Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Restaure dados de um log arquivado para usar em consultas e análises de alto desempenho.
Importante
O Microsoft Sentinel está geralmente disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.
A partir de julho de 2026, o Microsoft Sentinel terá suporte apenas no portal do Defender e todos os clientes restantes que usarem o portal do Azure serão redirecionados automaticamente.
Recomendamos que todos os clientes que usam o Microsoft Sentinel no Azure comecem a planejar a transição para o portal do Defender para obter a experiência completa de operações de segurança unificadas oferecida pelo Microsoft Defender. Para obter mais informações, consulte Planejando sua mudança para o portal do Microsoft Defender para todos os clientes do Microsoft Sentinel.
Pré-requisitos
Antes de restaurar dados em um log arquivado, consulte Iniciar uma investigação pesquisando grandes conjuntos de dados (visualização) e Restaurar no Azure Monitor.
Restaurar dados de log arquivados
Para restaurar dados de log arquivados no Microsoft Sentinel, especifique a tabela e o intervalo de tempo para os dados que você deseja restaurar. Em poucos minutos, os dados de log estarão disponíveis no espaço de trabalho do Log Analytics. Em seguida, você pode usar os dados em consultas de alto desempenho que suportam Kusto Query Language (KQL) completo.
Restaure os dados arquivados diretamente da página Pesquisar ou de uma pesquisa salva.
No portal do Defender, esta página está no nível raiz do Microsoft Sentinel. No Microsoft Sentinel, selecione Pesquisar. No portal do Azure, esta página está listada em Geral.
Restaure os dados de log usando um dos seguintes métodos:
Selecione
Restaurar na parte superior da página. No painel Restauração , ao lado, selecione a tabela e o intervalo de tempo que pretende restaurar e, em seguida, selecione Restaurar na parte inferior do painel.Selecione Pesquisas guardadas, localize os resultados da pesquisa que pretende restaurar e, em seguida, selecione Restaurar. Se tiver várias tabelas, selecione a que pretende restaurar e, em seguida, selecione Ações > de Restauro no painel lateral. Por exemplo:
Aguarde até que os dados de log sejam restaurados. Veja o estado do seu trabalho de restauro selecionando no separador Restauração .
Exibir dados de log restaurados
Exiba o status e os resultados da restauração dos dados de log indo para a guia Restauração . Você pode exibir os dados restaurados quando o status do trabalho de restauração mostra Dados disponíveis.
No Microsoft Sentinel, selecione Pesquisar>Restauração.
Quando o trabalho de restauração estiver concluído e o status for atualizado, selecione o nome da tabela e revise os resultados.
No portal do Azure, os resultados são mostrados na página de consulta Logs . No portal Defender, os resultados são mostrados na página Caça avançada .
Por exemplo:
O intervalo de tempo é definido como um intervalo de tempo personalizado que usa as horas de início e término dos dados restaurados.
Excluir tabelas de dados restauradas
Para economizar custos, recomendamos que você exclua a tabela restaurada quando não precisar mais dela. Quando você exclui uma tabela restaurada, os dados de origem subjacentes não são excluídos.
No Microsoft Sentinel, selecione Restauração de Pesquisa> e identifique a tabela que deseja excluir.
Selecione Excluir para essa linha da tabela para excluir a tabela restaurada.