。

2. 削除するテーブルを見つけます。

3. そのテーブル行の [削除] を選択します。

   

次のステップ

• ブックマークを使用して追求する