使用搜索作业进行搜寻

  • 3 分钟

安全团队的主要活动之一是搜索特定事件的日志。 例如,可以在日志中搜索给定时间范围内特定用户的活动。

在 Microsoft Sentinel 中,可以使用搜索作业在大型数据集中长时间进行搜索。 尽管可以对任何类型的日志运行搜索作业,但搜索作业非常适合用于搜索存档日志。 如果需要对存档数据进行完整调查,可以将该数据还原到热缓存中,以运行高性能查询和分析。

搜索大型数据集

开始调查时使用搜索作业在给定时间范围内的日志中查找特定事件。 可以搜索所有日志来并查找符合条件的事件,然后筛选结果。

Microsoft Sentinel 中的搜索建立在搜索作业的基础之上。 搜索作业是提取记录的异步查询。 启动搜索作业后,结果将返回到在 Log Analytics 工作区中创建的搜索表。 搜索作业使用并行处理在大型数据集中长时间运行搜索。 因此,搜索作业不会影响工作区的性能或可用性。

搜索结果保留在带有 *_SRCH 后缀的搜索结果表中

支持的日志类型

使用搜索在以下任何日志类型中查找事件:

  • 分析日志
  • 基本日志

搜索作业的限制

在开始搜索作业之前,请注意以下限制:

  • 优化为一次查询一个表。
  • 搜索日期范围最长为一年。
  • 支持长达 24 小时超时的长时间运行搜索。
  • 结果限制为记录集中的 100 万条记录。
  • 并发执行限制为每个工作区五个搜索作业。
  • 每个工作区限制为 100 个搜索结果表。
  • 每个工作区每天只能执行 100 个搜索作业。

开始搜索

转到 Microsoft Sentinel 中的“搜索”以输入搜索条件。

  1. 在 Azure 门户中,转到 Microsoft Sentinel 并选择适当的工作区。

  2. 在“常规”下,选择“搜索(预览版)。

  3. 在“搜索”框中,输入搜索词。

  4. 选择适当的“期限”。

  5. 选择要“搜索”的表。

  6. 准备好启动搜索作业后,选择“搜索”。

    搜索作业启动时,搜索页上会显示一条通知和作业状态。

  7. 等待搜索作业完成。 根据数据集和搜索条件,搜索作业可能需要几分钟或多达 24 小时才能完成。 如果搜索作业需要的时间超过 24 小时,则它会退出。如果发生这种情况,请优化搜索条件,然后重试。

查看搜索作业结果

通过进入“已保存搜索”选项卡查看搜索作业的状态和结果。

  1. 在 Microsoft Sentinel 工作区中,选择“搜索”>“已保存搜索”。

  2. 在搜索卡上,选择“查看搜索结果”。

  3. 默认情况下,会看到与原始搜索条件匹配的所有结果。 在搜索查询中,请注意引用的时间列。

    • TimeGenerated 是将数据引入搜索表的日期和时间。
    • _OriginalTimeGenerated 是创建记录的日期和时间。

  4. 若要优化从搜索表返回的结果列表,请编辑 KQL 查询。

  5. 查看搜索作业结果时,请为包含你感兴趣的信息的行添加书签,以便将它们附加到事件或稍后引用它们。