Share via

Restaurar logs arquivados da pesquisa

  • Artigo
  • Aplica-se a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Restaure dados de um log arquivado para uso em consultas e análises de alto desempenho.

Antes de restaurar os dados em um log arquivado, confira Iniciar uma investigação pesquisando grandes conjuntos de dados (versão prévia) e Restaurar no Azure Monitor.

Importante

O Microsoft Sentinel está disponível como parte da versão prévia pública da plataforma unificada de operações de segurança no portal do Microsoft Defender. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.

Restaurar dados de logs arquivados

Para restaurar dados de logs arquivados no Microsoft Sentinel, especifique a tabela e o intervalo de tempo para os dados que você deseja restaurar. Em alguns minutos, os dados de log e estarão disponíveis no workspace do Log Analytics. Em seguida, você poderá usar os dados em consultas de alto desempenho que dão suporte completo à KQL (Linguagem de Consulta Kusto).

Você pode restaurar os dados arquivados diretamente da página Pesquisa ou de uma pesquisa salva.

  1. Para o Microsoft Sentinel noportal do Azure, em Geral , selecioneSearch.
    Para o Microsoft Sentinel no portal do Defender, selecioneMicrosoft Sentinel>Search.

  2. Restaure os dados de log usando uma das duas maneiras:

    • Na parte superior da página Pesquisa, selecione Restaurar. Captura de tela do botão restaurar na parte superior da página de pesquisa.
    • Selecione a guia Pesquisas salvas e Restaurar na pesquisa apropriada. Captura de tela do link de restauração em uma pesquisa salva.

  3. Selecione a tabela que você deseja restaurar.

  4. Selecione o intervalo de tempo dos dados que você deseja restaurar.

  5. Selecione Restaurar.

    Captura de tela da página de restauração com tabela e intervalo de tempo selecionados.

  6. Aguarde até que os dados de log sejam restaurados. Exiba o status do trabalho de restauração selecionando a guia Restauração.

Exibir dados de log restaurados

Exiba o status e os resultados da restauração de dados de log acessando a guia Restauração. Você pode exibir os dados restaurados quando o status do trabalho de restauração mostrar os Dados Disponíveis.

  1. No Microsoft Sentinel, selecione Search>Restauração.

    Captura de tela da guia restauração na página de pesquisa.

  2. Quando o trabalho de restauração for concluído, selecione o nome da tabela.

    Captura de tela que mostra linhas com trabalhos de restauração concluídos e uma tabela selecionada.

  3. Revise os resultados.

    Captura de tela que mostra o painel de consulta de logs com os resultados da tabela restaurada.

    O painel Consulta de logs mostra o nome da tabela que contém os dados restaurados. O Intervalo de tempo é definido para um intervalo de tempo personalizado que usa a hora de início e de término dos dados restaurados.

Excluir tabelas de dados restaurados

Para economizar custos, recomendamos que você exclua a tabela restaurada quando não precisar mais dela. Quando você exclui uma tabela restaurada, o Azure não exclui os dados de origem subjacentes.

  1. No Microsoft Sentinel, selecione Search>Restauração.

  2. Identifique a tabela que você deseja excluir.

  3. Selecione Excluir para essa linha da tabela.

    Captura de tela da guia restauração que mostra o botão excluir em cada linha.

Próximas etapas