通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

在大型数据集中搜索长时间范围内的记录

  • 项目
  • 适用于:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

如果在调查时你需要在七年前的日志中查找特定的事件,可以使用搜索作业。 可以在所有日志中搜索事件,包括分析、基本计划和存档日志计划中的事件。 筛选并查找符合条件的事件。

重要

Microsoft Sentinel 已在 Microsoft Defender 门户的 Microsoft 统一安全运营平台中正式发布。 对于预览版,Microsoft Sentinel 已在 Defender 门户中可用,并且无需 Microsoft Defender XDR 或 E5 许可证。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel

开始搜索

在 Azure 门户或 Microsoft Defender 门户的 Microsoft Sentinel 中转到“搜索”以输入搜索条件。 搜索时间根据目标数据集的大小而异。 虽然大多数搜索作业只需几分钟即可完成,但也支持对巨型数据集的搜索,这种搜索最长需要运行 24 小时。

  1. 对于 Azure 门户中的 Microsoft Sentinel,请在“常规”下选择“搜索”
    对于 Defender 门户中的 Microsoft Sentinel,请选择“Microsoft Sentinel”>“搜索”

  2. 选择“表”菜单并选择一个表用于搜索。

  3. 在“搜索”框中输入搜索词。

  4. 选择“开始”打开高级 Kusto 查询语言 (KQL) 编辑器,并预览所设置时间范围内的结果

  5. 根据需要更改 KQL 查询,然后选择“运行”以获取搜索结果的更新预览

    KQL 编辑器的屏幕截图,其中显示了已修改的搜索。

  6. 如果对查询和搜索结果预览感到满意,请选择省略号“...”并打开“搜索作业模式”

    KQL 编辑器的屏幕截图,其中显示了已修改的搜索,并突出显示了“搜索作业模式”对应的省略号图标。

  7. 选择适当的“期限”。

  8. 解决编辑器中以红色波浪线指示的任何 KQL 问题。

  9. 准备好启动搜索作业后,选择“搜索作业”

  10. 输入新的表名以存储搜索作业结果。

  11. 选择“运行搜索作业”

  12. 等待出现通知“搜索作业已完成”,以查看结果

查看搜索作业结果

通过进入“已保存搜索”选项卡查看搜索作业的状态和结果。

  1. 在 Microsoft Sentinel 中,选择“搜索”>“已保存的搜索”

  2. 在搜索卡上,选择“查看搜索结果”。

    显示搜索作业卡底部用于查看搜索结果的链接的屏幕截图。

    默认情况下,会看到与原始搜索条件匹配的所有结果。

  3. 若要细化从搜索表返回的结果列表,请选择“添加筛选器”

  4. 在查看搜索作业结果时,可以选择“添加书签”或选择书签图标以保存某行。 添加书签可以标记事件、添加笔记,并将这些事件附加到某个事件供以后参考。

    显示搜索作业结果和正在添加的书签的屏幕截图。

  5. 选择“列”按钮,并选中要添加到结果视图的列旁边的复选框

  6. 添加“已加入书签”筛选器以便仅显示保存的条目。

  7. 选择“查看所有书签”转到“搜寻”页,可在其中为现有事件添加书签

后续步骤

若要了解详细信息,请参阅以下文章。