Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Herstel gegevens uit een gearchiveerd logboek voor gebruik in query's en analyses met hoge prestaties.
Belangrijk
Microsoft Sentinel is algemeen beschikbaar in de Microsoft Defender-portal, waaronder voor klanten zonder Microsoft Defender XDR of een E5-licentie.
Vanaf juli 2026 worden alle klanten die Microsoft Sentinel in Azure Portal gebruiken, omgeleid naar de Defender-portal en gebruiken ze alleen Microsoft Sentinel in de Defender-portal. Vanaf juli 2025 worden veel nieuwe klanten automatisch onboarden en omgeleid naar de Defender portal.
Als u Nog steeds Microsoft Sentinel gebruikt in Azure Portal, raden we u aan om te beginnen met het plannen van uw overgang naar de Defender-portal om een soepele overgang te garanderen en optimaal te profiteren van de geïntegreerde beveiligingsbewerkingen die door Microsoft Defender worden aangeboden. Zie Het is tijd om te verplaatsen voor meer informatie: De Azure-portal van Microsoft Sentinel buiten gebruik stellen voor betere beveiliging.
Vereisten
Zie Herstellen in Azure Monitor voordat u gegevens in een gearchiveerd logboek herstelt.
Gearchiveerde logboekgegevens herstellen
Als u gearchiveerde logboekgegevens in Microsoft Sentinel wilt herstellen, geeft u de tabel en het tijdsbereik op voor de gegevens die u wilt herstellen. Binnen enkele minuten zijn de logboekgegevens beschikbaar in de Log Analytics-werkruimte. Vervolgens kunt u de gegevens gebruiken in query's met hoge prestaties die ondersteuning bieden voor volledige Kusto-querytaal (KQL).
Herstel gearchiveerde gegevens rechtstreeks vanaf de zoekpagina of vanuit een opgeslagen zoekopdracht.
In de Defender-portal bevindt deze pagina zich op het hoofdniveau van Microsoft Sentinel. Selecteer Zoeken in Microsoft Sentinel. In Azure Portal wordt deze pagina weergegeven onder Algemeen.
Herstel logboekgegevens met behulp van een van de volgende methoden:
Selecteer
Herstellen boven aan de pagina. Selecteer in het deelvenster Herstellen aan de zijkant de tabel en het tijdsbereik dat u wilt herstellen en selecteer vervolgens Onder aan het deelvenster Herstellen.Selecteer Opgeslagen zoekopdrachten, zoek de zoekresultaten die u wilt herstellen en selecteer Vervolgens Herstellen. Als u meerdere tabellen hebt, selecteert u de tabel die u wilt herstellen en selecteert u vervolgens Acties > herstellen in het zijvenster. Voorbeeld:
Wacht totdat de logboekgegevens zijn hersteld. Bekijk de status van uw hersteltaak door op het tabblad Herstel te selecteren.
Herstelde logboekgegevens weergeven
Bekijk de status en resultaten van het herstellen van logboekgegevens door naar het tabblad Herstel te gaan. U kunt de herstelde gegevens weergeven wanneer de status van de hersteltaak Gegevens beschikbaar toont.
Selecteer In Microsoft Sentinel de optie Zoekherstel>.
Wanneer de hersteltaak is voltooid en de status is bijgewerkt, selecteert u de tabelnaam en controleert u de resultaten.
In de Azure portal worden de resultaten weergegeven op de Logboeken querypagina. In de Defender-portal worden de resultaten weergegeven op de pagina Geavanceerde opsporing .
Voorbeeld:
Het tijdsbereik is ingesteld op een aangepast tijdsbereik dat gebruikmaakt van de begin- en eindtijden van de herstelde gegevens.
Herstelde gegevenstabellen verwijderen
Als u kosten wilt besparen, raden we u aan de herstelde tabel te verwijderen wanneer u deze niet meer nodig hebt. Wanneer u een herstelde tabel verwijdert, worden de onderliggende brongegevens niet verwijderd.
Selecteer in Microsoft Sentinel Zoek>Herstel en identificeer de tabel die u wilt verwijderen.
Selecteer Verwijderen voor die tabelrij om de herstelde tabel te verwijderen.