你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
从存档日志还原数据,以用于高性能查询和分析。
重要
2027 年 3 月 31 日之后,Azure 门户将不再支持Microsoft Sentinel,并且仅在Microsoft Defender门户中可用。 在Azure 门户中使用Microsoft Sentinel的所有客户都将重定向到 Defender 门户,并且仅在 Defender 门户中使用Microsoft Sentinel。
如果仍在Azure 门户中使用Microsoft Sentinel,建议开始规划到 Defender 门户的转换,以确保平稳过渡,并充分利用 Microsoft Defender 提供的统一安全操作体验。
先决条件
在存档日志中还原数据之前,请参阅在 Azure Monitor 中还原。
还原存档的日志数据
若要还原Microsoft Sentinel中的存档日志数据,请指定要还原的数据的表和时间范围。 几分钟内,日志数据可在 Log Analytics 工作区中使用。 然后,可以在支持完全Kusto 查询语言 (KQL) 的高性能查询中使用数据。
直接从 “搜索 ”页或已保存的搜索还原存档的数据。
在 Defender 门户中,此页面位于Microsoft Sentinel根级别。 在“Microsoft Sentinel”中,选择“搜索”。 在Azure 门户中,此页面在“常规”下列出。
使用以下方法之一还原日志数据:
选择页面顶部的“
还原 ”。 在一侧的“ 还原 ”窗格中,选择要还原的表和时间范围,然后选择 窗格底部的“还原”。选择“ 保存的搜索”,找到要还原的搜索结果,然后选择“ 还原”。 如果有多个表,请选择要还原的表,然后在侧窗格中选择“ 操作 > 还原 ”。 例如:
等待日志数据还原。 在“还原”选项卡上选择,查看 还原 作业的状态。
查看还原的日志数据
转到“还原”选项卡,查看日志数据 还原 的状态和结果。当还原作业的状态显示“ 数据可用”时,可以查看还原的数据。
在“Microsoft Sentinel”中,选择“搜索>还原”。
还原作业完成且状态更新后,选择表名称并查看结果。
在Azure 门户,结果显示在“日志”查询页中。 在 Defender 门户中,结果显示在 “高级搜寻 ”页中。
例如:
时间范围设置为使用还原数据的开始和结束时间的自定义时间范围。
删除还原的数据表
为了节省成本,建议在不再需要还原的表时将其删除。 删除还原的表时,不会删除基础源数据。
在“Microsoft Sentinel”中,选择“搜索>还原”并标识要删除的表。
为该表行选择“ 删除 ”以删除还原的表。