Återställa arkiverade loggar från sökningen

  • Gäller för: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Återställa data från en arkiverad logg för användning i högpresterande frågor och analyser.

Viktigt

Efter den 31 mars 2027 kommer Microsoft Sentinel inte längre att stödjas i Azure Portal och kommer endast att vara tillgängligt i Microsoft Defender-portalen. Alla kunder som använder Microsoft Sentinel i Azure Portal omdirigeras till Defender-portalen och använder endast Microsoft Sentinel i Defender-portalen.

Om du fortfarande använder Microsoft Sentinel i Azure Portal rekommenderar vi att du börjar planera övergången till Defender-portalen för att säkerställa en smidig övergång och dra full nytta av den enhetliga säkerhetsåtgärdsupplevelse som erbjuds av Microsoft Defender.

Förhandskrav

Innan du återställer data i en arkiverad logg kan du läsa Återställa i Azure Monitor.

Återställa arkiverade loggdata

Om du vill återställa arkiverade loggdata i Microsoft Sentinel anger du tabellen och tidsintervallet för de data som du vill återställa. Inom några minuter är loggdata tillgängliga på Log Analytics-arbetsytan. Sedan kan du använda data i högpresterande frågor som stöder fullständiga Kusto-frågespråk (KQL).

Återställ arkiverade data direkt från söksidan eller från en sparad sökning.

  1. I Defender-portalen finns den här sidan på Microsoft Sentinel rotnivå. I Microsoft Sentinel väljer du Sök. I Azure Portal visas den här sidan under Allmänt.

  2. Återställa loggdata med någon av följande metoder:

    • Välj Återställ överst på sidan. I fönstret Återställning på sidan väljer du den tabell och det tidsintervall som du vill återställa och väljer sedan Återställ längst ned i fönstret.

    • Välj Sparade sökningar, leta upp de sökresultat som du vill återställa och välj sedan Återställ. Om du har flera tabeller väljer du den som du vill återställa och väljer sedan Åtgärder > Återställ i sidofönstret. Till exempel:

      Skärmbild av återställning av en specifik webbplatssökning.

  3. Vänta tills loggdata har återställts. Visa status för återställningsjobbet genom att välja på fliken Återställning .

Visa återställde loggdata

Visa status och resultat för återställningen av loggdata genom att gå till fliken Återställning . Du kan visa återställde data när statusen för återställningsjobbet visar Tillgängliga data.

  1. I Microsoft Sentinel väljer du Sökåterställning>.

  2. När återställningsjobbet är klart och statusen har uppdaterats väljer du tabellnamnet och granskar resultatet.

    I Azure Portal visas resultaten på sidan Loggfrågefråga. I Defender-portalen visas resultaten på sidan Avancerad jakt .

    Till exempel:

    Skärmbild som visar loggfrågefönstret med resultatet från den återställde tabellen.

    Tidsintervallet är inställt på ett anpassat tidsintervall som använder start- och sluttiderna för återställde data.

Ta bort återställde datatabeller

För att spara kostnader rekommenderar vi att du tar bort den återställde tabellen när du inte längre behöver den. När du tar bort en återställd tabell tas inte underliggande källdata bort.

  1. I Microsoft Sentinel väljer du Sökåterställning> och identifierar den tabell som du vill ta bort.

  2. Välj Ta bort för den tabellraden för att ta bort den återställde tabellen.

Nästa steg

  • Last updated on