Gjenopprett arkiverte logger fra søk

  • Gjelder for: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Gjenopprett data fra en arkivert logg til bruk i spørringer og analyser med høy ytelse.

Viktig

Etter 31. mars 2027 vil Microsoft Sentinel ikke lenger støttes i Azure Portal og vil bare være tilgjengelig i Microsoft Defender-portalen. Alle kunder som bruker Microsoft Sentinel i Azure Portal, blir omdirigert til Defender-portalen og vil bare bruke Microsoft Sentinel i Defender-portalen.

Hvis du fortsatt bruker Microsoft Sentinel i Azure Portal, anbefaler vi at du begynner å planlegge overgangen til Defender-portalen for å sikre en jevn overgang og dra full nytte av opplevelsen av enhetlige sikkerhetsoperasjoner som tilbys av Microsoft Defender.

Forutsetninger

Før du gjenoppretter data i en arkivert logg, kan du se Gjenopprett i Azure Monitor.

Gjenopprett arkiverte loggdata

Hvis du vil gjenopprette arkiverte loggdata i Microsoft Sentinel, angir du tabellen og tidsområdet for dataene du vil gjenopprette. I løpet av få minutter er loggdataene tilgjengelige i Log Analytics-arbeidsområdet. Deretter kan du bruke dataene i spørringer med høy ytelse som støtter fullstendig Kusto-spørringsspråk (KQL).

Gjenopprett arkiverte data direkte fra søkesiden eller fra et lagret søk.

  1. I Defender-portalen er denne siden på Microsoft Sentinel rotnivå. Velg Søk i Microsoft Sentinel. I Azure Portal er denne siden oppført under Generelt.

  2. Gjenopprett loggdata ved hjelp av én av følgende metoder:

    • Velg Gjenopprett øverst på siden. Velg tabellen og tidsintervallet du vil gjenopprette, i gjenopprettingsruten på siden, og velg deretter Gjenopprett nederst i ruten.

    • Velg Lagrede søk, finn søkeresultatene du vil gjenopprette, og velg deretter Gjenopprett. Hvis du har flere tabeller, velger du den du vil gjenopprette, og deretter velger du Handlinger > gjenopprett i sideruten. Eksempel:

      Skjermbilde av gjenoppretting av et bestemt områdesøk.

  3. Vent til loggdataene gjenopprettes. Vis statusen for gjenopprettingsjobben ved å velge fanen Gjenoppretting .

Vis gjenopprettede loggdata

Vis status og resultater for gjenoppretting av loggdata ved å gå til Fanen Gjenoppretting . Du kan vise de gjenopprettede dataene når statusen for gjenopprettingsjobben viser Tilgjengelige data.

  1. Velg Søkegjenoppretting > i Microsoft Sentinel.

  2. Når gjenopprettingsjobben er fullført og statusen oppdateres, velger du tabellnavnet og ser gjennom resultatene.

    I Azure Portal vises resultatene på loggspørringssiden. Resultatene vises i Avansert jakt-siden i Defender-portalen.

    Eksempel:

    Skjermbilde som viser spørringsruten for logger med de gjenopprettede tabellresultatene.

    Tidsintervallet er satt til et egendefinert tidsområde som bruker start- og sluttidspunktene for de gjenopprettede dataene.

Slett gjenopprettede datatabeller

Hvis du vil spare kostnader, anbefaler vi at du sletter den gjenopprettede tabellen når du ikke lenger trenger den. Når du sletter en gjenopprettet tabell, slettes ikke de underliggende kildedataene.

  1. Velg Søkegjenoppretting> i Microsoft Sentinel, og identifiser tabellen du vil slette.

  2. Velg Slett for denne tabellraden for å slette den gjenopprettede tabellen.

Neste trinn

  • Last updated on