Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Jedną z głównych działań zespołu ds. zabezpieczeń jest wyszukiwanie dzienników pod kątem określonych zdarzeń. Możesz na przykład wyszukać dzienniki działań określonego użytkownika w danym przedziale czasu.
W usłudze Microsoft Sentinel można wyszukiwać w długich okresach w bardzo dużych zestawach danych przy użyciu zadania wyszukiwania. Chociaż można uruchomić zadanie wyszukiwania w dowolnym typie dziennika, zadania wyszukiwania idealnie nadają się do przeszukiwania dzienników w stanie przechowywania długoterminowego (dawniej nazywanego archiwum). Jeśli musisz przeprowadzić pełne badanie takich danych, możesz przywrócić te dane do stanu przechowywania interakcyjnego — takiego jak zwykłe tabele usługi Log Analytics — w celu uruchamiania zapytań o wysokiej wydajności i dokładniejszej analizy.
Ważne
Usługa Microsoft Sentinel jest ogólnie dostępna w portalu Microsoft Defender, w tym dla klientów bez licencji XDR usługi Microsoft Defender lub E5.
Począwszy od lipca 2026 r., wszyscy klienci korzystający z usługi Microsoft Sentinel w witrynie Azure Portal zostaną przekierowani do portalu usługi Defender i będą używać usługi Microsoft Sentinel tylko w portalu usługi Defender. Od lipca 2025 r. wielu nowych klientów jest automatycznie dołączanych i przekierowywanych do portalu usługi Defender.
Jeśli nadal używasz usługi Microsoft Sentinel w witrynie Azure Portal, zalecamy rozpoczęcie planowania przejścia do portalu usługi Defender w celu zapewnienia bezproblemowego przejścia i pełnego wykorzystania ujednoliconego środowiska operacji zabezpieczeń oferowanego przez usługę Microsoft Defender. Aby uzyskać więcej informacji, zobacz It's Time to Move: Retiring Microsoft Sentinel's Azure Portal for greater security (Przenoszenie: wycofywanie witryny Azure Portal usługi Microsoft Sentinel w celu zwiększenia bezpieczeństwa).
Wyszukiwanie dużych zestawów danych
Zadanie wyszukiwania można wykorzystać do odzyskiwania danych przechowywanych w długoterminowej retencji, lub do przeanalizowania dużych ilości danych, jeśli limit czasu zapytania dziennika wynoszący 10 minut nie jest wystarczający. Zadania wyszukiwania to zapytania asynchroniczne, które pobierają rekordy do tabeli wyszukiwania w obszarze roboczym usługi Log Analytics. Zadanie wyszukiwania używa przetwarzania równoległego do wyszukiwania w długich przedziałach czasu w bardzo dużych zestawach danych, więc zadania wyszukiwania nie mają wpływu na wydajność ani dostępność obszaru roboczego.
Wyniki wyszukiwania są przechowywane w tabeli o nazwie z sufiksem _SRCH .
Na tym obrazie przedstawiono przykładowe kryteria wyszukiwania dla zadania wyszukiwania.
Przywracanie danych dziennika z długoterminowego przechowywania
Kiedy potrzebujesz przeprowadzić pełną analizę dzienników w długoterminowym przechowywaniu, przywróć tabelę ze strony Wyszukiwanie w usłudze Microsoft Sentinel. Określ docelową tabelę i zakres czasu dla danych, które chcesz przywrócić. W ciągu kilku minut dane dziennika są przywracane i dostępne w obszarze roboczym usługi Log Analytics. Następnie możesz użyć danych w zapytaniach o wysokiej wydajności, które obsługują pełne KQL.
Przywrócona tabela dziennika jest dostępna w nowej tabeli z sufiksem *_RST. Przywrócone dane są dostępne, o ile są dostępne bazowe dane źródłowe. Można jednak usunąć przywrócone tabele w dowolnym momencie bez usuwania bazowych danych źródłowych. Aby zaoszczędzić koszty, zalecamy usunięcie przywróconej tabeli, gdy nie jest już potrzebna.
Na poniższej ilustracji przedstawiono opcję przywracania w zapisanym wyszukiwaniu.
Ograniczenia przywracania dziennika
Zobacz Ograniczenia przywracania w dokumentacji usługi Azure Monitor.
Wyniki wyszukiwania zakładek lub przywrócone wiersze danych
Podobnie jak w przypadku pulpitu nawigacyjnego wyszukiwania zagrożeń, wiersze zakładek zawierające interesujące informacje, dzięki czemu można je dołączyć do zdarzenia lub odwołać się do nich później. Aby uzyskać więcej informacji, zobacz Tworzenie zakładek.