Compartilhar via

Restaurar logs arquivados da pesquisa

  • Artigo
  • Aplica-se a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Restaure dados de um log arquivado para uso em consultas e análises de alto desempenho.

Importante

O Microsoft Sentinel agora está disponível em geral na plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender. Para saber mais, confira Microsoft Sentinel no portal do Microsoft Defender.

Pré-requisitos

Antes de restaurar os dados em um log arquivado, confira Iniciar uma investigação pesquisando grandes conjuntos de dados (versão prévia) e Restaurar no Azure Monitor.

Restaurar dados de logs arquivados

Para restaurar dados de logs arquivados no Microsoft Sentinel, especifique a tabela e o intervalo de tempo para os dados que você deseja restaurar. Em alguns minutos, os dados de log e estarão disponíveis no workspace do Log Analytics. Em seguida, você poderá usar os dados em consultas de alto desempenho que dão suporte completo à KQL (Linguagem de Consulta Kusto).

Restaurar os dados arquivados diretamente da página Pesquisa ou de uma pesquisa salva.

  1. No Microsoft Sentinel, selecione Pesquisar. No portal do Azure, esta página está listada em Geral. No portal do Defender, esta página está no nível raiz do Microsoft Sentinel.

  2. Restaurar dados de log usando um dos seguintes métodos:

    • Selecione Restaurar na parte superior da página. No painel Restauração lado, selecione a tabela e o intervalo de tempo que deseja restaurar e selecione Restaurar na parte inferior do painel.

    • Selecione Pesquisas salvas, localize os resultados da pesquisa que você deseja restaurar e selecione Restaurar. Se você tiver várias tabelas, selecione a que deseja restaurar e selecione Ações > Restaurar no painel lateral. Por exemplo:

      Captura de tela da restauração de uma pesquisa de site específica.

  3. Aguarde até que os dados de log sejam restaurados. Exiba o status do trabalho de restauração selecionando a guia Restauração.

Exibir dados de log restaurados

Exiba o status e os resultados da restauração de dados de log acessando a guia Restauração. Você pode exibir os dados restaurados quando o status do trabalho de restauração mostrar os Dados Disponíveis.

  1. No Microsoft Sentinel, selecione Search>Restauração.

  2. Quando o trabalho de restauração for concluído e o status for atualizado, selecione o nome da tabela e examine os resultados.

    No portal do Azure, os resultados são mostrados na página de consulta de Logs. No portal do Defender, os resultados são mostrados na página busca avançada.

    Por exemplo:

    Captura de tela que mostra o painel de consulta de logs com os resultados da tabela restaurada.

    O Intervalo de tempo é definido para um intervalo de tempo personalizado que usa a hora de início e de término dos dados restaurados.

Excluir tabelas de dados restaurados

Para economizar custos, recomendamos que você exclua a tabela restaurada quando não precisar mais dela. Quando você exclui uma tabela restaurada, os dados de origem subjacentes não são excluídos.

  1. No Microsoft Sentinel, selecione Pesquisa>Restauração e identifique a tabela que você deseja excluir.

  2. Selecione Excluir para essa linha de tabela para excluir a tabela restaurada.

Próximas etapas