Gearchiveerde logboeken herstellen vanuit de zoekfunctie
Herstel gegevens uit een gearchiveerd logboek voor gebruik in query's en analyses met hoge prestaties.
Voordat u gegevens in een gearchiveerd logboek herstelt, raadpleegt u Een onderzoek starten door te zoeken naar grote gegevenssets (preview) en Herstellen in Azure Monitor.
Belangrijk
Microsoft Sentinel is nu algemeen beschikbaar in het geïntegreerde Microsoft Security Operations-platform in de Microsoft Defender-portal. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.
Gearchiveerde logboekgegevens herstellen
Als u gearchiveerde logboekgegevens in Microsoft Sentinel wilt herstellen, geeft u de tabel en het tijdsbereik op voor de gegevens die u wilt herstellen. Binnen enkele minuten zijn de logboekgegevens beschikbaar in de Log Analytics-werkruimte. Vervolgens kunt u de gegevens gebruiken in query's met hoge prestaties die ondersteuning bieden voor volledige Kusto-querytaal (KQL).
U kunt gearchiveerde gegevens rechtstreeks herstellen vanaf de zoekpagina of vanuit een opgeslagen zoekopdracht.
Voor Microsoft Sentinel in Azure Portal selecteert u Zoeken onder Algemeen.
Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel>Search.Logboekgegevens op twee manieren herstellen:
- Selecteer Boven aan de zoekpagina de optie Herstellen.
- Selecteer het tabblad Opgeslagen zoekopdrachten en Herstel bij de juiste zoekopdracht.
Selecteer de tabel die u wilt herstellen.
Selecteer het tijdsbereik van de gegevens die u wilt herstellen.
Selecteer Terugzetten.
Wacht totdat de logboekgegevens zijn hersteld. Bekijk de status van uw hersteltaak door op het tabblad Herstel te selecteren.
Herstelde logboekgegevens weergeven
Bekijk de status en resultaten van het herstellen van logboekgegevens door naar het tabblad Herstel te gaan. U kunt de herstelde gegevens weergeven wanneer de status van de hersteltaak Gegevens beschikbaar toont.
Selecteer In Microsoft Sentinel de optie Zoekherstel>.
Wanneer de hersteltaak is voltooid, selecteert u de tabelnaam.
Controleer de resultaten.
In het deelvenster Logboekquery ziet u de naam van de tabel met de herstelde gegevens. Het tijdsbereik is ingesteld op een aangepast tijdsbereik dat gebruikmaakt van de begin- en eindtijden van de herstelde gegevens.
Herstelde gegevenstabellen verwijderen
Als u kosten wilt besparen, raden we u aan de herstelde tabel te verwijderen wanneer u deze niet meer nodig hebt. Wanneer u een herstelde tabel verwijdert, worden de onderliggende brongegevens niet door Azure verwijderd.
Selecteer In Microsoft Sentinel de optie Zoekherstel>.
Identificeer de tabel die u wilt verwijderen.
Selecteer Verwijderen voor die tabelrij.