Przywracanie zarchiwizowanych dzienników z wyszukiwania

  • Dotyczy: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Przywracanie danych z zarchiwizowanego dziennika do użycia w zapytaniach o wysokiej wydajności i analizie.

Ważna

Po 31 marca 2027 r. Microsoft Sentinel nie będą już obsługiwane w Azure Portal i będą dostępne tylko w portalu Microsoft Defender. Wszyscy klienci korzystający z Microsoft Sentinel w Azure Portal zostaną przekierowane do portalu usługi Defender i będą używać Microsoft Sentinel tylko w portalu usługi Defender.

Jeśli nadal używasz Microsoft Sentinel w Azure Portal, zalecamy rozpoczęcie planowania przejścia do portalu usługi Defender w celu zapewnienia płynnego przejścia i pełnego wykorzystania ujednoliconego środowiska operacji zabezpieczeń oferowanego przez Microsoft Defender.

Wymagania wstępne

Przed przywróceniem danych w zarchiwizowanym dzienniku zobacz Przywracanie w usłudze Azure Monitor.

Przywracanie zarchiwizowanych danych dziennika

Aby przywrócić zarchiwizowane dane dziennika w Microsoft Sentinel, określ tabelę i zakres czasu dla danych, które chcesz przywrócić. W ciągu kilku minut dane dziennika są dostępne w obszarze roboczym usługi Log Analytics. Następnie możesz użyć danych w zapytaniach o wysokiej wydajności, które obsługują pełne język zapytań Kusto (KQL).

Przywróć zarchiwizowane dane bezpośrednio ze strony wyszukiwania lub z zapisanego wyszukiwania.

  1. W portalu usługi Defender ta strona znajduje się na poziomie głównym Microsoft Sentinel. W Microsoft Sentinel wybierz pozycję Wyszukaj. W Azure Portal ta strona jest wyświetlana w obszarze Ogólne.

  2. Przywróć dane dziennika przy użyciu jednej z następujących metod:

    • Wybierz pozycję Przywróć w górnej części strony. W okienku Przywracanie z boku wybierz tabelę i zakres czasu, które chcesz przywrócić, a następnie wybierz pozycję Przywróć w dolnej części okienka.

    • Wybierz pozycję Zapisane wyszukiwania, znajdź wyniki wyszukiwania, które chcesz przywrócić, a następnie wybierz pozycję Przywróć. Jeśli masz wiele tabel, wybierz tę, którą chcesz przywrócić, a następnie wybierz pozycję Akcje > Przywróć w okienku bocznym. Przykład:

      Zrzut ekranu przedstawiający przywracanie określonego wyszukiwania w witrynie.

  3. Poczekaj na przywrócenie danych dziennika. Wyświetl stan zadania przywracania, wybierając pozycję Na karcie Przywracanie .

Wyświetlanie przywróconych danych dziennika

Wyświetl stan i wyniki przywracania danych dziennika, przechodząc do karty Przywracanie . Przywrócone dane można wyświetlić, gdy stan zadania przywracania będzie zawierać dane dostępne.

  1. W Microsoft Sentinel wybierz pozycję Przywracanie wyszukiwania>.

  2. Po zakończeniu zadania przywracania i zaktualizowaniu stanu wybierz nazwę tabeli i przejrzyj wyniki.

    W Azure Portal wyniki są wyświetlane na stronie zapytania Dzienniki. W portalu usługi Defender wyniki są wyświetlane na stronie Zaawansowane wyszukiwanie zagrożeń .

    Przykład:

    Zrzut ekranu przedstawiający okienko zapytań dzienników z przywróconymi wynikami tabeli.

    Zakres czasu jest ustawiony na niestandardowy zakres czasu, który używa czasu rozpoczęcia i zakończenia przywróconych danych.

Usuwanie przywróconych tabel danych

Aby zaoszczędzić koszty, zalecamy usunięcie przywróconej tabeli, gdy nie będzie ona już potrzebna. Po usunięciu przywróconej tabeli bazowe dane źródłowe nie zostaną usunięte.

  1. W Microsoft Sentinel wybierz pozycję Przywracanie wyszukiwania> i zidentyfikuj tabelę, którą chcesz usunąć.

  2. Wybierz pozycję Usuń dla tego wiersza tabeli, aby usunąć przywróconą tabelę.

Następne kroki

  • Last updated on