Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
En af de primære aktiviteter for et sikkerhedsteam er at søge efter bestemte hændelser i loggene. Du kan f.eks. søge efter en bestemt brugers aktiviteter inden for en given tidsramme.
I Microsoft Sentinel kan du søge i meget store datasæt på tværs af lange tidsperioder ved hjælp af et søgejob. Selvom du kan køre et søgejob på en hvilken som helst type log, er søgejob ideelt til søgelogge i en langtidsopbevaringstilstand (tidligere kaldet arkiv). Hvis du har brug for at foretage en komplet undersøgelse af disse data, kan du gendanne disse data til en interaktiv opbevaringstilstand – ligesom dine almindelige Log Analytics-tabeller – for at køre forespørgsler med høj ydeevne og en dybere analyse.
Vigtigt!
Efter den 31. marts 2027 understøttes Microsoft Sentinel ikke længere i Azure Portal og er kun tilgængelig på Microsoft Defender-portalen. Alle kunder, der bruger Microsoft Sentinel i Azure Portal, omdirigeres til Defender-portalen og bruger kun Microsoft Sentinel på Defender-portalen.
Hvis du stadig bruger Microsoft Sentinel i Azure Portal, anbefaler vi, at du begynder at planlægge overgangen til Defender-portalen for at sikre en problemfri overgang og drage fuld fordel af den samlede oplevelse med sikkerhedshandlinger, der tilbydes af Microsoft Defender.
Søg i store datasæt
Brug et søgejob til at hente data, der er gemt i langtidsopbevaring, eller til at scanne gennem store datamængder, hvis timeout for logforespørgslen på 10 minutter ikke er tilstrækkelig. Søgejob er asynkrone forespørgsler, der henter poster til en søgetabel i dit Log Analytics-arbejdsområde. Søgejobbet bruger parallel behandling til at søge på tværs af lange tidsperioder i meget store datasæt, så søgejob ikke påvirker arbejdsområdets ydeevne eller tilgængelighed.
Søgeresultater gemmes i en tabel med _SRCH et suffiks.
På dette billede vises et eksempel på søgekriterier for et søgejob.
Gendan logdata fra langtidsopbevaring
Når du har brug for at foretage en komplet undersøgelse af logdata i langtidsopbevaring, skal du gendanne en tabel fra siden Søg i Microsoft Sentinel. Angiv en destinationstabel og et tidsinterval for de data, du vil gendanne. Inden for nogle få minutter gendannes logdataene og er tilgængelige i Log Analytics-arbejdsområdet. Derefter kan du bruge dataene i forespørgsler med høj ydeevne, der understøtter fuld KQL.
En gendannet logtabel er tilgængelig i en ny tabel, der har et *_RST suffiks. De gendannede data er tilgængelige, så længe de underliggende kildedata er tilgængelige. Men du kan når som helst slette gendannede tabeller uden at slette de underliggende kildedata. Hvis du vil spare på omkostningerne, anbefaler vi, at du sletter den gendannede tabel, når du ikke længere har brug for den.
På følgende billede vises gendannelsesindstillingen i en gemt søgning.
Begrænsninger i loggendannelse
Se Gendan begrænsninger i dokumentationen til Azure Monitor.
Bogmærke for søgeresultater eller gendannede datarækker
På samme måde som med dashboardet trusselsjagt kan du angive bogmærkerækker, der indeholder oplysninger, som du finder interessante, så du kan vedhæfte dem til en hændelse eller henvise til dem senere. Du kan få flere oplysninger under Opret bogmærker.