Udostępnij za pośrednictwem

Przywracanie zarchiwizowanych dzienników z wyszukiwania

  • Artykuł
  • Dotyczy:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Przywróć dane z zarchiwizowanego dziennika, aby używać ich w wysoce wydajnych zapytaniach i analizie.

Przed przywróceniem danych w zarchiwizowanym dzienniku zobacz Rozpocznij badanie, wyszukując duże zestawy danych (wersja zapoznawcza) i Przywróć w usłudze Azure Monitor.

Ważne

Usługa Microsoft Sentinel jest teraz ogólnie dostępna na platformie Ujednolicone operacje zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Przywracanie zarchiwizowanych danych dziennika

Aby przywrócić zarchiwizowane dane dziennika w usłudze Microsoft Sentinel, określ tabelę i zakres czasu dla danych, które chcesz przywrócić. W ciągu kilku minut dane dziennika są dostępne w obszarze roboczym usługi Log Analytics. Następnie możesz użyć danych w zapytaniach o wysokiej wydajności, które obsługują pełne język zapytań Kusto (KQL).

Dane zarchiwizowane można przywrócić bezpośrednio ze strony Wyszukiwanie lub z zapisanego wyszukiwania.

  1. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Ogólne wybierz pozycję Wyszukaj.
    W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Wyszukiwanie w usłudze Microsoft Sentinel>.

  2. Przywróć dane dziennika na jeden z dwóch sposobów:

    • W górnej części strony Wyszukaj wybierz pozycję Przywróć. Zrzut ekranu przedstawiający przycisk przywracania w górnej części strony wyszukiwania.
    • Wybierz kartę Zapisane wyszukiwania i Przywróć w odpowiednim wyszukiwaniu. Zrzut ekranu przedstawiający link przywracania w zapisanym wyszukiwaniu.

  3. Wybierz tabelę, którą chcesz przywrócić.

  4. Wybierz zakres czasu danych, które chcesz przywrócić.

  5. Wybierz przycisk Przywróć.

    Zrzut ekranu przedstawiający stronę przywracania z wybraną tabelą i zakresem czasu.

  6. Poczekaj na przywrócenie danych dziennika. Wyświetl stan zadania przywracania, wybierając kartę Przywracanie .

Wyświetlanie przywróconych danych dziennika

Wyświetl stan i wyniki przywracania danych dziennika, przechodząc do karty Przywracanie . Przywrócone dane można wyświetlić, gdy stan zadania przywracania zawiera dane dostępne.

  1. W usłudze Microsoft Sentinel wybierz pozycję Przywracanie wyszukiwania>.

    Zrzut ekranu przedstawiający kartę przywracania na stronie wyszukiwania.

  2. Po zakończeniu zadania przywracania wybierz nazwę tabeli.

    Zrzut ekranu przedstawiający wiersze z ukończonymi zadaniami przywracania i wybraną tabelą.

  3. Przejrzyj wyniki.

    Zrzut ekranu przedstawiający okienko zapytania dzienników z przywróconymi wynikami tabeli.

    Okienko zapytania Dzienniki zawiera nazwę tabeli zawierającej przywrócone dane. Zakres czasu jest ustawiony na niestandardowy zakres czasu, który używa czasów rozpoczęcia i zakończenia przywróconych danych.

Usuwanie przywróconych tabel danych

Aby zaoszczędzić koszty, zalecamy usunięcie przywróconej tabeli, gdy nie jest już potrzebna. Po usunięciu przywróconej tabeli platforma Azure nie usuwa bazowych danych źródłowych.

  1. W usłudze Microsoft Sentinel wybierz pozycję Przywracanie wyszukiwania>.

  2. Zidentyfikuj tabelę, którą chcesz usunąć.

  3. Wybierz pozycję Usuń dla tego wiersza tabeli.

    Zrzut ekranu przedstawiający kartę przywracania, która pokazuje przycisk usuwania w każdym wierszu.

Następne kroki