Поделиться через

Восстановление архивированных журналов из поиска

  • Статья
  • Применяется к:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Вы можете восстановить данные из архивного журнала, чтобы использовать их в высокопроизводительных запросах и аналитике.

Перед восстановлением данных из архивного журнала ознакомьтесь со статьями о начале исследования с поиска в больших наборах данных (предварительная версия) и восстановлении журналов в Azure Monitor.

Внимание

Microsoft Sentinel доступен в составе единой платформы операций безопасности на портале Microsoft Defender. Microsoft Sentinel на портале Defender теперь поддерживается для использования в рабочей среде. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

Восстановление данных из архивных журналов

Чтобы восстановить архивный журнал в Microsoft Sentinel, укажите таблицу и диапазон времени для данных, которые нужно восстановить. В течение нескольких минут данные журнала станут доступными в рабочей области Log Analytics. Затем можно использовать данные в высокопроизводительных запросах, поддерживающих полные язык запросов Kusto (KQL).

Архивированные данные можно восстановить непосредственно на странице поиска или из сохраненного поиска.

  1. Для Microsoft Sentinel в портал Azure в разделе "Общие" выберите "Поиск".
    Для Microsoft Sentinel на портале Defender выберите Microsoft Sentinel>Search.

  2. Восстановите данные журнала одним из двух способов:

    • В верхней части страницы Поиск выберите Восстановить. Снимок экрана: кнопка восстановления в верхней части страницы поиска.
    • Перейдите на вкладку Сохраненные условия поиска и выполните восстановление для нужного поискового запроса. Снимок экрана: ссылка на восстановление в сохраненном поиске.

  3. Выберите таблицу, которую необходимо восстановить.

  4. Выберите диапазон времени для данных, которые необходимо восстановить.

  5. Выберите Восстановить.

    Снимок экрана: страница восстановления с выбранным диапазоном времени и таблицей.

  6. Дождитесь восстановления данных журнала. Проверьте статус этого задания на вкладке Восстановление.

Просмотр восстановленных данных журнала

Перейдите на вкладку Восстановление, чтобы проверить статус восстановления данных журнала и просмотреть результаты. Вы сможете просмотреть восстановленные данные, когда для состояния задания восстановления отобразится значение Данные доступны.

  1. В Microsoft Sentinel выберите "Восстановление поиска>".

    Снимок экрана: вкладка восстановления на странице поиска.

  2. После завершения задания восстановления выберите имя таблицы.

    Снимок экрана: строки с завершенными заданиями восстановления и выбранной таблицей.

  3. Проверка результатов.

    Снимок экрана: область запросов журналов с восстановленными результатами таблицы.

    На панели запросов журналов отобразится имя таблицы, которая содержит восстановленные данные. Для параметра Диапазон времени буден задан пользовательский диапазон со временем начала и окончания для восстановленных данных.

Удаление восстановленных таблиц данных

Чтобы сократить затраты, рекомендуется удалить восстановленную таблицу, если она больше не нужна. При удалении восстановленной таблицы Azure не удаляет базовые исходные данные.

  1. В Microsoft Sentinel выберите "Восстановление поиска>".

  2. Найдите таблицу, которую необходимо удалить.

  3. Выберите Удалить в строке этой таблицы.

    Снимок экрана: вкладка восстановления, на котором показана кнопка удаления для каждой строки.

Следующие шаги