Bagikan melalui

Memulihkan log yang diarsipkan dari pencarian

  • Artikel
  • Berlaku untuk:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Pulihkan data dari log yang diarsipkan untuk digunakan dalam kueri dan analitik berperforma tinggi.

Penting

Microsoft Sentinel umumnya tersedia dalam platform operasi keamanan terpadu Microsoft di portal Pertahanan Microsoft. Untuk pratinjau, Microsoft Sentinel tersedia di portal Defender tanpa lisensi Microsoft Defender XDR atau E5. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.

Prasyarat

Sebelum Anda memulihkan data dalam log yang diarsipkan, lihat Memulai penyelidikan dengan mencari himpunan data besar (pratinjau) dan Memulihkan di Azure Monitor.

Memulihkan data log yang diarsipkan

Untuk memulihkan data log yang diarsipkan di Microsoft Sentinel, tentukan tabel dan rentang waktu untuk data yang ingin Anda pulihkan. Dalam beberapa menit, data log tersedia dalam ruang kerja Log Analytics. Kemudian Anda dapat menggunakan data dalam kueri berkinerja tinggi yang mendukung Bahasa Kueri Kusto penuh (KQL).

Pulihkan data yang diarsipkan langsung dari halaman Pencarian atau dari pencarian tersimpan.

  1. Di Microsoft Azure Sentinel, pilih Cari. Di portal Azure, halaman ini tercantum di bawah Umum. Di portal Defender, halaman ini berada di tingkat akar Microsoft Azure Sentinel.

  2. Pulihkan data log menggunakan salah satu metode berikut:

    • Pilih Pulihkan di bagian atas halaman. Di panel Pemulihan di samping, pilih tabel dan rentang waktu yang ingin Anda pulihkan, lalu pilih Pulihkan di bagian bawah panel.

    • Pilih Pencarian tersimpan, temukan hasil pencarian yang ingin Anda pulihkan, lalu pilih Pulihkan. Jika Anda memiliki beberapa tabel, pilih tabel yang ingin Anda pulihkan lalu pilih Tindakan > Pulihkan di panel samping. Contohnya:

      Cuplikan layar memulihkan pencarian situs tertentu.

  3. Tunggu hingga data log dipulihkan. Lihat status pekerjaan pemulihan Anda dengan memilih pada tab Pemulihan.

Lihat data log yang dipulihkan

Lihat status dan hasil pemulihan data log dengan membuka tab Pemulihan. Anda dapat melihat data yang dipulihkan saat status pekerjaan pemulihan menunjukkan Data Tersedia.

  1. Di Microsoft Azure Sentinel, pilih Pemulihan Pencarian>.

  2. Saat pekerjaan pemulihan Anda selesai dan status diperbarui, pilih nama tabel dan tinjau hasilnya.

    Di portal Azure, hasil diperlihatkan di halaman Kueri log. Di portal Defender, hasil ditampilkan di halaman Perburuan tingkat lanjut.

    Contohnya:

    Cuplikan layar yang memperlihatkan panel kueri log dengan hasil tabel yang dipulihkan.

    Rentang waktu diatur ke rentang waktu khusus yang menggunakan waktu mulai dan berakhir dari data yang dipulihkan.

Menghapus tabel data yang dipulihkan

Untuk menghemat biaya, sebaiknya Anda menghapus tabel yang dipulihkan saat Anda tidak lagi membutuhkannya. Saat Anda menghapus tabel yang dipulihkan, data sumber yang mendasar tidak dihapus.

  1. Di Microsoft Azure Sentinel, pilih Pemulihan Pencarian>dan identifikasi tabel yang ingin Anda hapus.

  2. Pilih Hapus untuk baris tabel tersebut untuk menghapus tabel yang dipulihkan.

Langkah berikutnya