通过搜索大型数据集中的事件开始调查

安全团队的主要活动之一是搜索特定事件的日志。 例如，可以在日志中搜索给定时间范围内特定用户的活动。

在 Microsoft Sentinel 中，可以使用搜索作业在极大型数据集中长时间进行搜索。 虽然可以对任何类型的日志运行搜索作业，但搜索作业最适合搜索处于长期保留（以前称为存档）状态的日志。 如果需要对此类数据进行全面调查，可以将这些数据还原为交互式保留状态（例如常规 Log Analytics 表），以运行高性能查询和更深入的分析。

搜索大型数据集

若 10 分钟的日志查询超时时间不足以满足需求，则可使用搜索任务来检索长期保留的数据，或者对大量数据进行扫描。 搜索作业是异步查询，用于将记录提取到 Log Analytics 工作区中的搜索表中。 搜索作业使用并行处理在非常大的数据集中跨较长时间跨度进行搜索，因此搜索作业不会影响工作区的性能或可用性。

搜索结果存储在以 _SRCH 后缀命名的表中。

此图显示了搜索任务的示例搜索条件。

从长期存储中还原日志数据

如果需要对长期保留中的日志数据进行全面调查，请从 Microsoft Sentinel 的“搜索”页还原表。 指定要还原的数据的目标表和时间范围。 几分钟内，日志数据就会还原，并在 Log Analytics 工作区中可用。 然后，可以在支持完整 KQL 的高性能查询中使用该数据。

还原的日志表位于一个后缀为 *_RST 的新表中。 只要基础源数据可用，还原的数据就可用。 但是，随时可以删除已还原的表，而无需删除基础源数据。 为了节省成本，建议在不再需要已还原的表时将其删除。

下图显示了已保存搜索的还原选项。

日志还原的限制

请参阅 Azure Monitor 文档中的 “还原限制 ”。

为搜索结果或还原的数据行添加书签

与威胁搜寻仪表板类似，请为包含你感兴趣的信息的行添加书签，以便将它们附加到事件或稍后引用它们。 有关详细信息，请参阅创建书签。

后续步骤

• 在大型数据集中搜索长时间范围内的记录
• 从长期保留中还原日志