你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

通过搜索还原存档日志

• 适用于:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

从存档日志还原数据，以用于高性能查询和分析。

在存档日志中还原数据之前，请参阅通过搜索大型数据集开始调查（预览）和在 Azure Monitor 中还原。

重要

Microsoft Sentinel 作为 Microsoft Defender 门户中统一安全运营平台的公共预览版的一部分提供。 有关详细信息，请参阅 Microsoft Defender 门户中的 Microsoft Sentinel。

还原存档的日志数据

若要在 Microsoft Sentinel 中还原存档的日志数据，请指定要还原的数据的表和时间范围。 几分钟内，日志数据就会在 Log Analytics 工作区中可用。 然后，可以在支持完整 Kusto 查询语言 (KQL) 的高性能查询中使用该数据。

可直接从搜索页或保存的搜索中还原存档的数据。

1. 对于 Azure 门户中的 Microsoft Sentinel，请在“常规”下选择“搜索”。
   对于 Defender 门户中的 Microsoft Sentinel，请选择“Microsoft Sentinel”>“搜索”。

2. 通过两种方式之一还原日志数据：

   • 在搜索页的顶部 ，选择还原。
   • 选择保存的搜索选项卡， 并在适当的搜索中选择还原。

3. 选择要还原的表。

4. 选择要还原的数据的时间范围。

5. 选择“还原”。

   

6. 等待日志数据还原。 通过选择还原选项卡，查看还原作业的状态。

查看还原的日志数据

通过进入还原选项卡查看日志数据还原的状态和结果。当还原作业的状态显示数据可用时，可以查看还原的数据。

1. 在 Microsoft Sentinel 中，选择“搜索”>“还原”。

   

2. 还原作业完成后，选择表名称。

   

3. 查看结果。

   

   "日志查询"窗格显示了包含已还原数据的表的名称。 时间范围设置为使用已还原数据的开始时间和结束时间的自定义时间范围。

删除还原的数据表

为了节省成本，建议在不再需要已还原的表时将其删除。 删除已还原的表时，Azure 不会删除基础源数据。

1. 在 Microsoft Sentinel 中，选择“搜索”>“还原”。

2. 确定要删除的表。

3. 为该表行选择删除。

   

后续步骤

• 使用书签进行搜寻