다음을 통해 공유

검색에서 보관된 로그 복원

  • 아티클
  • 적용 대상:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

고성능 쿼리 및 분석에 사용하도록 보관된 로그에서 데이터를 복원합니다.

보관된 로그에서 데이터를 복원하기 전에 대규모 데이터 세트를 검색하여 조사 시작(미리 보기)Azure Monitor에서 복원을 참조하세요.

Important

Microsoft Sentinel은 Microsoft Defender 포털에서 통합 보안 운영 플랫폼의 일부로 사용할 수 있습니다. 이제 Defender 포털의 Microsoft Sentinel이 프로덕션용으로 지원됩니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.

보관된 로그 데이터 복원

Microsoft Sentinel에서 보관된 로그 데이터를 복원하려면 복원하려는 데이터의 테이블 및 시간 범위를 지정합니다. 몇 분 안에 로그 데이터를 Log Analytics 작업 영역 내에서 사용할 수 있습니다. 그런 다음, 전체 KQL(Kusto 쿼리 언어)을 지원하는 고성능 쿼리에서 데이터를 사용할 수 있습니다.

검색 페이지 또는 저장된 검색에서 직접 보관된 데이터를 복원할 수 있습니다.

  1. Azure Portal의 Microsoft Sentinel의 경우 일반 아래에서 검색을 선택합니다.
    Defender 포털에서 Microsoft Sentinel의 경우 Microsoft Sentinel>검색을 선택합니다.

  2. 다음 두 가지 방법 중 하나로 로그 데이터를 복원합니다.

    • 검색 페이지의 상단에서 복원을 선택합니다. 검색 페이지 상단의 복원 단추 스크린샷.
    • 저장된 검색 탭을 선택하고 적절한 검색에서 복원을 선택합니다. 저장된 검색의 복원 링크 스크린샷.

  3. 복원할 테이블을 선택합니다.

  4. 복원할 데이터의 시간 범위를 선택합니다.

  5. 복원을 선택합니다.

    테이블과 시간 범위가 선택된 복원 페이지의 스크린샷.

  6. 로그 데이터가 복원될 때까지 기다립니다. 복원 탭에서 선택하여 복원 작업의 상태를 확인합니다.

복원된 로그 데이터 보기

복원 탭으로 이동하여 로그 데이터 복원의 상태 및 결과를 봅니다. 복원 작업의 상태에 사용 가능한 데이터가 표시되면 복원된 데이터를 볼 수 있습니다.

  1. Microsoft Sentinel에서 검색>복원을 선택합니다.

    검색 페이지의 복원 탭 스크린샷.

  2. 복원 작업이 완료되면 테이블 이름을 선택합니다.

    복원 작업이 완료된 행과 선택된 테이블을 보여 주는 스크린샷.

  3. 결과를 검토합니다.

    복원된 테이블 결과가 포함된 로그 쿼리 창을 보여 주는 스크린샷.

    로그 쿼리 창에는 복원된 데이터가 포함된 테이블의 이름이 표시됩니다. 시간 범위는 복원된 데이터의 시작 및 종료 시간을 사용하는 사용자 지정 시간 범위로 설정됩니다.

복원된 데이터 테이블 삭제

비용을 절약하려면 더 이상 필요하지 않을 때 복원된 테이블을 삭제하는 것이 좋습니다. 복원된 테이블을 삭제할 때 Azure는 기본 원본 데이터를 삭제하지 않습니다.

  1. Microsoft Sentinel에서 검색>복원을 선택합니다.

  2. 삭제할 테이블을 식별합니다.

  3. 해당 테이블 행에 대해 삭제를 선택합니다.

    각 행에 삭제 단추가 표시된 복원 탭의 스크린샷.

다음 단계