你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

通过搜索还原存档日志

从存档日志还原数据,以用于高性能查询和分析。

重要

Microsoft Sentinel 已在 Microsoft Defender 门户的 Microsoft 统一安全运营平台中正式发布。 对于预览版,Microsoft Sentinel 已在 Defender 门户中可用,并且无需 Microsoft Defender XDR 或 E5 许可证。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel

先决条件

在存档日志中还原数据之前,请参阅通过搜索大型数据集开始调查(预览)在 Azure Monitor 中还原

还原存档的日志数据

若要在 Microsoft Sentinel 中还原存档的日志数据,请指定要还原的数据的表和时间范围。 几分钟内,日志数据就会在 Log Analytics 工作区中可用。 然后,可以在支持完整 Kusto 查询语言 (KQL) 的高性能查询中使用该数据。

直接从搜索页或保存的搜索中还原存档的数据

  1. 在 Microsoft Sentinel 中,选择“搜索”。 在 Azure 门户中,此页面列在“常规”下。 在 Defender 门户中,此页面位于 Microsoft Sentinel 根级别。

  2. 使用下列方法之一还原日志数据:

    • 选择页面顶部的“删除”。 在侧边“还原”窗格中,选择要还原的表和时间范围,然后选择窗格底部的“还原”

    • 选择“保存的搜索”,找到要还原的搜索结果,然后选择“还原”。 如果有多个表,请选择要还原的表,然后在侧窗格中选择“操作”>“还原”。 例如:

      还原特定网站搜索的屏幕截图。

  3. 等待日志数据还原。 通过选择还原选项卡,查看还原作业的状态。

查看还原的日志数据

通过进入还原选项卡查看日志数据还原的状态和结果。当还原作业的状态显示数据可用时,可以查看还原的数据。

  1. 在 Microsoft Sentinel 中,选择“搜索”>“还原”

  2. 还原作业完成、状态更新后,选择表名称并查看结果。

    Azure 门户中,结果在“日志”查询页中显示。 在 Defender 门户中,结果在“高级搜寻”页中显示。

    例如:

    显示包含已还原表结果的日志查询窗格的屏幕截图。

    时间范围设置为使用已还原数据的开始时间和结束时间的自定义时间范围。

删除还原的数据表

为了节省成本,建议在不再需要已还原的表时将其删除。 删除已还原的表时,不会删除基础源数据。

  1. 在 Microsoft Sentinel 中,选择“搜索”>“还原”并标识要删除的表。

  2. 选择该表行的“删除”,以删除还原的表。

后续步骤