Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Gegevens herstellen uit een gearchiveerd logboek voor gebruik in query's en analyses met hoge prestaties.
Belangrijk
Na 31 maart 2027 worden Microsoft Sentinel niet meer ondersteund in de Azure Portal en zijn ze alleen beschikbaar in de Microsoft Defender portal. Alle klanten die Microsoft Sentinel in de Azure Portal gebruiken, worden omgeleid naar de Defender-portal en gebruiken alleen Microsoft Sentinel in de Defender-portal.
Als u nog steeds Microsoft Sentinel in de Azure Portal gebruikt, wordt u aangeraden uw overgang naar de Defender-portal te plannen om een soepele overgang te garanderen en optimaal te profiteren van de geïntegreerde beveiligingsbewerkingen die door Microsoft Defender worden geboden.
Vereisten
Zie Herstellen in Azure Monitor voordat u gegevens in een gearchiveerd logboek herstelt.
Gearchiveerde logboekgegevens herstellen
Als u gearchiveerde logboekgegevens in Microsoft Sentinel wilt herstellen, geeft u de tabel en het tijdsbereik op voor de gegevens die u wilt herstellen. Binnen een paar minuten zijn de logboekgegevens beschikbaar in de Log Analytics-werkruimte. Vervolgens kunt u de gegevens gebruiken in query's met hoge prestaties die ondersteuning bieden voor volledige Kusto-querytaal (KQL).
Gearchiveerde gegevens rechtstreeks herstellen vanaf de pagina Zoeken of vanuit een opgeslagen zoekopdracht.
In de Defender-portal bevindt deze pagina zich op Microsoft Sentinel hoofdniveau. Selecteer zoeken in Microsoft Sentinel. In de Azure Portal wordt deze pagina weergegeven onder Algemeen.
Herstel logboekgegevens met behulp van een van de volgende methoden:
Selecteer
Herstellen bovenaan de pagina. Selecteer in het deelvenster Herstellen aan de zijkant de tabel en het tijdsbereik dat u wilt herstellen en selecteer vervolgens Herstellen onderaan het deelvenster.Selecteer Opgeslagen zoekopdrachten, zoek de zoekresultaten die u wilt herstellen en selecteer vervolgens Herstellen. Als u meerdere tabellen hebt, selecteert u de tabel die u wilt herstellen en selecteert u vervolgens Acties > herstellen in het zijvenster. Bijvoorbeeld:
Wacht tot de logboekgegevens zijn hersteld. Bekijk de status van uw hersteltaak door op het tabblad Herstel te selecteren.
Herstelde logboekgegevens weergeven
Bekijk de status en resultaten van het herstellen van logboekgegevens door naar het tabblad Herstellen te gaan. U kunt de herstelde gegevens weergeven wanneer in de status van de hersteltaak Gegevens beschikbaar wordt weergegeven.
Selecteer zoekherstel> in Microsoft Sentinel.
Wanneer uw hersteltaak is voltooid en de status is bijgewerkt, selecteert u de tabelnaam en controleert u de resultaten.
In de Azure Portal worden de resultaten weergegeven op de querypagina Logboeken. In de Defender-portal worden de resultaten weergegeven op de pagina Geavanceerde opsporing .
Bijvoorbeeld:
Het tijdsbereik is ingesteld op een aangepast tijdsbereik dat gebruikmaakt van de begin- en eindtijd van de herstelde gegevens.
Herstelde gegevenstabellen verwijderen
Als u kosten wilt besparen, raden we u aan de herstelde tabel te verwijderen wanneer u deze niet meer nodig hebt. Wanneer u een herstelde tabel verwijdert, worden de onderliggende brongegevens niet verwijderd.
Selecteer in Microsoft Sentinel Zoekherstel> en identificeer de tabel die u wilt verwijderen.
Selecteer Verwijderen voor die tabelrij om de herstelde tabel te verwijderen.