Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Вы можете восстановить данные из архивного журнала, чтобы использовать их в высокопроизводительных запросах и аналитике.
Внимание
После 31 марта 2027 г. Microsoft Sentinel больше не будет поддерживаться на портале Azure и будет доступен только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel на портале Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender.
Если вы по-прежнему используете Microsoft Sentinel на портале Azure, рекомендуется приступить к планированию перехода на портал Defender , чтобы обеспечить плавный переход и воспользоваться всеми преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender.
Предварительные условия
Перед восстановлением данных в архивном журнале см. статью "Восстановление" в Azure Monitor.
Восстановление данных из архивных журналов
Чтобы восстановить архивный журнал в Microsoft Sentinel, укажите таблицу и диапазон времени для данных, которые нужно восстановить. В течение нескольких минут данные журнала станут доступными в рабочей области Log Analytics. Затем можно использовать данные в высокопроизводительных запросах, поддерживающих полные язык запросов Kusto (KQL).
Восстановите архивированные данные непосредственно на странице поиска или из сохраненного поиска.
На портале Defender эта страница находится на корневом уровне Microsoft Sentinel. В Microsoft Sentinel выберите "Поиск". На портале Azure эта страница отображается в разделе "Общие".
Восстановление данных журнала с помощью одного из следующих методов:
Выберите "
Восстановить" в верхней части страницы. В области "Восстановление " на стороне выберите диапазон времени и таблицы, который требуется восстановить, а затем выберите "Восстановить" в нижней части области.Выберите "Сохраненные поиски", найдите результаты поиска, которые требуется восстановить, а затем нажмите кнопку "Восстановить". Если у вас несколько таблиц, выберите один из них, который вы хотите восстановить, а затем выберите "Действия > восстановления " на боковой панели. Например:
Дождитесь восстановления данных журнала. Просмотрите состояние задания восстановления, выбрав вкладку "Восстановление ".
Просмотр восстановленных данных журнала
Просмотрите состояние и результаты восстановления данных журнала, перейдя на вкладку "Восстановление ". Вы можете просмотреть восстановленные данные, когда состояние задания восстановления отображает доступные данные.
В Microsoft Sentinel выберите Поиск>Восстановление.
После завершения задания восстановления и обновления состояния выберите имя таблицы и просмотрите результаты.
На портале Azure, результаты отображаются на странице журналов запросов. На портале Defender результаты отображаются на странице расширенной охоты.
Например:
Диапазон времени имеет настраиваемый диапазон времени, который использует время начала и окончания восстановленных данных.
Удаление восстановленных таблиц данных
Чтобы сократить затраты, рекомендуется удалить восстановленную таблицу, если она больше не нужна. При удалении восстановленной таблицы базовые исходные данные не удаляются.
В Microsoft Sentinel выберите Поиск>Восстановление и определите таблицу, которую требуется удалить.
Выберите "Удалить " для этой строки таблицы, чтобы удалить восстановленную таблицу.