Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Stellen Sie Daten aus einem archivierten Protokoll wieder her, um sie in abfragen und analysen mit hoher Leistung zu verwenden.
Wichtig
Nach dem 31. März 2027 werden Microsoft Sentinel im Azure-Portal nicht mehr unterstützt und sind nur im Microsoft Defender-Portal verfügbar. Alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, werden zum Defender-Portal umgeleitet und verwenden Microsoft Sentinel nur im Defender-Portal.
Wenn Sie weiterhin Microsoft Sentinel im Azure-Portal verwenden, empfehlen wir Ihnen, den Übergang zum Defender-Portal zu planen, um einen reibungslosen Übergang zu gewährleisten und die von Microsoft Defender angebotenen einheitlichen Sicherheitsvorgänge in vollem Umfang zu nutzen.
Voraussetzungen
Bevor Sie Daten in einem archivierten Protokoll wiederherstellen, lesen Sie Wiederherstellen in Azure Monitor.
Wiederherstellen archivierter Protokolldaten
Um archivierte Protokolldaten in Microsoft Sentinel wiederherzustellen, geben Sie die Tabelle und den Zeitbereich für die Daten an, die Sie wiederherstellen möchten. Innerhalb weniger Minuten sind die Protokolldaten im Log Analytics-Arbeitsbereich verfügbar. Anschließend können Sie die Daten in Hochleistungsabfragen verwenden, die vollständige Kusto-Abfragesprache (KQL) unterstützen.
Stellen Sie archivierte Daten direkt von der Seite Suchen oder aus einer gespeicherten Suche wieder her.
Im Defender-Portal befindet sich diese Seite auf Microsoft Sentinel Stammebene. Wählen Sie Microsoft Sentinel Suchen aus. Im Azure-Portal ist diese Seite unter Allgemein aufgeführt.
Stellen Sie Protokolldaten mit einer der folgenden Methoden wieder her:
Wählen Sie oben auf der Seite Wiederherstellen aus
. Wählen Sie im Bereich Wiederherstellung an der Seite die Tabelle und den Zeitbereich aus, die Sie wiederherstellen möchten, und wählen Sie dann unten im Bereich Wiederherstellen aus.Wählen Sie Gespeicherte Suchvorgänge aus, suchen Sie die Suchergebnisse, die Sie wiederherstellen möchten, und wählen Sie dann Wiederherstellen aus. Wenn Sie über mehrere Tabellen verfügen, wählen Sie die Tabellen aus, die Sie wiederherstellen möchten, und wählen Sie dann aktionen > Wiederherstellen im Seitenbereich aus. Zum Beispiel:
Warten Sie, bis die Protokolldaten wiederhergestellt wurden. Zeigen Sie die status Ihres Wiederherstellungsauftrags an, indem Sie auf der Registerkarte Wiederherstellung auswählen.
Anzeigen wiederhergestellter Protokolldaten
Zeigen Sie die status und Ergebnisse der Protokolldatenwiederherstellung an, indem Sie zur Registerkarte Wiederherstellung wechseln. Sie können die wiederhergestellten Daten anzeigen, wenn im status des Wiederherstellungsauftrags Daten verfügbar angezeigt werden.
Wählen Sie Microsoft Sentinel Die Option Wiederherstellung durchsuchen> aus.
Wenn Der Wiederherstellungsauftrag abgeschlossen ist und die status aktualisiert wird, wählen Sie den Tabellennamen aus, und überprüfen Sie die Ergebnisse.
Im Azure-Portal werden die Ergebnisse auf der Abfrageseite Protokolle angezeigt. Im Defender-Portal werden die Ergebnisse auf der Seite Erweiterte Suche angezeigt.
Zum Beispiel:
Der Zeitbereich wird auf einen benutzerdefinierten Zeitbereich festgelegt, der die Start- und Endzeiten der wiederhergestellten Daten verwendet.
Wiederhergestellte Datentabellen löschen
Um Kosten zu sparen, empfiehlt es sich, die wiederhergestellte Tabelle zu löschen, wenn Sie sie nicht mehr benötigen. Wenn Sie eine wiederhergestellte Tabelle löschen, werden die zugrunde liegenden Quelldaten nicht gelöscht.
Wählen Sie Microsoft Sentinel Die Option Wiederherstellung durchsuchen> aus, und identifizieren Sie die Tabelle, die Sie löschen möchten.
Wählen Sie löschen für diese Tabellenzeile aus, um die wiederhergestellte Tabelle zu löschen.