Gendan arkiverede logge fra søgning

  • Gælder for: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Gendan data fra en arkiveret log, så de kan bruges i forespørgsler og analyser med høj ydeevne.

Vigtigt!

Efter den 31. marts 2027 understøttes Microsoft Sentinel ikke længere i Azure Portal og er kun tilgængelig på Microsoft Defender-portalen. Alle kunder, der bruger Microsoft Sentinel i Azure Portal, omdirigeres til Defender-portalen og bruger kun Microsoft Sentinel på Defender-portalen.

Hvis du stadig bruger Microsoft Sentinel i Azure Portal, anbefaler vi, at du begynder at planlægge overgangen til Defender-portalen for at sikre en problemfri overgang og drage fuld fordel af den samlede oplevelse med sikkerhedshandlinger, der tilbydes af Microsoft Defender.

Forudsætninger

Før du gendanner data i en arkiveret log, skal du se Gendan i Azure Monitor.

Gendan arkiverede logdata

Hvis du vil gendanne arkiverede logdata i Microsoft Sentinel, skal du angive tabellen og tidsintervallet for de data, du vil gendanne. Inden for nogle få minutter er logdataene tilgængelige i Log Analytics-arbejdsområdet. Derefter kan du bruge dataene i forespørgsler med høj ydeevne, der understøtter fuld KQL (Kusto Query Language).

Gendan arkiverede data direkte fra søgesiden eller fra en gemt søgning.

  1. Defender-portalen er denne side på Microsoft Sentinel rodniveau. Vælg Søg i Microsoft Sentinel. I Azure Portal vises denne side under Generelt.

  2. Gendan logdata ved hjælp af en af følgende metoder:

    • Vælg Gendan øverst på siden. I ruden Gendannelse i siden skal du vælge den tabel og det tidsinterval, du vil gendanne, og derefter vælge Gendan nederst i ruden.

    • Vælg Gemte søgninger, find de søgeresultater, du vil gendanne, og vælg derefter Gendan. Hvis du har flere tabeller, skal du vælge den, du vil gendanne, og derefter vælge Gendannelse af handlinger > i sideruden. Det kan f.eks. være:

      Skærmbillede af gendannelse af en bestemt webstedssøgning.

  3. Vent på, at logdataene gendannes. Få vist status for gendannelsesjobbet ved at vælge på fanen Gendannelse .

Vis gendannede logdata

Få vist status og resultater for gendannelsen af logdata ved at gå til fanen Gendannelse . Du kan få vist de gendannede data, når status for gendannelsesjobbet viser Tilgængelige data.

  1. VælgSøgegendannelse> i Microsoft Sentinel.

  2. Når gendannelsesjobbet er fuldført, og status opdateres, skal du vælge tabelnavnet og gennemse resultaterne.

    I Azure Portal vises resultaterne på forespørgselssiden Logge. På Defender-portalen vises resultaterne på siden Avanceret jagt .

    Det kan f.eks. være:

    Skærmbillede, der viser forespørgselsruden logge med de gendannede tabelresultater.

    Tidsintervallet er angivet til et brugerdefineret tidsinterval, der bruger start- og sluttidspunkterne for de gendannede data.

Slet gendannede datatabeller

Hvis du vil spare på omkostningerne, anbefaler vi, at du sletter den gendannede tabel, når du ikke længere har brug for den. Når du sletter en gendannet tabel, slettes de underliggende kildedata ikke.

  1. I Microsoft Sentinel skal du vælgeSøgegendannelse> og identificere den tabel, du vil slette.

  2. Vælg Slet for den pågældende tabelrække for at slette den gendannede tabel.

Næste trin

  • Last updated on