Compartilhar via

Restaurar logs arquivados da pesquisa

  • Aplica-se a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Restaure dados de um log arquivado para uso em consultas e análises de alto desempenho.

Importante

O Microsoft Sentinel geralmente está disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.

A partir de julho de 2026, todos os clientes que usam o Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e usarão apenas o Microsoft Sentinel no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal do Defender.

Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que você comece a planejar sua transição para o portal do Defender para garantir uma transição tranquila e aproveitar ao máximo a experiência de operações de segurança unificada oferecida pelo Microsoft Defender. Para obter mais informações, consulte É Hora de Mudar: Aposentando o portal Azure do Microsoft Sentinel para maior obter segurança.

Pré-requisitos

Antes de restaurar dados em um log arquivado, consulte Restaurar no Azure Monitor.

Restaurar dados de logs arquivados

Para restaurar dados de logs arquivados no Microsoft Sentinel, especifique a tabela e o intervalo de tempo para os dados que você deseja restaurar. Em alguns minutos, os dados de log e estarão disponíveis no workspace do Log Analytics. Em seguida, você poderá usar os dados em consultas de alto desempenho que dão suporte completo à KQL (Linguagem de Consulta Kusto).

Restaurar os dados arquivados diretamente da página Pesquisa ou de uma pesquisa salva.

  1. No portal do Defender, esta página está no nível raiz do Microsoft Sentinel. No Microsoft Sentinel, selecione Pesquisar. No portal do Azure, esta página está listada em Geral.

  2. Restaurar dados de log usando um dos seguintes métodos:

    • Selecione Restaurar na parte superior da página. No painel Restauração lado, selecione a tabela e o intervalo de tempo que deseja restaurar e selecione Restaurar na parte inferior do painel.

    • Selecione Pesquisas salvas, localize os resultados da pesquisa que você deseja restaurar e selecione Restaurar. Se você tiver várias tabelas, selecione a que deseja restaurar e selecione Ações > Restaurar no painel lateral. Por exemplo:

      Captura de tela da restauração de uma pesquisa de site específica.

  3. Aguarde até que os dados de log sejam restaurados. Exiba o status do trabalho de restauração selecionando a guia Restauração.

Exibir dados de log restaurados

Exiba o status e os resultados da restauração de dados de log acessando a guia Restauração. Você pode exibir os dados restaurados quando o status do trabalho de restauração mostrar os Dados Disponíveis.

  1. No Microsoft Sentinel, selecione Search>Restauração.

  2. Quando o trabalho de restauração for concluído e o status for atualizado, selecione o nome da tabela e examine os resultados.

    No portal do Azure, os resultados são mostrados na página de consulta de Logs. No portal do Defender, os resultados são mostrados na página busca avançada.

    Por exemplo:

    Captura de tela que mostra o painel de consulta de logs com os resultados da tabela restaurada.

    O Intervalo de tempo é definido para um intervalo de tempo personalizado que usa a hora de início e de término dos dados restaurados.

Excluir tabelas de dados restaurados

Para economizar custos, recomendamos que você exclua a tabela restaurada quando não precisar mais dela. Quando você exclui uma tabela restaurada, os dados de origem subjacentes não são excluídos.

  1. No Microsoft Sentinel, selecione Pesquisa>Restauração e identifique a tabela que você deseja excluir.

  2. Selecione Excluir para essa linha de tabela para excluir a tabela restaurada.

Próximas etapas

  • Last updated on