还原历史数据

  • 3 分钟

当需要对存档日志中存储的数据进行全面调查时,请从 Microsoft Sentinel 中的“搜索”页还原一个表。 指定要还原的数据的目标表和时间范围。 几分钟内,日志数据就会还原,并在 Log Analytics 工作区中可用。 然后,可以在支持完整 KQL 的高性能查询中使用该数据。

还原的日志表位于一个后缀为 *_RST 的新表中。 只要基础源数据可用,还原的数据就可用。 但是,随时可以删除已还原的表,而无需删除基础源数据。 为了节省成本,建议在不再需要已还原的表时将其删除。

日志还原的限制

在开始还原存档的日志表之前,请注意以下限制:

  • 将数据还原至少两天。
  • 还原超过 14 天的数据。
  • 最多可还原 60 TB。
  • 还原限制为每个表一个活动还原。
  • 每周每个工作区最多还原四个存档表。
  • 每个工作区限制为两个并行还原作业。

还原存档的日志数据

若要在 Microsoft Sentinel 中还原存档的日志数据,请指定要还原的数据的表和时间范围。 几分钟内,日志数据就会在 Log Analytics 工作区中可用。 然后,可以在支持完整 KQL 的高性能查询中使用该数据。

可以直接从搜索页或保存的搜索中恢复存档的数据。

  1. 在 Azure 门户中,转到 Microsoft Sentinel 并选择适当的工作区。

  2. 在“常规”下,选择“搜索”。

  3. 通过两种方式之一还原日志数据:

    • 在搜索页的顶部,选择“还原”或
    • 选择保存的搜索选项卡, 并在适当的搜索中选择还原。

  4. 选择要还原的表。

  5. 选择要还原的数据的时间范围。

  6. 选择“还原”。

  7. 等待日志数据还原。 通过选择还原选项卡,查看还原作业的状态。

查看还原的日志数据

通过进入还原选项卡查看日志数据还原的状态和结果。当还原作业的状态显示数据可用时,可以查看还原的数据。

  1. 在 Microsoft Sentinel 工作区中,选择“搜索”>还原”。

  2. 还原作业完成后,选择表名称。

  3. 查看结果。

"日志查询"窗格显示了包含已还原数据的表的名称。 时间范围设置为使用已还原数据的开始时间和结束时间的自定义时间范围。

删除还原的数据表

为了节省成本,建议在不再需要已还原的表时将其删除。 删除已还原的表时,Azure 不会删除基础源数据。

  1. 在 Microsoft Sentinel 工作区中,选择“搜索”>还原”。

  2. 确定要删除的表。

  3. 为该表行选择删除。