Dela via

Återställa arkiverade loggar från sökning

  • Artikel
  • Gäller för:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Återställa data från en arkiverad logg som ska användas i högpresterande frågor och analyser.

Viktigt!

Microsoft Sentinel är nu allmänt tillgängligt på Microsofts plattform för enhetliga säkerhetsåtgärder i Microsoft Defender-portalen. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

Förutsättningar

Innan du återställer data i en arkiverad logg kan du läsa Starta en undersökning genom att söka i stora datamängder (förhandsversion) och Återställa i Azure Monitor.

Återställa arkiverade loggdata

Om du vill återställa arkiverade loggdata i Microsoft Sentinel anger du tabellen och tidsintervallet för de data som du vill återställa. Inom några minuter är loggdata tillgängliga på Log Analytics-arbetsytan. Sedan kan du använda data i högpresterande frågor som stöder fullständig Kusto-frågespråk (KQL).

Återställ arkiverade data direkt från söksidan eller från en sparad sökning.

  1. I Microsoft Sentinel väljer du Sök. I Azure Portal visas den här sidan under Allmänt. I Defender-portalen finns den här sidan på Microsoft Sentinel-rotnivå.

  2. Återställa loggdata med någon av följande metoder:

    • Välj Återställ överst på sidan. I fönstret Återställning på sidan väljer du den tabell och det tidsintervall som du vill återställa och väljer sedan Återställ längst ned i fönstret.

    • Välj Sparade sökningar, leta upp de sökresultat som du vill återställa och välj sedan Återställ. Om du har flera tabeller väljer du den som du vill återställa och väljer sedan Åtgärder > Återställ i sidofönstret. Till exempel:

      Skärmbild av återställning av en specifik webbplatssökning.

  3. Vänta tills loggdata har återställts. Visa status för återställningsjobbet genom att välja på fliken Återställning .

Visa återställde loggdata

Visa status och resultat för återställningen av loggdata genom att gå till fliken Återställning . Du kan visa återställde data när statusen för återställningsjobbet visar Tillgängliga data.

  1. I Microsoft Sentinel väljer du Sökåterställning>.

  2. När återställningsjobbet är klart och statusen har uppdaterats väljer du tabellnamnet och granskar resultatet.

    I Azure Portal visas resultaten på sidan Loggfrågefråga. I Defender-portalen visas resultaten på sidan Avancerad jakt.

    Till exempel:

    Skärmbild som visar loggfrågefönstret med de återställde tabellresultaten.

    Tidsintervallet är inställt på ett anpassat tidsintervall som använder start- och sluttiderna för återställde data.

Ta bort återställde datatabeller

För att spara kostnader rekommenderar vi att du tar bort den återställde tabellen när du inte längre behöver den. När du tar bort en återställd tabell tas inte underliggande källdata bort.

  1. I Microsoft Sentinel väljer du Sökåterställning> och identifierar den tabell som du vill ta bort.

  2. Välj Ta bort för den tabellraden för att ta bort den återställde tabellen.

Nästa steg