Palauta arkistoidut lokit hausta

  • Koskee seuraavia:: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Palauta tiedot arkistoidusta lokista käytettäväksi hyvin toimivissa kyselyissä ja analytiikassa.

Tärkeää

31.3.2027 jälkeen Microsoft Sentinel ei enää tueta Azure-portaali ja se on käytettävissä vain Microsoft Defender-portaalissa. Kaikki asiakkaat, jotka käyttävät Microsoft Sentinel Azure-portaali, ohjataan Defender-portaaliin ja he käyttävät Microsoft Sentinel vain Defender-portaalissa.

Jos käytät edelleen Microsoft Sentinel Azure-portaali, suosittelemme, että aloitat Defender-portaaliin siirtymisen suunnittelun, jotta siirtyminen olisi sujuvaa ja jotta voit hyödyntää täysin Microsoft Defender tarjoamaa yhtenäistä suojaustoimintokokemusta.

Ennakkovaatimukset

Ennen kuin palautat tiedot arkistoituun lokiin, katso Palauta Azure Näytössä.

Palauta arkistoidut lokitiedot

Voit palauttaa arkistoidut lokitiedot Microsoft Sentinel määrittämällä palautettaville tiedoille taulukon ja aika-alueen. Lokitiedot ovat käytettävissä Log Analytics -työtilassa muutaman minuutin kuluttua. Sen jälkeen voit käyttää tietoja suorituskykyisissä kyselyissä, jotka tukevat täyttä Kusto Query Languagea (KQL).

Palauta arkistoidut tiedot suoraan hakusivulta tai tallennetun haun.

  1. Defender-portaalissa tämä sivu on Microsoft Sentinel päätasolla. Valitse Microsoft Sentinel Haku. Tämä sivu näkyy Azure-portaali kohdassa Yleiset.

  2. Palauta lokitiedot jollakin seuraavista tavoista:

    • Valitse Sivun yläreunasta Palauta. Valitse reunuksen ruudussa taulukko ja aika-alue, jotka haluat palauttaa, ja valitse sitten Palauta ruudun alareunasta.

    • Valitse Tallennetut haut, etsi palautettavat hakutulokset ja valitse sitten Palauta. Jos sinulla on useita taulukoita, valitse palautettava taulukko ja valitse sitten sivuruudusta Toiminnot > Palauta . Esimerkki:

      Näyttökuva tietyn sivustohaun palauttamisesta.

  3. Odota, että lokitiedot palautetaan. Voit tarkastella palautustyön tilaa valitsemalla Palauttaminen-välilehdestä .

Palautettujen lokitietojen tarkasteleminen

Voit tarkastella lokitietojen palautuksen tilaa ja tuloksia siirtymällä Palauttaminen-välilehteen. Voit tarkastella palautettuja tietoja, kun palautustyön tilassa näkyy Käytettävissä olevat tiedot.

  1. Valitse Microsoft Sentinel Haun>palauttaminen.

  2. Kun palautustyö on valmis ja tila päivittyy, valitse taulukon nimi ja tarkista tulokset.

    Azure-portaali tulokset näytetään Lokit-kyselysivulla. Defender-portaalissa tulokset näytetään Lisämetsästys-sivulla.

    Esimerkki:

    Näyttökuva, jossa näkyy logaritmisen kyselyn ruutu ja palautetun taulukon tulokset.

    Aika-alue on määritetty mukautetulle aika-alueelle, joka käyttää palautettujen tietojen alkamis- ja päättymisaikoja.

Poistettujen tietotaulukoiden poistaminen

Kustannusten säästämiseksi suosittelemme, että poistat palautetun taulukon, kun et enää tarvitse sitä. Kun poistat palautetun taulukon, pohjana olevia lähdetietoja ei poisteta.

  1. Valitse Microsoft Sentinel Haun>palauttaminen ja määritä taulukko, jonka haluat poistaa.

  2. Poista palautettu taulukko valitsemalla poista kyseisen taulukon riviltä Poista .

Seuraavat vaiheet

  • Last updated on