Återställa arkiverade loggar från sökning

  • Artikel
  • Gäller för:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Återställa data från en arkiverad logg som ska användas i högpresterande frågor och analyser.

Innan du återställer data i en arkiverad logg kan du läsa Starta en undersökning genom att söka i stora datamängder (förhandsversion) och Återställa i Azure Monitor.

Viktigt!

Microsoft Sentinel är tillgängligt som en del av den offentliga förhandsversionen av den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

Återställa arkiverade loggdata

Om du vill återställa arkiverade loggdata i Microsoft Sentinel anger du tabellen och tidsintervallet för de data som du vill återställa. Inom några minuter är loggdata tillgängliga på Log Analytics-arbetsytan. Sedan kan du använda data i högpresterande frågor som stöder fullständig Kusto-frågespråk (KQL).

Du kan återställa arkiverade data direkt från söksidan eller från en sparad sökning.

  1. För Microsoft Sentinel i Azure-portalen går du till Allmänt och väljer Sök.
    För Microsoft Sentinel i Defender-portalen väljer du Microsoft Sentinel>Search.

  2. Återställa loggdata på något av två sätt:

    • Välj Återställ överst på söksidan. Skärmbild av återställningsknappen överst på söksidan.
    • Välj fliken Sparade sökningar och Återställ vid lämplig sökning. Skärmbild av återställningslänken i en sparad sökning.

  3. Välj den tabell som du vill återställa.

  4. Välj tidsintervallet för de data som du vill återställa.

  5. Välj Återställ.

    Skärmbild av återställningssidan med tabell och tidsintervall valt.

  6. Vänta tills loggdata har återställts. Visa status för återställningsjobbet genom att välja på fliken Återställning .

Visa återställde loggdata

Visa status och resultat för återställningen av loggdata genom att gå till fliken Återställning . Du kan visa återställde data när statusen för återställningsjobbet visar Tillgängliga data.

  1. I Microsoft Sentinel väljer du Sökåterställning>.

    Skärmbild av fliken återställning på söksidan.

  2. När återställningsjobbet är klart väljer du tabellnamnet.

    Skärmbild som visar rader med slutförda återställningsjobb och en vald tabell.

  3. Granska resultaten.

    Skärmbild som visar loggfrågefönstret med de återställde tabellresultaten.

    I frågefönstret Loggar visas namnet på tabellen som innehåller återställd data. Tidsintervallet är inställt på ett anpassat tidsintervall som använder start- och sluttiderna för återställde data.

Ta bort återställde datatabeller

För att spara kostnader rekommenderar vi att du tar bort den återställde tabellen när du inte längre behöver den. När du tar bort en återställd tabell tar Azure inte bort underliggande källdata.

  1. I Microsoft Sentinel väljer du Sökåterställning>.

  2. Identifiera den tabell som du vill ta bort.

  3. Välj Ta bort för den tabellraden.

    Skärmbild av fliken Återställning som visar knappen Ta bort på varje rad.

Nästa steg