Partilhar via

Restaurar logs arquivados da pesquisa

  • Artigo
  • Aplica-se a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Restaure dados de um log arquivado para usar em consultas e análises de alto desempenho.

Importante

O Microsoft Sentinel agora está disponível em geral na plataforma de operações de segurança unificada da Microsoft no portal Microsoft Defender. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.

Pré-requisitos

Antes de restaurar dados em um log arquivado, consulte Iniciar uma investigação pesquisando grandes conjuntos de dados (visualização) e Restaurar no Azure Monitor.

Restaurar dados de log arquivados

Para restaurar dados de log arquivados no Microsoft Sentinel, especifique a tabela e o intervalo de tempo para os dados que você deseja restaurar. Em poucos minutos, os dados de log estarão disponíveis no espaço de trabalho do Log Analytics. Em seguida, você pode usar os dados em consultas de alto desempenho que suportam Kusto Query Language (KQL) completo.

Restaure os dados arquivados diretamente da página Pesquisar ou de uma pesquisa salva.

  1. No Microsoft Sentinel, selecione Pesquisar. No portal do Azure, esta página está listada em Geral. No portal do Defender, esta página está no nível raiz do Microsoft Sentinel.

  2. Restaure os dados de log usando um dos seguintes métodos:

    • Selecione Restaurar na parte superior da página. No painel Restauração, ao lado, selecione a tabela e o intervalo de tempo que pretende restaurar e, em seguida, selecione Restaurar na parte inferior do painel.

    • Selecione Pesquisas guardadas, localize os resultados da pesquisa que pretende restaurar e, em seguida, selecione Restaurar. Se tiver várias tabelas, selecione a que pretende restaurar e, em seguida, selecione Ações > de Restauro no painel lateral. Por exemplo:

      Captura de ecrã a mostrar o restauro de uma pesquisa de site específica.

  3. Aguarde até que os dados de log sejam restaurados. Veja o estado do seu trabalho de restauro selecionando no separador Restauração .

Exibir dados de log restaurados

Exiba o status e os resultados da restauração dos dados de log indo para a guia Restauração . Você pode exibir os dados restaurados quando o status do trabalho de restauração mostra Dados disponíveis.

  1. No Microsoft Sentinel, selecione Restauração de pesquisa>.

  2. Quando o trabalho de restauração estiver concluído e o status for atualizado, selecione o nome da tabela e revise os resultados.

    No portal do Azure, os resultados são mostrados na página de consulta Logs. No portal Defender, os resultados são mostrados na página Caça avançada.

    Por exemplo:

    Captura de ecrã que mostra o painel de consulta de registos com os resultados da tabela restaurada.

    O intervalo de tempo é definido como um intervalo de tempo personalizado que usa as horas de início e término dos dados restaurados.

Excluir tabelas de dados restauradas

Para economizar custos, recomendamos que você exclua a tabela restaurada quando não precisar mais dela. Quando você exclui uma tabela restaurada, os dados de origem subjacentes não são excluídos.

  1. No Microsoft Sentinel, selecione Restauração de Pesquisa> e identifique a tabela que deseja excluir.

  2. Selecione Excluir para essa linha da tabela para excluir a tabela restaurada.

Próximos passos