Sök över långa tidsintervall i stora datamängder

• Gäller för:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Använd ett sökjobb när du startar en undersökning för att hitta specifika händelser i loggar för upp till sju år sedan. Du kan söka efter händelser i alla dina loggar, inklusive händelser i analys-, basic- och arkiverade loggplaner. Filtrera och leta efter händelser som matchar dina kriterier.

• Mer information om begrepp och begränsningar för sökjobb finns i Starta en undersökning genom att söka i stora datamängder och sökjobb i Azure Monitor.

• Sökjobb i vissa datauppsättningar kan medföra extra avgifter. Mer information finns på sidan med priser för Microsoft Sentinel.

Viktigt!

Microsoft Sentinel är tillgängligt som en del av den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen. Microsoft Sentinel i Defender-portalen stöds nu för produktionsanvändning. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

Starta ett sökjobb

Gå till Sök i Microsoft Sentinel från Azure-portalen eller Microsoft Defender-portalen för att ange dina sökvillkor. Beroende på måldatauppsättningens storlek varierar söktiderna. De flesta sökjobb tar några minuter att slutföra, men sökningar i massiva datauppsättningar som körs i upp till 24 timmar stöds också.

1. För Microsoft Sentinel i Azure-portalen går du till Allmänt och väljer Sök.
   För Microsoft Sentinel i Defender-portalen väljer du Microsoft Sentinel>Search.

2. Välj tabellmenyn och välj en tabell för sökningen.

3. I sökrutan anger du en sökterm.

   Azure-portalen

   

   Defender-portalen

   

4. Välj Start för att öppna redigeraren för avancerad Kusto-frågespråk (KQL) och förhandsgranska resultatet för ett angivet tidsintervall.

5. Ändra KQL-frågan efter behov och välj Kör för att få en uppdaterad förhandsgranskning av sökresultaten.

   

6. När du är nöjd med frågan och förhandsgranskningen av sökresultatet väljer du ellipserna ... och aktiverar sökjobbläget .

   

7. Välj lämpligt tidsintervall.

8. Lös eventuella KQL-problem som anges av en vågig röd linje i redigeraren.

9. När du är redo att starta sökjobbet väljer du Sökjobb.

10. Ange ett nytt tabellnamn för att lagra sökresultaten.

11. Välj Kör ett sökjobb.

12. Vänta tills meddelandet Sökjobbet är klart för att visa resultatet.

Visa sökresultat

Visa status och resultat för ditt sökjobb genom att gå till fliken Sparade sökningar .

1. I Microsoft Sentinel väljer du Sök>sparade sökningar.

2. På sökkortet väljer du Visa sökresultat.

   

   Som standard visas alla resultat som matchar dina ursprungliga sökvillkor.

3. Om du vill förfina listan med resultat som returneras från söktabellen väljer du Lägg till filter.

4. När du granskar sökresultatet väljer du Lägg till bokmärke eller väljer bokmärkesikonen för att bevara en rad. Genom att lägga till ett bokmärke kan du tagga händelser, lägga till anteckningar och koppla dessa händelser till en incident för senare referens.

   

5. Välj knappen Kolumner och markera kryssrutan bredvid kolumner som du vill lägga till i resultatvyn.

6. Lägg till det bokmärkta filtret om du bara vill visa bevarade poster.

7. Välj Visa alla bokmärken för att gå till sidan Jakt där du kan lägga till ett bokmärke i en befintlig incident.

Nästa steg

Mer information finns i följande artiklar.

• Jaga med bokmärken
• Återställa arkiverade loggar
• Konfigurera principer för datakvarhållning och arkivering i Azure Monitor-loggar (förhandsversion)