還原歷程記錄資料

  • 3 分鐘

當您需要全面調查儲存在封存記錄中的資料時,請從 Microsoft Sentinel 的 [搜尋] 頁面中還原資料表。 指定您要還原之資料的目標資料表和時間範圍。 在幾分鐘內,記錄資料會還原並在 Log Analytics 工作區內取得。 然後,您可以在支援完整 KQL 的高效能查詢中使用資料。

還原的記錄資料表可在具有 *_RST 尾碼的新資料表中使用。 只要基礎來源資料可用,即可使用還原的資料。 但是您可以隨時刪除還原的資料表,而無需刪除基礎來源資料。 若要節省成本,建議您在不再需要時刪除還原的資料表。

記錄還原的限制

開始還原封存的記錄資料表之前,請注意下列限制:

  • 還原至少兩天的資料。
  • 還原超過 14 天的資料。
  • 最多還原 60 TB。
  • 每個資料表的還原限制為一個作用中還原。
  • 每週最多還原四個封存資料表。
  • 每個工作區只能有兩個並行還原作業。

還原封存的記錄資料

若要在 Microsoft Sentinel 中還原封存的記錄資料,請指定您要還原之資料的資料表和時間範圍。 在幾分鐘內,Log Analytics 工作區內就會提供記錄資料。 然後,您可以在支援完整 KQL 的高效能查詢中使用資料。

您可以直接從 [搜尋] 頁面或儲存的搜尋來還原封存的資料。

  1. 在 Azure 入口網站中,移至 [Microsoft Sentinel],然後選取適當的工作區。

  2. 在 [一般] 下方,選取 [搜尋]。

  3. 以下列兩種方式之一還原記錄資料:

    • 在 [搜尋] 頁面頂端,選取 [還原],或
    • 選取 [已儲存的搜尋] 索引標籤,然後在適當的搜尋上 [還原]。

  4. 選取您要還原的資料表。

  5. 選取您要還原之資料的時間範圍。

  6. 選取 [還原]。

  7. 等候記錄資料還原。 選取 [還原] 索引標籤,以檢視還原作業的狀態。

檢視已還原的記錄資料

移至 [還原] 索引標籤,以檢視記錄資料還原的狀態和結果。當還原作業的狀態顯示 [資料可用] 時,您可以檢視還原的資料。

  1. 在 Microsoft Sentinel 工作區中,選取 [搜尋] > [復原]。

  2. 當您的還原作業完成時,請選取資料表名稱。

  3. 檢閱結果。

[記錄] 查詢窗格會顯示包含已還原資料的資料表名稱。 [時間範圍] 會設定為使用還原資料的開始和結束時間的自訂時間範圍。

刪除已還原的資料表

若要節省成本,建議您在不再需要時刪除還原的資料表。 當您刪除已還原的資料表時,Azure 不會刪除基礎來源資料。

  1. 在 Microsoft Sentinel 工作區中,選取 [搜尋] > [復原]。

  2. 識別您要刪除的資料表。

  3. 針對該資料表資料列選取 [刪除]。