고성능 쿼리 및 분석에 사용하도록 보관된 로그에서 데이터를 복원합니다.
중요합니다
Microsoft Sentinel은 Microsoft Defender XDR 또는 E5 라이선스가 없는 고객을 포함하여 Microsoft Defender 포털에서 일반적으로 사용할 수 있습니다.
2026년 7월부터 Microsoft Sentinel은 Defender 포털에서만 지원되며, Azure Portal을 사용하는 나머지 고객은 자동으로 리디렉션됩니다.
Azure에서 Microsoft Sentinel을 사용하는 고객은 Microsoft Defender에서 제공하는 전체 통합 보안 작업 환경을 위해 Defender 포털로의 전환 계획을 시작하는 것이 좋습니다. 자세한 내용은 모든 Microsoft Sentinel 고객을 위한 Microsoft Defender 포털로의 이동 계획을 참조하세요.
필수 조건
ko-KR: 보관된 로그에서 데이터를 복원하기 전에 큰 데이터 세트 검색을 통한 조사 시작(미리 보기) 및 Azure Monitor에서 복원을 참조하세요.
보관된 로그 데이터 복원
Microsoft Sentinel에서 보관된 로그 데이터를 복원하려면 복원하려는 데이터의 테이블 및 시간 범위를 지정합니다. 몇 분 안에 로그 데이터를 Log Analytics 작업 영역 내에서 사용할 수 있습니다. 그런 다음, 전체 KQL(Kusto 쿼리 언어)을 지원하는 고성능 쿼리에서 데이터를 사용할 수 있습니다.
검색 페이지 또는 저장된 검색 에서 직접 보관된 데이터를 복원합니다.
Defender 포털에서 이 페이지는 Microsoft Sentinel 루트 수준에 있습니다. Microsoft Sentinel에서 검색을 선택합니다. Azure Portal에서 이 페이지는 일반 아래에 나열됩니다.
다음 방법 중 하나를 사용하여 로그 데이터를 복원합니다.
페이지 맨 위에서
복원을 선택합니다. 측면의 복원 창에서 복원할 테이블 및 시간 범위를 선택한 다음 창 아래쪽에서 복원을 선택합니다.저장된 검색을 선택하고 복원할 검색 결과를 찾은 다음 복원을 선택합니다. 여러 테이블이 있는 경우 복원하려는 테이블을 선택한 다음, 측면 창에서 작업 > 복원 을 선택합니다. 예시:
로그 데이터가 복원될 때까지 기다립니다. 복원 탭에서 선택하여 복원 작업의 상태를 확인합니다.
복원된 로그 데이터 보기
복원 탭으로 이동하여 로그 데이터 복원의 상태 및 결과를 확인합니다. 복원 작업의 상태에 사용 가능한 데이터가 표시되면 복원된 데이터를 볼 수 있습니다.
Microsoft Sentinel에서 검색>복원을 선택합니다.
복원 작업이 완료되고 상태가 업데이트되면 테이블 이름을 선택하고 결과를 검토합니다.
Azure Portal의 결과는 로그 쿼리 페이지에 표시됩니다. Defender 포털의 결과는 고급 헌팅 페이지에 표시됩니다.
예시:
시간 범위는 복원된 데이터의 시작 및 종료 시간을 사용하는 사용자 지정 시간 범위로 설정됩니다.
복원된 데이터 테이블 삭제
비용을 절약하려면 더 이상 필요하지 않을 때 복원된 테이블을 삭제하는 것이 좋습니다. 복원된 테이블을 삭제해도 기본 원본 데이터는 삭제되지 않습니다.
Microsoft Sentinel에서 복원 검색>을 선택하고 삭제할 테이블을 식별합니다.
해당 테이블 행에 대해 삭제 를 선택하여 복원된 테이블을 삭제합니다.